- 09/08/2020
- 5 Minuten zu lesen
-
-
D -
s
-
Dieser Artikel beschreibt, wie Sie eine Firewall für Active Directory-Domänen und -Vertrauensstellungen konfigurieren.
Originalproduktversion: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Original-KB-Nummer: 179442
Hinweis
Nicht alle Ports, die hier in den Tabellen aufgeführt sind, werden in allen Szenarien benötigt. Wenn zum Beispiel die Firewall Mitglieder und DCs trennt, müssen Sie die FRS- oder DFSR-Ports nicht öffnen. Wenn Sie wissen, dass keine Clients LDAP mit SSL/TLS verwenden, müssen Sie auch die Ports 636 und 3269 nicht öffnen.
Weitere Informationen
Hinweis
Die beiden Domänencontroller befinden sich beide in derselben Gesamtstruktur oder die beiden Domänencontroller befinden sich beide in einer separaten Gesamtstruktur. Außerdem handelt es sich bei den Trusts in der Gesamtstruktur um Windows Server 2003-Trusts oder um Trusts einer neueren Version.
| Client Port(s) | Server Port | Service |
|---|---|---|
| 1024-65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 1024-65535/TCP | 1024-65535/TCP | RPC für LSA, SAM, NetLogon (*) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
NETBIOS-Ports, wie sie für Windows NT aufgeführt sind, sind auch für Windows 2000 und Windows Server 2003 erforderlich, wenn Vertrauensstellungen zu Domänen konfiguriert werden, die nur NETBIOS-basierte Kommunikation unterstützen. Beispiele sind Windows NT-basierte Betriebssysteme oder Domänencontroller von Drittanbietern, die auf Samba basieren.
Weitere Informationen zum Definieren von RPC-Server-Ports, die von den LSA-RPC-Diensten verwendet werden, finden Sie unter:
- Einschränken des Active Directory-RPC-Verkehrs auf einen bestimmten Port.
- Der Abschnitt Domänencontroller und Active Directory in Dienstübersicht und Netzwerkportanforderungen für Windows.
Windows Server 2008 und neuere Versionen
Windows Server 2008 Neuere Versionen von Windows Server haben den dynamischen Client-Portbereich für ausgehende Verbindungen erhöht. Der neue Standardstartport ist 49152 und der Standardendport ist 65535. Daher müssen Sie den RPC-Portbereich in Ihren Firewalls erhöhen. Diese Änderung wurde vorgenommen, um den Empfehlungen der Internet Assigned Numbers Authority (IANA) zu entsprechen. Dies unterscheidet sich von einer Mixed-Mode-Domäne, die aus Windows Server 2003-Domänencontrollern, Windows 2000-Server-basierten Domänencontrollern oder Legacy-Clients besteht, wo der standardmäßige dynamische Portbereich 1025 bis 5000 beträgt.
Weitere Informationen über die Änderung des dynamischen Portbereichs in Windows Server 2012 und Windows Server 2012 R2 finden Sie unter:
- Der standardmäßige dynamische Portbereich für TCP/IP hat sich geändert.
- Dynamische Ports in Windows Server.
| Client Port(s) | Server Port | Service |
|---|---|---|
| 49152 -65535/UDP | 123/UDP | W32Time |
| 49152 -65535/TCP | 135/TCP | RPC Endpunkt Mapper |
| 49152 -65535/TCP | 464/TCP/UDP | Kerberos-Passwortänderung |
| 49152 -65535/TCP | 49152-65535/TCP | RPC für LSA, SAM, NetLogon (*) |
| 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152 -65535/TCP | 636/TCP | LDAP SSL |
| 49152 -65535/TCP | 3268/TCP | LDAP GC |
| 49152 -65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152 -65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152 -65535/TCP | 49152 -65535/TCP | FRS RPC (*) |
| 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152 -65535/TCP/UDP | 445/TCP | SMB (**) |
| 49152 -65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
NETBIOS-Ports, wie sie für Windows NT aufgeführt sind, sind auch für Windows 2000 und Server 2003 erforderlich, wenn Vertrauensstellungen zu Domänen konfiguriert werden, die nur NETBIOS-basierte Kommunikation unterstützen. Beispiele sind Windows NT-basierte Betriebssysteme oder Domänencontroller von Drittanbietern, die auf Samba basieren.
(*) Informationen zum Definieren von RPC-Server-Ports, die von den LSA-RPC-Diensten verwendet werden, finden Sie unter:
- Einschränken des Active Directory-RPC-Datenverkehrs auf einen bestimmten Port.
- Der Abschnitt Domänencontroller und Active Directory in Dienstübersicht und Netzwerkportanforderungen für Windows.
(**) Für den Betrieb des Trusts ist dieser Port nicht erforderlich, er wird nur für die Trust-Erstellung verwendet.
Hinweis
Die externe Vertrauensstellung 123/UDP wird nur benötigt, wenn Sie den Windows-Zeitdienst manuell so konfiguriert haben, dass er sich mit einem Server über die externe Vertrauensstellung synchronisiert.
Active Directory
In Windows 2000 und Windows XP muss das Internet Control Message Protocol (ICMP) durch die Firewall von den Clients zu den Domänencontrollern zugelassen werden, damit der Active Directory-Gruppenrichtlinien-Client durch eine Firewall hindurch korrekt funktionieren kann. ICMP wird verwendet, um festzustellen, ob es sich bei der Verbindung um eine langsame oder eine schnelle Verbindung handelt.
In Windows Server 2008 und späteren Versionen stellt der Network Location Awareness Service die Bandbreitenschätzung basierend auf dem Datenverkehr mit anderen Stationen im Netzwerk bereit. Für die Schätzung wird kein Datenverkehr erzeugt.
Der Windows Redirector verwendet auch ICMP-Ping-Nachrichten, um zu überprüfen, ob eine Server-IP vom DNS-Dienst aufgelöst wird, bevor eine Verbindung hergestellt wird, und wenn ein Server mithilfe von DFS gefunden wird. Wenn Sie den ICMP-Verkehr minimieren möchten, können Sie die folgende Beispiel-Firewall-Regel verwenden:
<any> ICMP -> DC IP addr = allow
Im Gegensatz zur TCP-Protokollschicht und der UDP-Protokollschicht hat ICMP keine Portnummer. Das liegt daran, dass ICMP direkt von der IP-Schicht gehostet wird.
Standardmäßig verwenden Windows Server 2003 und Windows 2000 Server DNS-Server ephemere clientseitige Ports, wenn sie andere DNS-Server abfragen. Dieses Verhalten kann jedoch durch eine spezielle Registrierungseinstellung geändert werden. Sie können auch eine Vertrauensstellung durch den obligatorischen Tunnel des Point-to-Point Tunneling Protocol (PPTP) herstellen. Dies schränkt die Anzahl der Ports ein, die die Firewall öffnen muss. Für PPTP müssen die folgenden Ports aktiviert sein.
| Client-Ports | Server-Port | Protokoll |
|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
Zudem, müssen Sie IP PROTOCOL 47 (GRE) aktivieren.
Hinweis
Wenn Sie einer Ressource in einer vertrauenswürdigen Domäne Berechtigungen für Benutzer in einer vertrauenswürdigen Domäne hinzufügen, gibt es einige Unterschiede zwischen dem Verhalten von Windows 2000 und Windows NT 4.0. Wenn der Computer keine Liste der Benutzer der Remotedomäne anzeigen kann, beachten Sie das folgende Verhalten:
- Windows NT 4.0 versucht, manuell eingegebene Namen aufzulösen, indem es den PDC für die Domäne des Remotebenutzers kontaktiert (UDP 138). Wenn diese Kommunikation fehlschlägt, kontaktiert ein Windows NT 4.0-basierter Computer seinen eigenen PDC und fordert dann die Auflösung des Namens an.
- Windows 2000 und Windows Server 2003 versuchen ebenfalls, den PDC des Remote-Benutzers für die Auflösung über UDP 138 zu kontaktieren. Sie sind jedoch nicht auf die Verwendung ihres eigenen PDC angewiesen. Stellen Sie sicher, dass alle Windows 2000-basierten Mitgliedsserver und Windows Server 2003-basierten Mitgliedsserver, die Zugriff auf Ressourcen gewähren werden, über eine UDP 138-Verbindung zum Remote-PDC verfügen.
Referenz
Die Dienstübersicht und Netzwerkportanforderungen für Windows ist eine wertvolle Ressource, die die erforderlichen Netzwerkports, Protokolle und Dienste beschreibt, die von Microsoft Client- und Server-Betriebssystemen, serverbasierten Programmen und ihren Unterkomponenten im Microsoft Windows Server-System verwendet werden. Administratoren und Supportmitarbeiter können den Artikel als Roadmap verwenden, um festzustellen, welche Ports und Protokolle Microsoft-Betriebssysteme und -Programme für die Netzwerkkonnektivität in einem segmentierten Netzwerk benötigen.
Sie sollten die Portinformationen in Dienstübersicht und Netzwerkportanforderungen für Windows nicht zur Konfiguration der Windows Firewall verwenden. Informationen zur Konfiguration der Windows-Firewall finden Sie unter Windows-Firewall mit erweiterter Sicherheit.