Règles de pare-feu requises pour le service d'enregistrement des périphériques réseau (NDES)

Lorsque l'on implémente un service d'inscription de périphériques réseau (NDES), il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.

Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .

Clients de NDES

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

NDES est un service basé sur le web qui peut être utilisé via HTTP et HTTPS. En conséquence, les ports TCP 80 et 443 doivent être ouverts. La page web d'administration de NDES ne devrait toutefois être accessible que par HTTPS.

Protocole réseau	Port de destination	Protocole
TCP	80	Protocole de transfert hypertexte (HTTP, non recommandé)
TCP	443	Protocole de transfert hypertexte sécurisé (HTTPS)

NDES zur Zertifizierungsstelle

De manière tout à fait analogue à tous les autres clients, les les ports pour la demande de certificat vers l'autorité de certification à ouvrir.

Protocole réseau	Port de destination	Protocole
TCP	135	Mappeur de points d'accès RPC
TCP	49152-65535	Ports dynamiques RPC

NDES sur le domaine

Le serveur NDES est généralement un membre du domaine, de sorte que les règles générales de la communication de domaine s'appliquent ici.

Protocole réseau	Port de destination	Protocole
TCP et UDP	53	Système de noms de domaine
TCP	88	Kerberos
UDP	123	NTP
TCP	135	Mappeur de points d'accès RPC
TCP et UDP	389	LDAP
TCP	445	Bloc de messages du serveur RPC Pipes nommés
TCP	636	LDAP sur SSL
TCP	3268	GC LDAP
TCP	3269	LDAP-GC sur SSL
TCP	49152-65535	Ports dynamiques RPC

Restaurer les règles par défaut du pare-feu Windows

Enable-NetFirewallRule -Name "IIS-WebServerRole-HTTP-In-TCP"
Enable-NetFirewallRule -Name "IIS-WebServerRole-HTTPS-In-TCP"

Cas particulier de l'installation de rôles de NDES

Pendant l'installation du rôle NDES, il est nécessaire qu'une communication via RPC Named Pipes (port TCP 445) vers les contrôleurs de domaine racine de la structure globale soit possible.

Voir l'article "La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "Insufficient access rights to perform this operation. 0x80072098 (WIN32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"." pour plus d'informations.

Liens complémentaires :

• Règles de pare-feu requises pour Active Directory Certificate Services
• Règles de pare-feu requises pour le service web de politique d'enregistrement des certificats (CEP)
• Règles de pare-feu requises pour le service web d'enregistrement des certificats (CES)
• Règles de pare-feu nécessaires pour le répondeur en ligne (OCSP)
• Règles de pare-feu requises pour l'enregistrement web de l'autorité de certification (CAWE)
• Activer le SSL (Secure Sockets Layer) pour le service d'enregistrement des périphériques réseau (NDES)