Lista över portar som krävs för Active Directory och PKI

När du konfigurerar nätverkssäkerheten är det viktigt att konfigurera Active Directory (AD), och en av dess kritiska delar involverar säker kommunikation mellan AD-servern och klienterna. Om din organisation till exempel distribuerar AD för att hantera användarautentisering, gruppolicyer och åtkomst till delade resurser, är ett av de viktigaste stegen att konfigurera din brandvägg för att öppna vissa portar. Utan att öppna dessa portar kan användare få problem med att logga in, komma åt filer eller ta emot policyuppdateringar, vilket kan orsaka störningar i nätverken.

Portar som krävs för AD-kommunikation

Active Directory fungerar som en central lagringsplats för användare, grupp- och datorkonton, såväl som en mängd andra objekt, såsom delade resurser och säkerhetspolicyer, och för korrekt kommunikation krävs följande portar:

• TCP/UDP-port 53: Port 53 fungerar som porten som används för Domain Name Services, eller DNS. DNS-servrar används för att kommunicera med en webbklient och översätta domännamn till IP-adresser. De flesta organisationer använder DNS för att göra det enklare för olika användare att nå enheter utan att behöva memorera IP-adresser.
• TCP/UDP-port 88: Port 88 används för att ge användare åtkomst till Kerberos-autentiseringsprotokollet. Detta ger åtkomst till privilegierade nätverksresurser med hjälp av biljetter som tillhandahålls av servern.
• TCP/UDP-port 135: Port 135 används för Remote Procedure Call eller RPC. RPC är en Windows-tjänst som många tjänster, som AD, använder för att möjliggöra fjärrkommunikation mellan klient och server.
• TCP/UDP-port 137-139: Portarna 137, 138 och 139 används alla för att tillhandahålla olika funktioner relaterade till SMB-protokollet över NetBIOS. SMB, eller Server Message Block, protokoll används huvudsakligen för att dela skrivare och filer inom ett Windows-baserat nätverk. Port 137 tillhandahåller namntjänster över TCP eller UDP för SMB, port 138 tillhandahåller diagramtjänster över UDP för SMB och port 139 tillhandahåller sessionstjänster över TCP eller UDP för SMB. Observera att port 138 specifikt använder enbart UDP, den används inte med TCP.
• TCP/UDP-port 389: Port 389 fokuserar kring Lightweight Directory Access Protocol, eller LDAP. LDAP tillåter klienter att komma åt skyddade nätverksresurser. Port 389 tillåter en okrypterad anslutning till LDAP.
• TCP-port 445: Port 445, även kallad Microsoft-ds, fungerar på ett mycket likt sätt som portarna 137–139, förutom att den tillåter åtkomst till SMB utan behov av NetBIOS. Det betyder att NetBIOS-lagret inte krävs, och port 445 används huvudsakligen av systemadministratörer för att hantera objekt i nätverket.
• TCP/UDP-port 464: I likhet med port 88 används port 464 för att interagera med Kerberos. Port 464 används dock specifikt för lösenordsändringar inom Microsoft Active Directory (även känd som Entra), eftersom Kerberos är Entras inbyggda autentiseringsprotokoll.
• TCP/UDP-port 636: Port 636 tillåter också användare att interagera med LDAP, men den använder en krypterad anslutning. Denna kryptering genereras av SSL/TLS, så du kommer ofta att se port 636 som ansluten till LDAPS.
• TCP/UDP-port 3268-3269: Portarna 3268 och 3269 ansluter också till tjänster via LDAP, men de är specifika för den globala katalogen. Port 3268 är den okrypterade anslutningen och port 3269 är för krypterade anslutningar.

Utöver dessa portar kan andra portar krävas beroende på din AD-miljös specifika komponenter och funktioner. Om du till exempel använder grupprincip krävs även följande portar:

• TCP-port 80: Port 80 används specifikt för kommunikation mellan webbläsare och servrar med hjälp av HTTP. Denna port transporterar data till webbläsaren i klartext, en okrypterad metod för att skicka data.
• TCP/UDP-port 443: Port 443 levererar meddelanden mellan webbservrar och webbläsare via HTTPS, den krypterade anslutningsversionen av HTTP.
• TCP-port 445: Port 445 tillåter åtkomst till SMB utan behov av NetBIOS.

Om du använder ADFS (Active Directory Federation Services) för enkel inloggning krävs även följande portar:

• TCP-port 80
• TCP-port 443
• TCP-port 49443: Port 49443 används specifikt för Active Directory Federation Services, eller ADFS. ADFS är en metod för certifikatautentisering inom Microsoft AD, så detta är en kritisk port i PKI:er.

Portar som krävs för PKI-kommunikation

För att en PKI För att fungera korrekt måste vissa portar öppnas i brandväggen för att möjliggöra kommunikation mellan de olika komponenterna i PKI-systemet. Dessa portar inkluderar:

1. TCP-port 80

   Den här porten används för HTTP-kommunikation, vilket krävs för att klienter ska få åtkomst till lista över återkallade certifikat (CRL) och annan information från certifikatutfärdare (CA) servern.

2. TCP-port 389

   Den här porten används för LDAP-kommunikation, vilket krävs för att klienter ska kunna komma åt certifikatdatabasen på CA-servern.

3. TCP-port 636

   Den här porten används för LDAPS-kommunikation, en säker version av LDAP som använder SSL / TLS för krypteringDetta krävs om du använder LDAP över ett offentligt nätverk.

4. TCP-port 9389

   Den här porten används för WS-Management-protokollet (Web Services for Management), vilket krävs för att klienter ska kunna komma åt CA-servern med hjälp av snapin-modulen Certificates i Microsoft Management Console (MMC).

Utöver dessa portar kan du också behöva öppna andra portar beroende på ditt PKI-systems specifika komponenter och konfiguration. Om du till exempel använder Online -certifikatstatusprotokoll (OCSP) För att kontrollera certifikatens status måste du öppna TCP-port 2560.

Felsökning av brandväggsproblem med PKI

För att felsöka vanliga brandväggsproblem med en PKI kan du följa dessa steg:

• Kontrollera att nödvändiga portar är öppna i brandväggen. Du kan göra detta genom att använda netstat kommandot för att lista alla öppna portar på systemet och jämföra resultaten med listan över portar som krävs för ditt PKI-system.
• Kontrollera brandväggsloggarna för att se eventuella poster relaterade till PKI-systemet. Detta kan hjälpa dig att identifiera specifika regler eller inställningar som kan blockera de nödvändiga portarna.
• Testa anslutningen mellan PKI-komponenterna för att säkerställa att de kan kommunicera korrekt. Du kan göra detta genom att använda ping, telnet eller tracert kommandon för att testa anslutningen mellan klienten och CA-servern och mellan andra komponenter i PKI-systemet.
• Om du fortfarande har problem med brandväggen kan du prova att tillfälligt inaktivera den för att se om det löser problemet. Detta hjälper dig att avgöra om brandväggen är orsaken till problemet eller om det finns ett problem med en annan komponent i PKI-systemet.

Några vanliga frågor

Här är en uppsättning frågor du kan ställa för att identifiera grundorsaken till felkonfiguration och anslutningsproblem i AD. Dessa är specifikt anpassade för att hjälpa till att felsöka potentiella problem baserat på verkliga scenarier:

Fråga 1Har du kontrollerat om nyckelportarna, som 389 (LDAP), 88 (Kerberos) och 445 (SMB) för AD-kommunikation, är korrekt konfigurerade och inte blockeras av brandväggen?

Fråga 2Är alla domänkontrollanter kopplade till DNS och finns det någon skillnad mellan DNS-poster och de faktiska AD-serverplatserna?

Fråga 3Finns det något replikeringsproblem i AD som kan orsaka inkonsekvenser mellan domänkontrollanter och klienter?

Fråga 4Finns det någon snedvridning i tidsinställningarna mellan AD-komponenter som kan orsaka Kerberos-autentiseringsfel?

Fråga 5Finns det några specifika felkoder eller varningsmeddelanden i händelseloggarna som kan peka ut ett felkonfigurations- eller tjänstefel?

Fråga 6Fungerar kontot som används av viktiga AD-tjänster, såsom Kerberos, DNS eller LDAP, fortfarande korrekt och har det nödvändiga behörigheter?

Hur kan krypteringskonsulting hjälpa till?

Encryption Consultings PKI-tjänster och PKI-som-en-tjänst kan hjälpa dig att hantera din PKI och säkra din organisations digitala nätverk. Vi kan designa, implementera, hantera och migrera dina PKI-system enligt dina specifika behov. Att hantera PKI kan verka skrämmande med tanke på det ökande antalet cyberhot. Men du kan vara säker eftersom vår erfarna personal hjälper dig att bygga och övervaka din PKI. Vi kan bedöma din PKI baserat på vårt anpassade ramverk och ge dig bästa praxis för PKI- och HSM-implementeringar.

Slutsats

Att underhålla brandväggskonfigurationen är viktigt för att säkerställa att dina Active Directory- och PKI-system fungerar korrekt. Genom att verifiera att nödvändiga portar är öppna och felsöka eventuella brandväggsproblem som kan uppstå kan du bidra till att hålla dina Active Directory- och PKI-system säkra och tillförlitliga. För Active Directory är det avgörande att upprätthålla öppna kommunikationskanaler för viktiga portar som LDAP, DNS och Kerberos. På samma sätt, för PKI, säkerställer aktivering av portar för HTTP, LDAP och Secure Communication Protocol att certifikattjänsten fungerar effektivt, vilket stöder certifikatutfärdande, återkallelse och statuskontroller.