قراردادن فایروال بر روی یک دامنه که با یک سیستم ویندوزی Join شده کاری چالش برانگیز است. اما ما توانستیم این کار را انجام دهیم و قصد داریم در این مطلب شما را راهنمایی کنیم تا (Web Application Proxy(WAP خود را در یک شبکه DMZ قرار دهید.
و بدین صورت بتوانید تمام ورودی و خروجیهای ACL را مشخص نمایید.
چالش اصلی پیکر بندی کنترل کنندههای دامنه است تا بر پورتهای مشخص شده RPC باشند. پس ما تنها مجاز به استفاده از تعدادی پورتهای TCP/UDP میباشیم.
اسکریپت زیر باید بر روی هر Domain Controller اجرا شود که توسط سرورهای موجود در DMZ امکان پذیر است. اسکریپت زیر بر ویندوز سرور 2019 اجرا شده و تست گردیده است.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
#Set NTDS RPC port to static setting New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" -Name "TCP/IP Port" -Value 55000 -PropertyType "DWord" #Set Netlogon RPC port to static setting New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" -Name "DCTcpipPort Port" -Value 55001 -PropertyType "DWord" #Set NtFrs RPC port to static setting New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters" -Name "RPC TCP/IP Port Assignment" -Value 55002 -PropertyType "DWord" #Set RPC dynamic ports to static range setting New-Item "HKLM:\Software\Microsoft\RPC\Internet" New-ItemProperty "HKLM:\Software\Microsoft\RPC\Internet" -Name "Ports" -Value '55003-55303' -PropertyType MultiString -Force New-ItemProperty "HKLM:\SOFTWARE\Microsoft\Rpc\Internet" -Name "PortsInternetAvailable" -Value Y -PropertyType "String" New-ItemProperty "HKLM:\SOFTWARE\Microsoft\Rpc\Internet" -Name "UseInternetPorts" -Value Y -PropertyType "String" |
پس از راه اندازی مجدد Domain Controller، دستور gpupdate را روی سرور DMZ خود اجرا می کنم تا مطمئن شوم که سرویس های AD در دسترس هستند. برای اطمینان از عدم مسدود شدن پورت ، راه اندازی و ورود مجدد به سیستم را انجام میدهیم.
بدون دیدگاه