- 09/08/2020
- 5 minut čtení
-
-
D -
s
-
Tento článek popisuje konfiguraci brány firewall pro domény a vztahy důvěryhodnosti služby Active Directory.
Původní verze produktu: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Původní číslo KB: 179442
Poznámka
Ne všechny porty, které jsou zde uvedeny v tabulkách, jsou vyžadovány ve všech scénářích. Pokud například brána firewall odděluje členy a DC, nemusíte otevírat porty FRS nebo DFSR. Také pokud víte, že žádný klient nepoužívá LDAP s protokolem SSL/TLS, nemusíte otevírat porty 636 a 3269.
Další informace
Poznámka
Dva řadiče domény jsou oba ve stejné doménové struktuře nebo jsou oba řadiče domény v samostatné doménové struktuře. Také vztahy důvěryhodnosti v doménové struktuře jsou vztahy důvěryhodnosti systému Windows Server 2003 nebo novější verze.
| Port(y) klienta | Port serveru | Služba | |
|---|---|---|---|
| 1024-65535/TCP | 135/TCP | RPC Endpoint Mapper | |
| 1024-65535/TCP | 1024-65535/TCP | RPC pro LSA, SAM, NetLogon (*) | |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP | |
| 1024-65535/TCP | 636/TCP | LDAP SSL | |
| 1024-65535/TCP | 3268/TCP | LDAP GC | |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL | |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS | |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos | |
| 1024-65535/TCP | 445/TCP | SMB | |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) | |
PortyNETBIOS uvedené pro Windows NT jsou vyžadovány také pro Windows 2000 a Windows Server 2003, pokud jsou nakonfigurovány trusty k doménám, které podporují pouze komunikaci založenou na NETBIOS. Příkladem jsou operační systémy založené na Windows NT nebo řadiče domény třetích stran, které jsou založeny na Samba.
Další informace o tom, jak definovat porty serveru RPC, které jsou používány službami LSA RPC, najdete v části:
- Omezení provozu RPC služby Active Directory na určitý port.
- Kapitola Řadiče domény a služba Active Directory v části Přehled služeb a požadavky na síťové porty pro systém Windows.
Windows Server 2008 a novější verze
Novější verze systému Windows Server 2008 zvýšily dynamický rozsah klientských portů pro odchozí připojení. Nový výchozí počáteční port je 49152 a výchozí koncový port je 65535. Proto je nutné zvýšit rozsah portů RPC ve firewallech. Tato změna byla provedena v souladu s doporučeními úřadu IANA (Internet Assigned Numbers Authority). Tím se liší od domény se smíšeným režimem, která se skládá z řadičů domény se systémem Windows Server 2003, řadičů domény založených na serveru Windows 2000 nebo starších klientů, kde je výchozí rozsah dynamických portů 1025 až 5000.
Další informace o změně rozsahu dynamických portů v systémech Windows Server 2012 a Windows Server 2012 R2 naleznete v:
- Změnil se výchozí rozsah dynamických portů pro protokol TCP/IP.
- Dynamické porty v systému Windows Server.
| Klientský port(y) | Serverový port | Služba |
|---|---|---|
| 49152 -65535/UDP | 123/UDP | W32Time |
| 49152 -.65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 49152 -65535/TCP | 464/TCP/UDP | Kerberos změna hesla |
| 49152 -65535/TCP | 49152-65535/TCP | RPC pro LSA, SAM, NetLogon (*) |
| 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152 -65535/TCP | 636/TCP | LDAP SSL |
| 49152 -.65535/TCP | 3268/TCP | LDAP GC |
| 49152 -65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152 -65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152 -65535/TCP | 49152 -65535/TCP | FRS RPC (*) |
| 49152 -.65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152 -65535/TCP/UDP | 445/TCP | SMB (**) |
| 49152 -65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
Porty systému NETBIOS uvedené pro systém Windows NT jsou vyžadovány také pro systémy Windows 2000 a Server 2003, pokud jsou nakonfigurovány trusty do domén, které podporují pouze komunikaci založenou na systému NETBIOS. Příkladem jsou operační systémy založené na Windows NT nebo řadiče domény třetích stran, které jsou založeny na Sambě.
(*) Informace o tom, jak definovat porty serveru RPC, které jsou používány službami LSA RPC, najdete v části:
- Omezení provozu RPC služby Active Directory na určitý port.
- Kapitola Řadiče domény a Active Directory v části Přehled služeb a požadavky na síťové porty pro systém Windows.
(**) Pro provoz důvěryhodnosti není tento port vyžadován, používá se pouze pro vytvoření důvěryhodnosti.
Poznámka
Vnější důvěryhodnost 123/UDP je nutná pouze v případě, že jste ručně nakonfigurovali službu Windows Time Service pro synchronizaci se serverem přes vnější důvěryhodnost.
Active Directory
V systémech Windows 2000 a Windows XP musí být protokol ICMP (Internet Control Message Protocol) povolen přes bránu firewall od klientů k řadičům domény, aby klient zásad skupiny Active Directory mohl správně fungovat přes bránu firewall. Protokol ICMP se používá k určení, zda se jedná o pomalou nebo rychlou linku.
V systému Windows Server 2008 a novějších verzích poskytuje služba Network Location Awareness Service odhad šířky pásma na základě provozu s ostatními stanicemi v síti. Pro odhad není generován žádný provoz.
Služba Windows Redirector také používá zprávy ICMP Ping k ověření, zda je IP adresa serveru přeložena službou DNS před navázáním spojení, a pokud je server lokalizován pomocí systému DFS. Pokud chcete minimalizovat provoz ICMP, můžete použít následující ukázkové pravidlo brány firewall:
<any> ICMP -> DC IP addr = allow
Na rozdíl od vrstvy protokolu TCP a vrstvy protokolu UDP nemá protokol ICMP číslo portu. Je to proto, že protokol ICMP je přímo hostován vrstvou IP.
Ve výchozím nastavení používají servery DNS systémů Windows Server 2003 a Windows 2000 Server při dotazování jiných serverů DNS efemerní porty na straně klienta. Toto chování však lze změnit specifickým nastavením registru. Nebo můžete vytvořit důvěryhodnost prostřednictvím povinného tunelu PPTP (Point-to-Point Tunneling Protocol). Tím se omezí počet portů, které musí brána firewall otevřít. Pro protokol PPTP musí být povoleny následující porty.
| Porty klienta | Port serveru | Protokol |
|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
Kromě toho, byste museli povolit IP PROTOKOL 47 (GRE).
Poznámka
Při přidávání oprávnění k prostředku v důvěryhodné doméně pro uživatele v důvěryhodné doméně existují určité rozdíly mezi chováním systému Windows 2000 a Windows NT 4.0. Při přidávání oprávnění k prostředku v důvěryhodné doméně pro uživatele v důvěryhodné doméně existují určité rozdíly. Pokud počítač nemůže zobrazit seznam uživatelů vzdálené domény, zvažte následující chování:
- Systém Windows NT 4.0 se snaží překládat ručně zadaná jména kontaktováním PDC pro doménu vzdáleného uživatele (UDP 138). Pokud tato komunikace selže, počítač se systémem Windows NT 4.0 kontaktuje svůj vlastní PDC a poté požádá o rozlišení názvu.
- Systémy Windows 2000 a Windows Server 2003 se také pokoušejí kontaktovat PDC vzdáleného uživatele za účelem rozlišení přes UDP 138. V případě, že je tato komunikace neúspěšná, počítač se systémem Windows NT 4.0 kontaktuje svůj vlastní PDC a poté požádá o rozlišení názvu. Nespoléhají se však na použití vlastního PDC. Ujistěte se, že všechny členské servery se systémem Windows 2000 a členské servery se systémem Windows Server 2003, které budou poskytovat přístup k prostředkům, mají připojení UDP 138 ke vzdálenému PDC.
Reference
Přehled služeb a požadavků na síťové porty pro systém Windows je cenný zdroj informací, který popisuje požadované síťové porty, protokoly a služby, které používají klientské a serverové operační systémy společnosti Microsoft, serverové programy a jejich dílčí součásti v systému Microsoft Windows Server. Správci a odborníci na podporu mohou článek použít jako plán pro určení, které porty a protokoly vyžadují operační systémy a programy společnosti Microsoft pro síťové připojení v segmentované síti.
Informace o portech v Přehledu služeb a požadavků na síťové porty pro systém Windows byste neměli používat ke konfiguraci brány Windows Firewall. Informace o konfiguraci brány Windows Firewall najdete v části Brána Windows Firewall s pokročilým zabezpečením.