Sådan konfigurerer du en firewall til Active Directory-domæner og -tillidsforhold

  • 09/08/2020
  • 5 minutter at læse
    • D
    • s

Denne artikel beskriver, hvordan du konfigurerer en firewall til Active Directory-domæner og -tillidsforhold.

Original produktversion: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Originalt KB-nummer: 179442

Note

Det er ikke alle de porte, der er anført i tabellerne her, der er påkrævet i alle scenarier. Hvis firewallen f.eks. adskiller medlemmer og DC’er, behøver du ikke at åbne FRS eller DFSR-portene. Hvis du ved, at ingen klienter bruger LDAP med SSL/TLS, behøver du heller ikke at åbne port 636 og 3269.

Mere information

Note

De to domænecontrollere er begge i den samme skov, eller de to domænecontrollere er begge i en separat skov. Desuden er trusts i skoven Windows Server 2003-trusts eller trusts i en nyere version.

Klientport(er) Serverport Serverport Service
1024-65535/TCP 135/TCP RPC Endpoint Mapper
1024-65535/TCP 1024-65535/TCP RPC for LSA, SAM, NetLogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS RPC (*)

NETBIOS-porte som anført for Windows NT er også påkrævet for Windows 2000 og Windows Server 2003, når der konfigureres tillid til domæner, der kun understøtter NETBIOS-baseret kommunikation. Eksempler er Windows NT-baserede operativsystemer eller domænecontrollere fra tredjeparter, der er baseret på Samba.

For yderligere oplysninger om, hvordan du definerer RPC-serverporte, der bruges af LSA RPC-tjenesterne, se:

  • Begrænsning af Active Directory RPC-trafik til en bestemt port.
  • Afsnittet Domænecontrollere og Active Directory i Oversigt over tjenester og netværksportkrav til Windows.

Windows Server 2008 og nyere versioner

Windows Server 2008 nyere versioner af Windows Server har øget det dynamiske klientportområde for udgående forbindelser. Den nye standardstartport er 49152, og standardslutporten er 65535. Derfor skal du øge RPC-portområdet i dine firewalls. Denne ændring blev foretaget for at overholde IANA-anbefalingerne (Internet Assigned Numbers Authority). Dette adskiller sig fra et domæne med blandet tilstand, der består af Windows Server 2003-domænecontrollere, Windows 2000-serverbaserede domænecontrollere eller ældre klienter, hvor det dynamiske standardportområde er 1025 til 5000.

For flere oplysninger om ændringen af det dynamiske portområde i Windows Server 2012 og Windows Server 2012 R2, se:

  • Det dynamiske standardportområde for TCP/IP er ændret.
  • Dynamiske porte i Windows Server.
Clientport(er) Serverport Serverport Service
49152 -65535/UDP 123/UDP W32Time
49152 -65535/TCP 135/TCP RPC Endpoint Mapper
49152 -65535/TCP 464/TCP/UDP Kerberos password change
49152 -65535/TCP 49152-65535/TCP RPC for LSA, SAM, NetLogon (*)
49152 -6553535/TCP/UDP 389/TCP/UDP LDAP
49152 -65535/TCP 636/TCP LDAP SSL
49152 -65535/TCP 636/TCP LDAP SSL
49152 -65535/TCP 636/TCP 4915265535/TCP 3268/TCP LDAP GC
49152 -65535/TCP 3269/TCP LDAP GC SSL
53, 49152 -6553535/TCP/UDP 53/TCP/UDP DNS
49152 -65535/TCP 49152 -65535/TCP FRS RPC (*)
49152 -65535/TCP 49152 -65535/TCP 49152 -65535/TCP 49152 -65535/TCP 4915265535/TCP/UDP 88/TCP/UDP Kerberos
49152 -65535/TCP/UDP 445/TCP SMB (**)
49152 – -65535/TCP/UDP 445/TCP SMB (**)
49152 -65535/TCP/UDP 65535/TCP 49152-65535/TCP DFSR RPC (*)

NETBIOS-porte som anført for Windows NT er også påkrævet for Windows 2000 og Server 2003, når der er konfigureret tillid til domæner, der kun understøtter NETBIOS-baseret kommunikation. Eksempler er Windows NT-baserede operativsystemer eller domænecontrollere fra tredjepart, der er baseret på Samba.

(*) Du kan finde oplysninger om, hvordan du definerer RPC-serverporte, der bruges af LSA RPC-tjenesterne, under:

  • Begrænsning af Active Directory RPC-trafik til en bestemt port.
  • Afsnittet Domænecontrollere og Active Directory i Oversigt over tjenester og netværksportkrav til Windows.

(**) For driften af tillid er denne port ikke påkrævet, den bruges kun til oprettelse af tillid.

Note

Extern tillid 123/UDP er kun nødvendig, hvis du manuelt har konfigureret Windows Tidstjeneste til at synkronisere med en server på tværs af den eksterne tillid.

Active Directory

I Windows 2000 og Windows XP skal Internet Control Message Protocol (ICMP) tillades gennem firewallen fra klienterne til domænecontrollerne, så Active Directory-gruppepolitikklienten kan fungere korrekt gennem en firewall. ICMP bruges til at afgøre, om forbindelsen er en langsom forbindelse eller en hurtig forbindelse.

I Windows Server 2008 og senere versioner giver tjenesten Network Location Awareness Service et båndbreddeestimat baseret på trafikken med andre stationer på netværket. Der genereres ingen trafik til estimatet.

Windows Redirector bruger også ICMP Ping-meddelelser til at verificere, at en server-IP er opløst af DNS-tjenesten, før der oprettes en forbindelse, og når en server er lokaliseret ved hjælp af DFS. Hvis du vil minimere ICMP-trafikken, kan du bruge følgende eksempel på en firewallregel:

<any> ICMP -> DC IP addr = allow

I modsætning til TCP-protokollaget og UDP-protokollaget har ICMP ikke et portnummer. Det skyldes, at ICMP er direkte hostet af IP-laget.

Som standard bruger DNS-servere i Windows Server 2003 og Windows 2000 Server ephemerale porte på klientsiden, når de forespørger andre DNS-servere. Denne adfærd kan dog ændres ved hjælp af en bestemt indstilling i registreringsdatabasen. Du kan også etablere tillid via den obligatoriske PPTP-tunnel (Point-to-Point Tunneling Protocol). Dette begrænser antallet af porte, som firewallen skal åbne. For PPTP skal følgende porte være aktiveret.

Klientporte Serverport Protokol
1024-65535/TCP 1723/TCP PPTP

Dertil kommer, skal du desuden aktivere IP PROTOCOL 47 (GRE).

Note

Når du tilføjer tilladelser til en ressource på et betroet domæne for brugere i et betroet domæne, er der nogle forskelle mellem Windows 2000- og Windows NT 4.0-adfærden. Hvis computeren ikke kan vise en liste over fjerndomænets brugere, skal du overveje følgende adfærd:

  • Windows NT 4.0 forsøger at opløse manuelt indtastede navne ved at kontakte PDC’en for fjernbrugerens domæne (UDP 138). Hvis denne kommunikation mislykkes, kontakter en Windows NT 4.0-baseret computer sin egen PDC og beder derefter om opløsning af navnet.
  • Windows 2000 og Windows Server 2003 forsøger også at kontakte fjernbrugerens PDC med henblik på opløsning via UDP 138. De er dog ikke afhængige af at bruge deres egen PDC. Sørg for, at alle Windows 2000-baserede medlemsservere og Windows Server 2003-baserede medlemsservere, der skal give adgang til ressourcer, har UDP 138-forbindelse til fjern-PDC’en.

Reference

Serviceoversigt og netværksportkrav til Windows er en værdifuld ressource, der beskriver de krævede netværksporte, protokoller og tjenester, der anvendes af Microsoft klient- og serveroperativsystemer, serverbaserede programmer og deres underkomponenter i Microsoft Windows Server-systemet. Administratorer og supportmedarbejdere kan bruge artiklen som en køreplan til at bestemme, hvilke porte og protokoller Microsoft-operativsystemer og -programmer der kræves for netværksforbindelse i et segmenteret netværk.

Du bør ikke bruge portoplysningerne i Oversigt over tjenester og netværksportkrav til Windows til at konfigurere Windows Firewall. Du kan finde oplysninger om, hvordan du konfigurerer Windows Firewall, i Windows Firewall med avanceret sikkerhed.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.