- 09/08/2020
- 5 minuuttia aikaa
-
-
D -
s
-
Tässä artikkelissa kuvataan palomuurin määrittäminen Active Directory -verkkotunnuksia ja -luottamuksia varten.
Tuotteen alkuperäinen versio:
Alkuperäinen KB-numero: 179442
Huomautus
Kaikkia tässä taulukossa lueteltuja portteja ei tarvita kaikissa skenaarioissa. Jos esimerkiksi palomuuri erottaa jäsenet ja DC:t toisistaan, FRS- tai DFSR-portteja ei tarvitse avata. Jos tiedät myös, että yksikään asiakas ei käytä LDAP:tä SSL/TLS:n kanssa, sinun ei tarvitse avata portteja 636 ja 3269.
Lisätietoja
Huomautus
Kahden toimialueen ohjaimen molemmat ovat samassa metsässä tai molemmat toimialueen ohjaimet ovat eri metsässä. Lisäksi metsän luottamukset ovat Windows Server 2003 -luottamuksia tai uudemman version luottamuksia.
| Client Port(s) | Server Port | Service | |
|---|---|---|---|
| 1024-65535/TCP | 135/TCP | RPC Endpoint Mapper | |
| 1024-65535/TCP | 1024-65535/TCP | RPC for LSA, SAM, NetLogon (*) | |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP | |
| 1024-65535/TCP | 636/TCP | LDAP SSL | |
| 1024-…65535/TCP | 3268/TCP | LDAP GC | |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL | |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS | |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos | |
| 1024-65535/TCP | 445/TCP | SMB | |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) | |
Windows NT:n osalta lueteltuja NETBIOS-portteja tarvitaan myös Windows 2000:n ja Windows Server 2003:n osalta, kun luottamus toimialueisiin on määritetty siten, että ne tukevat vain NETBIOS-pohjaista viestintää. Esimerkkejä ovat Windows NT-pohjaiset käyttöjärjestelmät tai Sambaan perustuvat kolmannen osapuolen toimialueohjaimet.
Lisätietoja LSA:n RPC-palveluiden käyttämien RPC-palvelinporttien määrittämisestä on osoitteessa:
- Active Directory RPC-liikenteen rajoittaminen tiettyyn porttiin.
- Toimialueen ohjaimet ja Active Directory -osion Palveluiden yleiskuvaus ja Windows-verkon porttivaatimukset.
Windows Server 2008 ja uudemmat versiot
Windows Server 2008:n uudemmissa Windows Server -versioissa on kasvatettu dynaamisten asiakaspalvelimien porttivalikoimaa lähteville yhteyksille. Uusi oletusarvoinen aloitusportti on 49152 ja oletusarvoinen loppuportti on 65535. Siksi sinun on lisättävä RPC-porttialuetta palomuureissasi. Tämä muutos tehtiin IANA:n (Internet Assigned Numbers Authority) suositusten noudattamiseksi. Tämä eroaa sekatilan toimialueesta, joka koostuu Windows Server 2003 -toimialueenohjaimista, Windows 2000 -palvelimiin perustuvista toimialueenohjaimista tai vanhoista asiakkaista, joissa oletusarvoinen dynaaminen porttialue on 1025-5000.
Lisätietoja dynaamisen porttialueen muutoksesta Windows Server 2012:ssa ja Windows Server 2012 R2:ssa on osoitteessa:
- TCP/IP:n oletusarvoinen dynaaminen porttialue on muuttunut.
- Dynaamiset portit Windows Serverissä.
| Asiakasportti(t) | Palvelinportti | Palvelu | |
|---|---|---|---|
| 49152 -65535/UDP | 123/UDP | W32Time | |
| 49152 -65535/TCP | 135/TCP | RPC Endpoint Mapper | |
| 49152 -65535/TCP | 464/TCP/UDP | Kerberos salasanan vaihto | |
| 49152 -65535/TCP | 49152-65535/TCP | RPC LSA:lle, SAM, NetLogon (*) | |
| 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP | |
| 49152 -65535/TCP | 636/TCP | LDAP SSL | |
| 49152 -6553535/TCP | 3268/TCP | LDAP GC | |
| 49152 -65535/TCP | 3269/TCP | LDAP GC SSL | |
| 53, 49152 -65535/TCP/UDP | 53/TCP/UDP | DNS | |
| 49152 -65535/TCP | 49152 -65535/TCP | FRS RPC (*) | |
| 49152 -5915> | |||
| 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos | |
| 49152 -65535/TCP/UDP/UDP | 445/TCP | SMB (**) | |
| 49152 -65535/TCP | 49152-65535/TCP | DFSR RPC (*) | |
Windows NT:n kohdalla lueteltuja NETBIOS-portteja edellytetään myös Windows 2000:ssa ja palvelimessa Server 2003:ssa silloin, kun on määritetty luottamusverkkoja toimialueisiin, jotka tukevat vain NETBIOS-pohjaista viestintää. Esimerkkejä ovat Windows NT-pohjaiset käyttöjärjestelmät tai kolmannen osapuolen toimialueenohjaimet, jotka perustuvat Sambaan.
(*) Lisätietoja LSA:n RPC-palveluiden käyttämien RPC-palvelinporttien määrittämisestä on osoitteessa:
- Active Directory RPC-liikenteen rajoittaminen tiettyyn porttiin.
- Toimialueen ohjaimet ja Active Directory -osio kohdassa Palveluiden yleiskuvaus ja Windows-verkkoporttivaatimukset.
(**) Luottamuksen toiminnan kannalta tätä porttia ei tarvita, sitä käytetään vain luottamuksen luomiseen.
Huomautus
Ulkoista luottamusta 123/UDP tarvitaan vain, jos olet määrittänyt Windowsin aikapalvelun manuaalisesti synkronoimaan palvelimen kanssa ulkoisen luottamuksen yli.
Aktiivinen hakemisto
Windows 2000:ssa ja Windows XP:ssä ICMP (Internet Control Message Protocol) -protokolla on sallittava palomuurin läpi asiakkailta toimialueen ohjaimiin, jotta Active Directory -ryhmäkäytäntöasiakas voi toimia palomuurin läpi oikein. ICMP:n avulla määritetään, onko linkki hidas vai nopea linkki.
Windows Server 2008:ssa ja sitä uudemmissa versioissa Network Location Awareness Service antaa kaistanleveysarvion verkon muiden asemien kanssa käytävän liikenteen perusteella. Arviointia varten ei synny liikennettä.
Windows Redirector käyttää myös ICMP Ping -viestejä tarkistaakseen, että palvelimen IP-osoite on ratkaistu DNS-palvelussa ennen yhteyden muodostamista, ja kun palvelin on paikannettu DFS:n avulla. Jos haluat minimoida ICMP-liikenteen, voit käyttää seuraavaa esimerkkipalomuurisääntöä:
<any> ICMP -> DC IP addr = allow
Toisin kuin TCP-protokollakerroksella ja UDP-protokollakerroksella, ICMP:llä ei ole porttinumeroa. Tämä johtuu siitä, että ICMP:tä isännöi suoraan IP-kerros.
Windows Server 2003- ja Windows 2000 Server DNS-palvelimet käyttävät oletusarvoisesti ephemeral-asiakaspuolen portteja, kun ne kysyvät muilta DNS-palvelimilta. Tätä käyttäytymistä voidaan kuitenkin muuttaa tietyllä rekisteriasetuksella. Voit myös luoda luottamuksen pakollisen PPTP-tunnelin (Point-to-Point Tunneling Protocol) avulla. Tämä rajoittaa niiden porttien määrää, jotka palomuurin on avattava. PPTP:tä varten seuraavien porttien on oltava käytössä.
| asiakasportit | palvelinportti | protokolla | |
|---|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP | |
Lisäksi, sinun pitäisi ottaa käyttöön IP PROTOCOL 47 (GRE).
Huomautus
Kun luotettavan toimialueen käyttäjille lisätään oikeuksia luotettavan toimialueen resurssiin, Windows 2000:n ja Windows NT 4.0:n käyttäytymisessä on joitakin eroja. Jos tietokone ei pysty näyttämään luetteloa etätoimialueen käyttäjistä, harkitse seuraavaa käyttäytymistä:
- Windows NT 4.0 yrittää ratkaista manuaalisesti kirjoitetut nimet ottamalla yhteyttä etäkäyttäjän toimialueen PDC:hen (UDP 138). Jos tämä yhteys epäonnistuu, Windows NT 4.0 -pohjainen tietokone ottaa yhteyttä omaan PDC:hensä ja pyytää sitten nimen ratkaisua.
- Windows 2000 ja Windows Server 2003 yrittävät myös ottaa yhteyttä etäkäyttäjän PDC:hen ratkaisua varten UDP 138:n kautta. Ne eivät kuitenkaan luota oman PDC:n käyttöön. Varmista, että kaikilla Windows 2000 -käyttöjärjestelmään perustuvilla jäsenpalvelimilla ja Windows Server 2003 -käyttöjärjestelmään perustuvilla jäsenpalvelimilla, jotka myöntävät pääsyn resursseihin, on UDP 138 -yhteys etäkäyttäjän PDC:hen.
Viittaus
Palvelun yleiskatsaus ja Windows-verkkoporttivaatimukset on arvokas tietolähde, jossa esitellään vaaditut verkkoyhteysportit, -protokollat ja -palveluiden palvelut, joita Microsoftin asiakas- ja palvelinjärjestelmien, palvelinpohjaisten ohjelmien ja niiden alakomponenttien käyttämät ohjelmat käyttävät Microsoftin Microsoftin Windows-tietokonejärjestelmässä. Järjestelmänvalvojat ja tukiammattilaiset voivat käyttää artikkelia tiekarttana määritellessään, mitä portteja ja protokollia Microsoftin käyttöjärjestelmät ja ohjelmat vaativat verkkoyhteyden muodostamiseen segmentoidussa verkossa.
Palvelun yleiskatsaus ja Windows-verkkoporttivaatimukset -artikkelin porttitietoja ei pidä käyttää Windowsin palomuurin määrittämiseen. Lisätietoja Windowsin palomuurin määrittämisestä on kohdassa Windowsin palomuuri ja laajennettu suojaus.