تنظیم پورت RPC استاتیک در Active Directory Domain Controller

 

 

قراردادن فایروال بر روی یک دامنه که با یک سیستم ویندوزی Join شده کاری چالش برانگیز است. اما ما توانستیم این کار را انجام دهیم و قصد داریم در این مطلب شما را راهنمایی کنیم تا (Web Application Proxy(WAP خود را در یک شبکه DMZ قرار دهید.

و بدین صورت بتوانید تمام ورودی و خروجی‌های ACL را مشخص نمایید.

چالش اصلی پیکر بندی کنترل کننده‌های دامنه است تا بر پورت‌های مشخص شده RPC باشند. پس ما تنها مجاز به استفاده از تعدادی پورت‌های TCP/UDP می‌باشیم.

اسکریپت زیر باید بر روی هر Domain Controller اجرا شود که توسط سرورهای موجود در DMZ امکان پذیر است. اسکریپت زیر بر ویندوز سرور 2019 اجرا شده و تست گردیده است.

#Set NTDS RPC port to static setting
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" -Name "TCP/IP Port" -Value 55000 -PropertyType "DWord" 

#Set Netlogon RPC port to static setting
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" -Name "DCTcpipPort Port" -Value 55001 -PropertyType "DWord" 

#Set NtFrs RPC port to static setting
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters" -Name "RPC TCP/IP Port Assignment" -Value 55002 -PropertyType "DWord"

#Set RPC dynamic ports to static range setting 
New-Item "HKLM:\Software\Microsoft\RPC\Internet"

New-ItemProperty "HKLM:\Software\Microsoft\RPC\Internet" -Name "Ports" -Value '55003-55303' -PropertyType MultiString -Force

New-ItemProperty "HKLM:\SOFTWARE\Microsoft\Rpc\Internet" -Name "PortsInternetAvailable" -Value Y -PropertyType "String"

New-ItemProperty "HKLM:\SOFTWARE\Microsoft\Rpc\Internet" -Name "UseInternetPorts" -Value Y -PropertyType "String"

پس از راه اندازی مجدد Domain Controller، دستور gpupdate را روی سرور DMZ خود اجرا می کنم تا مطمئن شوم که سرویس های AD در دسترس هستند. برای اطمینان از عدم مسدود شدن پورت ، راه اندازی و ورود مجدد به سیستم را انجام می‌دهیم.