Comment configurer un pare-feu pour les domaines et trusts Active Directory

  • 09/08/2020
  • 5 minutes de lecture
    • D
    • s

Cet article décrit comment configurer un pare-feu pour les domaines et trusts Active Directory.

Version originale du produit : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Numéro de KB original : 179442

Note

Les ports qui sont répertoriés dans les tableaux ici ne sont pas tous nécessaires dans tous les scénarios. Par exemple, si le pare-feu sépare les membres et les DC, vous n’avez pas besoin d’ouvrir les ports FRS ou DFSR. De même, si vous savez qu’aucun client n’utilise LDAP avec SSL/TLS, vous n’avez pas à ouvrir les ports 636 et 3269.

Plus d’informations

Note

Les deux contrôleurs de domaine sont tous deux dans la même forêt, ou les deux contrôleurs de domaine sont tous deux dans une forêt séparée. De plus, les trusts de la forêt sont des trusts Windows Server 2003 ou des trusts de version ultérieure.

Port(s) du client Port du serveur Service
1024-…65535/TCP 135/TCP RPC Endpoint Mapper
1024-65535/TCP 1024-65535/TCP RPC pour LSA, SAM, NetLogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS RPC (*)

Les ports NETBIOS tels que répertoriés pour Windows NT sont également requis pour Windows 2000 et Windows Server 2003 lorsque des trusts vers des domaines sont configurés qui ne prennent en charge que la communication basée sur NETBIOS. Les exemples sont les systèmes d’exploitation basés sur Windows NT ou les contrôleurs de domaine tiers qui sont basés sur Samba.

Pour plus d’informations sur la manière de définir les ports de serveur RPC qui sont utilisés par les services RPC LSA, voir :

  • Restreindre le trafic RPC Active Directory à un port spécifique.
  • La section Contrôleurs de domaine et Active Directory dans Aperçu des services et exigences en matière de port réseau pour Windows.

Windows Server 2008 et versions ultérieures

Les nouvelles versions de Windows Server 2008 ont augmenté la plage de port client dynamique pour les connexions sortantes. Le nouveau port de début par défaut est 49152, et le port de fin par défaut est 65535. Par conséquent, vous devez augmenter la plage de ports RPC dans vos pare-feu. Ce changement a été effectué pour se conformer aux recommandations de l’Internet Assigned Numbers Authority (IANA). Cela diffère d’un domaine en mode mixte composé de contrôleurs de domaine Windows Server 2003, de contrôleurs de domaine basés sur Windows 2000 Server ou de clients hérités, où la plage de ports dynamiques par défaut est de 1025 à 5000.

Pour plus d’informations sur la modification de la plage de ports dynamiques dans Windows Server 2012 et Windows Server 2012 R2, voir :

  • La plage de ports dynamiques par défaut pour TCP/IP a changé.
  • Ports dynamiques dans Windows Server.
Port(s) client Port serveur Service
49152 -65535/UDP 123/UDP W32Time
49152 -.65535/TCP 135/TCP RPC Endpoint Mapper
49152 -65535/TCP 464/TCP/UDP Changement de mot de passe Kerberos
49152 -65535/TCP 49152-65535/TCP RPC pour LSA, SAM, NetLogon (*)
49152 -65535/TCP/UDP 389/TCP/UDP LDAP
49152 -65535/TCP 636/TCP LDAP SSL
49152 -65535/TCP 3268/TCP LDAP GC
49152 -65535/TCP 3269/TCP LDAP GC SSL
53, 49152 -65535/TCP/UDP 53/TCP/UDP DNS
49152 -65535/TCP 49152 -65535/TCP FRS RPC (*)
49152 -65535/TCP/UDP 88/TCP/UDP Kerberos
49152 -65535/TCP/UDP 445/TCP SMB (**)
49152 -65535/TCP 49152-65535/TCP DFSR RPC (*)

Les ports NETBIOS tels que répertoriés pour Windows NT sont également requis pour Windows 2000 et Server 2003 lorsque des trusts vers des domaines sont configurés qui ne prennent en charge que la communication basée sur NETBIOS. Les exemples sont les systèmes d’exploitation basés sur Windows NT ou les contrôleurs de domaine tiers qui sont basés sur Samba.

(*) Pour plus d’informations sur la manière de définir les ports de serveur RPC qui sont utilisés par les services RPC LSA, voir :

  • Restreindre le trafic RPC Active Directory à un port spécifique.
  • La section Contrôleurs de domaine et Active Directory dans Vue d’ensemble des services et exigences de port réseau pour Windows.

(**) Pour le fonctionnement de la confiance, ce port n’est pas nécessaire, il est utilisé pour la création de la confiance uniquement.

Note

La confiance externe 123/UDP n’est nécessaire que si vous avez configuré manuellement le service de temps Windows pour qu’il se synchronise avec un serveur à travers la confiance externe.

Active Directory

Dans Windows 2000 et Windows XP, l’Internet Control Message Protocol (ICMP) doit être autorisé à travers le pare-feu des clients aux contrôleurs de domaine pour que le client de stratégie de groupe Active Directory puisse fonctionner correctement à travers un pare-feu. ICMP est utilisé pour déterminer si le lien est un lien lent ou un lien rapide.

Dans Windows Server 2008 et les versions ultérieures, le service de connaissance de l’emplacement du réseau fournit l’estimation de la bande passante en fonction du trafic avec les autres stations du réseau. Il n’y a pas de trafic généré pour l’estimation.

Le Redirecteur Windows utilise également les messages ICMP Ping pour vérifier qu’une IP de serveur est résolue par le service DNS avant qu’une connexion soit établie, et lorsqu’un serveur est localisé en utilisant DFS. Si vous voulez minimiser le trafic ICMP, vous pouvez utiliser l’exemple de règle de pare-feu suivant:

<any> ICMP -> DC IP addr = allow

Contrairement à la couche de protocole TCP et à la couche de protocole UDP, ICMP n’a pas de numéro de port. Cela est dû au fait que ICMP est directement hébergé par la couche IP.

Par défaut, les serveurs DNS de Windows Server 2003 et Windows 2000 Server utilisent des ports éphémères côté client lorsqu’ils interrogent d’autres serveurs DNS. Toutefois, ce comportement peut être modifié par un paramètre de registre spécifique. Vous pouvez également établir une confiance par le biais du tunnel obligatoire du protocole PPTP (Point-to-Point Tunneling Protocol). Cela limite le nombre de ports que le pare-feu doit ouvrir. Pour le PPTP, les ports suivants doivent être activés.

Ports clients Port serveur Protocole
1024-65535/TCP 1723/TCP PPTP

En outre, vous devriez activer le PROTOCOLE IP 47 (GRE).

Note

Lorsque vous ajoutez des autorisations à une ressource sur un domaine de confiance pour les utilisateurs d’un domaine de confiance, il existe quelques différences entre le comportement de Windows 2000 et de Windows NT 4.0. Si l’ordinateur ne peut pas afficher la liste des utilisateurs du domaine distant, envisagez le comportement suivant :

  • Windows NT 4.0 tente de résoudre les noms saisis manuellement en contactant le PDC du domaine de l’utilisateur distant (UDP 138). Si cette communication échoue, un ordinateur basé sur Windows NT 4.0 contacte son propre PDC, puis demande la résolution du nom.
  • Windows 2000 et Windows Server 2003 essaient également de contacter le PDC de l’utilisateur distant pour la résolution sur UDP 138. Cependant, ils ne comptent pas sur l’utilisation de leur propre PDC. Assurez-vous que tous les serveurs membres basés sur Windows 2000 et les serveurs membres basés sur Windows Server 2003 qui accorderont l’accès aux ressources disposent d’une connectivité UDP 138 au PDC distant.

Référence

La vue d’ensemble des services et les exigences des ports réseau pour Windows est une ressource précieuse décrivant les ports, les protocoles et les services réseau requis qui sont utilisés par les systèmes d’exploitation client et serveur Microsoft, les programmes basés sur serveur et leurs sous-composants dans le système Microsoft Windows Server. Les administrateurs et les professionnels de l’assistance peuvent utiliser l’article comme une feuille de route pour déterminer les ports et les protocoles dont les systèmes d’exploitation et les programmes Microsoft ont besoin pour la connectivité réseau dans un réseau segmenté.

Vous ne devez pas utiliser les informations sur les ports dans Présentation des services et exigences des ports réseau pour Windows pour configurer le Pare-feu Windows. Pour plus d’informations sur la configuration du pare-feu Windows, voir Pare-feu Windows avec sécurité avancée.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.