Bonjour,
 
J'ai mis en place 2 contrôleurs de domaine, le principal sous Windows 2008 et l'autre sous Windows 2003.
 
Tout fonctionne correctement sauf la réplication des stratégies et du dossier sysvol qui ne se fait pas lorsque le pare feu est activé.
Par contre si je désactive ce dernier, la réplication se fait sans soucis.
 
J'ai suivi les indications de Microsoft grâce à ce lien :
http://support2.microsoft.com/kb/832017
 
Ma question se porte sur les ports RPC dit "aléatoires" nécessaires à la réplication.
Sachant que sous Windows 2008, le fait d'ajouter les rôles de contrôleurs de domaine, serveurs de fichiers, etc ... celui-ci ouvre automatiquement (via des règles) les ports réseau nécessaires (mais apparemment pas tous puisque la réplication ne fonctionne pas)
 
1/ Dois-je ajouter la plage de ports 49152 - 65535 comme indiqué dans la documentation officielle ?
 
2/ D'un point de vue sécurité, vaut-il mieux fixer un port fixe ou laisser cette plage dynamique ?
 
 

Juste pour mon info, ça sert à quoi concrètement d'activer le pare-feu sur ses DC ?

A les protéger, comme toute machine.
 
Pour ta problématique, vire ton DC 2003 qui ne sera plus supporté dans quelques mois au lieu de toucher à la configuration de la réplication. En attendant désactive le pare-feu sur le 2003.

Ouvrir sur un plage monstrueuse comme ca, c'est un peu foufou ! Il y a des clefs de registre où tu peux fixer 2 ports de ton choix... si tu as besoin par la suite de faire passer la réplication dans des firewall entre des réseaux (multi-site par exemple) ca sera plus simple (http://support.microsoft.com/kb/224196/fr)

Tu ne précises pas le sens dans lequel la réplication ne passe pas.
Comme ShonGail, je ne vois pas trop l'utilité d'activé un pare-feu sur un serveur dans une zone sécurisée.
Tant que tu n'as que les ports nécessaires d'ouvert, il n'y a pas grand risque à ce niveau là.

 
A les protéger de quoi ?
 
Parce que si le parefeu, c'est ouvrir les ports sans autre check, je ne vois pas de quoi ça protège vu qu'il faut en ouvrir un paquet sur un DC et justement sur les services qui peuvent craindre.
Au final, les ports fermés, c'est ceux où aucun service n'écoute ?

nnwldx => la réplication ne passe dans aucun des 2 sens.
 
nebulios => le 2003 est l'ancien serveur qui était en production et que j'ai recyclé pour avoir un réplicat de l'active directory pour plus de sécurité
 
Effectivement les contrôleurs sont dans la zone sécurisé derrière des routeurs qui font office de pare feu mais ne vaut-il pas prévenir que guérir et activer le pare feu malgré tout ?
 
Pourquoi devoir activer une plage aussi étendue de ports pour un service de réplication qui n'a besoin je suppose (peut-être à tort) besoin que d'un seul port pour pouvoir fonctionner ?

Perso je ne vois pas ce que tu préviens en activant le pare-feu Windows sur un DC.
Sauf à ce que tu ais dessus un service faillible qui ne doit pas être attaqué par tout ou partie de ton LAN (et il n'a surement rien à faire sur le DC).
Mais imaginons que ton DNS ait une faille ou alors que tu ais permis l'écriture sur SYSVOL, le pare-feu ne servira à rien.

 
Les ports sont ouverts de façon dynamique avec un pare-feu moderne, pas statique. Cela permet de se protéger partiellement d'infections de type vers notamment. Ce n'est pas parce que s'il s'agit d'un LAN que c'est un réseau 100% safe.

 
Que le pare-feu Windows soit statefull, OK.
Mais cela ne protégera pas des virus type worms. Si un partage est accessible, le virus se copiera dessus, pare-feu activé ou non. Ce dernier sera incapable de savoir s'il s'agit d'une copie automatisée par un virus ou non.

et si ce vers écoute sur un autre port après, au moins il sera bloqué (enfin en théorie , il sufirait qu'il l'ouvre lui même ou qu'il désactive le fw)

Sauf que ce ver ne pourra pas s'exécuter sur le DC car on aura pris soin de ne pas laisser en partage quoi que ce soit de plus que nécessaire et surtout pas des dossiers où les process sont lancés par le système.

Imaginons quand même que le ver se lance, il se moque du pare-feu car il ne se met pas à l'écoute, il va se contenter de se répliquer sur les autres postes via les partages ou tout autre vecteur de propagation pour lesquels il aura été prévu pour.

Je vois que les avis sont partagés  
 
Mais revenons à l'essentiel. Pour permettre la réplication, vaut-il mieux :
 
- d'ouvrir la plage des ports dynamiques des 2 côtés soit 1025 à 5000 pour le W2003 et 49152 à 65535 pour le W2008 ? et dans ce cas est-il indispensable d'ouvrir une plage de ports si large.
 
- de définir un port fixe via la base de registre sur les 2 serveurs.
 

C'est une très mauvaise idée avec deux versions aussi différentes Tu y gagnes très peu en sécurité et tu te rajoutes un paquet d'emmerdes à gérer en cas de pépin et de migration.

Protègera complètement non, mais ça permet notamment de limiter tout ce qui fonctionne à base de scan de ports et en sortie, c'est donc un moyen de limiter une infection, mais ça reste une couche de sécurité supplémentaire parmi d'autres.

netbulios => je sais mais on fait avec ce qu'on a

Non, c'est pas une raison. Tu ferais bien mieux de dégager cette vieille machine

Voilà, il vaut mieux un DC en 2008R2 plutôt que deux DC l'un en 2008R2, l'autre en 2003.

Merci pour vos avis mais j'aimerais si possible que vous répondiez à ma question principale, c'est à dire Pour permettre la réplication, vaut-il mieux :
 
- d'ouvrir la plage des ports dynamiques des 2 côtés soit 1025 à 5000 pour le W2003 et 49152 à 65535 pour le W2008 ? et dans ce cas est-il indispensable d'ouvrir une plage de ports si large ?
 
- de définir un port fixe via la base de registre sur les 2 serveurs.  
 
Si les 2 solutions existent, je suppose qu'il y a des avantages et inconvénients à chacune ?

Tu veux fixer quoi comme ports ?

On peut selon Microsoft définir via la base de registre un port fixe pour la réplication :
 
La réplication de SYSVOL exige la mise en œuvre du service de réplication de fichiers (FRS) ou du service de réplication de système de fichiers distribué (DFS) sur un port RPC dynamique. Si vous souhaitez utiliser un port particulier pour la réplication FRS ou DFS, voir l’article 832017 dans la Base de connaissances Microsoft (http://go.microsoft.com/fwlink/?LinkID=22498).
 
D'où ma question, vaut-il mieux (d'un point de vue sécurité)  ouvrir la plage de ports dynamique ou définir un port fixe ?

Le pare-feu microsoft laisse le trafic sortir, ne regarde pas de ce côté là.
Vérifie plutôt les ports en entrée.
http://technet.microsoft.com/en-us [...] 10%29.aspx

Je ne comprends rien, je n'arrive pas à désactiver le pare feu sous Windows 7, comment faire?

J'ai trouvé une partie de réponse par le biais de cet article :
 
http://social.technet.microsoft.co [...] walls.aspx

en français c'est mieux :
 
 
http://social.technet.microsoft.co [...] fr-fr.aspx

C'est un peu ce que t'ai mis dans ma réponse d'hier.

Merci à vous pour la réponse, je vais consulter ce site