Configuration de ports requise pour Active Directory et les services de domaine Active Directory. Ce guide explique les configurations de ports requises pour les divers composants d’Active Directory® et des services de domaine Active Directory (AD DS).
Plage de ports dynamiques par défaut Dans un domaine en mode mixte qui se compose de contrôleurs de domaine Windows Server® 2003 ou Microsoft® Windows® 2000 Server ou d’ordinateurs clients de versions antérieures, la plage de ports dynamiques par défaut va de 1025 à 5000. Conformément aux recommandations de l’IANA (Internet Assigned Numbers Authority), Windows Server 2008 et Windows Vista® ont étendu la plage de ports clients dynamiques pour les connexions sortantes. Le nouveau port de début par défaut est 49152 et le nouveau port de fin par défaut est 65535. Vous devez par conséquent augmenter la plage de ports d’appel de procédure distante (RPC) dans vos pare-feu. Restriction du trafic RPC sur un port spécifique Systèmes d’exploitation Réplication Approbations Windows NT Windows 2000 Server et Windows Server 2003 Windows Server 2008.
Réplication Active Directory via des pare-feu. Sur cette page Réplication Active Directory via des pare-feu Introduction Appel RPC dynamique complet Fonctionnement de l'appel RPC Appel RPC limité Encapsulage à l'intérieur du protocole IPSec Promotion des contrôleurs de domaine grâce aux tunnels PPTP Promotion des contrôleurs de domaine à l'aide du protocole IPSec et des certificats d'ordinateur Comparaison des deux méthodes de promotion Tunnels PPTP Protocole IPSec avec certificats d'ordinateur Configuration du mode de transport IPSec pour la communication CD à CD Verrouillage supplémentaire des contrôleurs de domaine dans un réseau de type DMZ Cette utilisation du protocole IPSec est-elle légitime ?
Réplication Active Directory via des pare-feu Par Steve Riley Consultant, Microsoft Telecommunications Practice Mars 2001 Introduction Les pare-feu présentent deux difficultés lors du déploiement d'une architecture distribuée du service d'annuaire Active Directory™ : La promotion initiale d'un serveur en tant que contrôleur de domaine.
Appel RPC limité. Seizing de rôles FSMO. I.
Présentation Les rôles FSMO sont au nombre de 5 et chacun d’entre eux dispose d’un maître c’est à dire qu’un seul contrôleur de domaine détient un, plusieurs ou l’ensemble de ces rôles. Via l’interface graphique de Windows Server on peut transférer les rôles d’un contrôleur de domaine à un autre ou aussi en utilisant l’utilitaire ntdsutil en ligne de commandes. Cependant, dans le cas où l’on veut transférer un ou plusieurs rôles FSMO situés sur un serveur hors service, le transfert n’est pas possible. Il faut alors forcer le transfert ou plutôt prendre les rôles FSMO directement, on effectuera alors un seizing de rôles FSMO.
Plantons le décor : Le domaine “it-connect.fr” contient deux contrôleurs de domaine sous Windows Server 2012 : DC1 et DC2. II. Passons aux choses sérieuses, sur votre serveur qui doit récupérer les rôles exécutez une Invite de commandes. Le prompt devient “ntdsutil:“, saisissez la commande “roles” pour passer en mode “fsmo maintenance“. III. IV. V. Supprimer un contrôleur de domaine hors service. I.
Présentation Lorsqu’on souhaite retirer le rôle de contrôleur de domaine à un serveur Windows, on utilise généralement la commande “dcpromo” pour qu’il redevienne un simple serveur membre. Sauf que si ce serveur est hors service, corrompu ou à une panne d’Active Directory il peut être intéressant d’être en mesure de le supprimer autrement. Plantons le décor : Je dispose de deux contrôleurs de domaine, l’un nommé JUPITER, l’autre SATURNE, tous deux fonctionnant sur Windows Server 2012. JUPITER dispose des 5 rôles FSMO et ces deux serveurs jouent le rôle de Catalogue global.
II. Si dans votre cas le serveur qui est hors service dispose d’un ou de plusieurs rôles FSMO, vous allez devoir effectuer un seizing des rôles FSMO depuis le serveur sur lequel vous souhaitez les transférer pour qu’il les récupère de force. Accédez à votre annuaire Active Directory grâce à la console “Utilisateurs et ordinateurs Active Directory“. Cliquez sur “Oui” puis un second message apparaîtra. III. IV.