Active Directory : LDAP port 389 & 3268
Active Directory est le système d’annuaire utilisé par Microsoft pour la gestion des comptes utilisateurs au niveau Windows, des boites mail sur Exchange etc.
Comme tout système, on a besoin de s’y connecter pour vérifier des droits, extraire des données pour un annuaire téléphonique à fournir à un central et bien d’autres choses. Un des moyens, est d’utiliser le protocole LDAP. Microsoft a pour ce faire créer deux ports de connexion, le 389 et le 3268. Ces ports ne fournissent pas les mêmes informations.
Prenez un domaine « Active Directory » « sample.com », avec un sous domaines par pays de présences d’une société.
Vous obtenez par exemple ce qui suit :
- sample.com
- be.sample.com
- fr.sample.com
- de.sample.com
- gb.sample.com
Un moyen de vérifier que vous avez des sous domaines « Active Directory », c’est lors de la connexion avec Windows 2000, Windows XP ou Windows 2003, vous obtenez une liste avec dans notre cas :
- BE
- DE
- FR
- GB
- SAMPLE
Vous avez ensuite un contrôleur de domaine pour sample « dcsample ». Ensuite, un contrôleur de domaine secondaire par sous domaine « besample », « desample », « frsample » et « gbsample ». Ces contrôleurs de domaine secondaire se trouve chaque fois sous la gestion du sous-domaine correspond.
Lors de vos connexions en LDAP, vous vous connectez à l’un d’eux.
- Si vous vous connectez à un des contrôleurs de domaine via le port 389, vous n’obtiendrez que ce qui se trouve sous le (sous) domaine : machine, utilisateurs, etc.
EX : prenez le contrôleurs « besample », vous n’obtiendrez que ce que contient BE. Mais jamais ce qui se trouve sous DE, FR, GB voir SAMPLE - Si vous le faites via le 3268, vous obtiendrez ce qui se trouve dans le (sous) domaine, ainsi que tout autres de la forets, parents, enfants, frère etc.
Le but d’avoir deux ports ? réduire la charge de traitement des requêtes aussi bien au niveau des machines qu’au niveau du réseau.
2 commentaires
Nacer · 16/10/2017 à 13:03
Hello,
Petite précision :
Global Catalog -> port 3268
Le domaine –> port 389
Merci pour ton partage 😉
Proxy IMAP sous dovecot – Pascal MIETLICKI · 18/03/2021 à 10:29
[…] https://tibius.be/2009/08/31/active-directory-ldap-port-389-3268/ […]