Come configurare un firewall per domini Active Directory e trust

  • 09/08/2020
  • 5 minuti per leggere
    • D
    • s

Questo articolo descrive come configurare un firewall per domini Active Directory e trust.

Versione originale del prodotto: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Numero originale KB: 179442

Nota

Non tutte le porte che sono elencate nelle tabelle qui sono necessarie in tutti gli scenari. Per esempio, se il firewall separa i membri e i DC, non è necessario aprire le porte FRS o DFSR. Inoltre, se sai che nessun client usa LDAP con SSL/TLS, non devi aprire le porte 636 e 3269.

Più informazioni

Nota

I due controller di dominio sono entrambi nella stessa foresta, o i due controller di dominio sono entrambi in una foresta separata. Inoltre, i trust nella foresta sono trust di Windows Server 2003 o versioni successive.

Porta(e) client Porta server Servizio
1024-65535/TCP 135/TCP RPC Endpoint Mapper
1024-65535/TCP 1024-65535/TCP RPC per LSA, SAM, NetLogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS RPC (*)

Le porte NETBIOS elencate per Windows NT sono richieste anche per Windows 2000 e Windows Server 2003 quando sono configurati i trust verso domini che supportano solo la comunicazione basata su NETBIOS. Gli esempi sono sistemi operativi basati su Windows NT o Domain Controller di terze parti che sono basati su Samba.

Per maggiori informazioni su come definire le porte del server RPC che sono usate dai servizi LSA RPC, vedi:

  • Limitare il traffico Active Directory RPC a una porta specifica.
  • La sezione Controller di dominio e Active Directory in Panoramica dei servizi e requisiti delle porte di rete per Windows.

Windows Server 2008 e versioni successive

Windows Server 2008 le nuove versioni di Windows Server hanno aumentato la gamma di porte client dinamiche per le connessioni in uscita. La nuova porta iniziale predefinita è 49152, e la porta finale predefinita è 65535. Pertanto, è necessario aumentare l’intervallo di porte RPC nei vostri firewall. Questo cambiamento è stato fatto per conformarsi alle raccomandazioni della Internet Assigned Numbers Authority (IANA). Questo differisce da un dominio in modalità mista che consiste di controller di dominio Windows Server 2003, controller di dominio basati su server Windows 2000 o client legacy, dove l’intervallo di porte dinamiche predefinito è da 1025 a 5000.

Per ulteriori informazioni sulla modifica dell’intervallo di porte dinamiche in Windows Server 2012 e Windows Server 2012 R2, vedere:

  • L’intervallo di porte dinamiche predefinito per TCP/IP è cambiato.
  • Porte dinamiche in Windows Server.
Porte client Porta server Servizio
49152 -65535/UDP 123/UDP W32Time
49152 -65535/TCP 135/TCP RPC Endpoint Mapper
49152 -65535/TCP 464/TCP/UDP Cambio password Kerberos
49152 -65535/TCP 49152-65535/TCP RPC per LSA, SAM, NetLogon (*)
49152 -65535/TCP/UDP 389/TCP/UDP LDAP
49152 -65535/TCP 636/TCP LDAP SSL
49152 -65535/TCP 3268/TCP LDAP GC
49152 -65535/TCP 3269/TCP LDAP GC SSL
53, 49152 -65535/TCP/UDP 53/TCP/UDP DNS
49152 -65535/TCP 49152 -65535/TCP FRS RPC (*)
49152 -65535/TCP/UDP 88/TCP/UDP Kerberos
49152 -65535/TCP/UDP 445/TCP SMB (**)
49152 -65535/TCP 49152-65535/TCP DFSR RPC (*)

Le porte NETBIOS elencate per Windows NT sono richieste anche per Windows 2000 e Server 2003 quando sono configurati trust verso domini che supportano solo comunicazioni basate su NETBIOS. Gli esempi sono sistemi operativi basati su Windows NT o Domain Controller di terze parti che sono basati su Samba.

(*) Per informazioni su come definire le porte del server RPC che sono usate dai servizi LSA RPC, vedi:

  • Limitare il traffico Active Directory RPC a una porta specifica.
  • La sezione Controller di dominio e Active Directory in Panoramica dei servizi e requisiti delle porte di rete per Windows.

(**) Per il funzionamento del trust questa porta non è richiesta, è usata solo per la creazione del trust.

Nota

Il trust esterno 123/UDP è necessario solo se hai configurato manualmente il Windows Time Service per sincronizzare con un server attraverso il trust esterno.

Active Directory

In Windows 2000 e Windows XP, l’Internet Control Message Protocol (ICMP) deve essere permesso attraverso il firewall dai client ai controller di dominio in modo che il client Active Directory Group Policy possa funzionare correttamente attraverso un firewall. ICMP è usato per determinare se il collegamento è un collegamento lento o un collegamento veloce.

In Windows Server 2008 e versioni successive, il Network Location Awareness Service fornisce la stima della larghezza di banda basata sul traffico con altre stazioni sulla rete. Non c’è traffico generato per la stima.

Il Windows Redirector usa anche messaggi ICMP Ping per verificare che l’IP di un server sia risolto dal servizio DNS prima che venga effettuata una connessione, e quando un server viene localizzato usando DFS. Se vuoi minimizzare il traffico ICMP, puoi usare la seguente regola di esempio del firewall:

<any> ICMP -> DC IP addr = allow

A differenza del livello di protocollo TCP e UDP, ICMP non ha un numero di porta. Questo perché ICMP è direttamente ospitato dal livello IP.

Di default, i server DNS di Windows Server 2003 e Windows 2000 Server usano porte effimere lato client quando interrogano altri server DNS. Tuttavia, questo comportamento può essere modificato da una specifica impostazione del registro di sistema. Oppure, è possibile stabilire una fiducia attraverso il tunnel obbligatorio Point-to-Point Tunneling Protocol (PPTP). Questo limita il numero di porte che il firewall deve aprire. Per PPTP, le seguenti porte devono essere abilitate.

Porte client Porta server Protocollo
1024-65535/TCP 1723/TCP PPTP

Inoltre, dovrete abilitare il PROTOCOLLO IP 47 (GRE).

Nota

Quando si aggiungono permessi a una risorsa su un dominio fidato per utenti in un dominio fidato, ci sono alcune differenze tra il comportamento di Windows 2000 e Windows NT 4.0. Se il computer non può visualizzare una lista degli utenti del dominio remoto, considera il seguente comportamento:

  • Windows NT 4.0 cerca di risolvere i nomi digitati manualmente contattando il PDC per il dominio dell’utente remoto (UDP 138). Se questa comunicazione fallisce, un computer basato su Windows NT 4.0 contatta il proprio PDC, e poi chiede la risoluzione del nome.
  • Anche Windows 2000 e Windows Server 2003 cercano di contattare il PDC dell’utente remoto per la risoluzione tramite UDP 138. Tuttavia, non si affidano all’uso del proprio PDC. Assicurati che tutti i server membri basati su Windows 2000 e i server membri basati su Windows Server 2003 che garantiranno l’accesso alle risorse abbiano la connettività UDP 138 al PDC remoto.

Riferimento

La panoramica dei servizi e i requisiti delle porte di rete per Windows è una risorsa preziosa che delinea le porte di rete richieste, i protocolli e i servizi utilizzati dai sistemi operativi client e server Microsoft, dai programmi basati su server e dai loro sottocomponenti nel sistema Microsoft Windows Server. Gli amministratori e i professionisti del supporto possono usare l’articolo come una tabella di marcia per determinare quali porte e protocolli i sistemi operativi e i programmi Microsoft richiedono per la connettività di rete in una rete segmentata.

Non si dovrebbero usare le informazioni sulle porte in Panoramica dei servizi e requisiti delle porte di rete per Windows per configurare Windows Firewall. Per informazioni su come configurare Windows Firewall, vedere Windows Firewall con sicurezza avanzata.

Si consiglia di non utilizzare le informazioni sulle porte in Panoramica dei servizi e requisiti delle porte di rete per Windows per configurare Windows Firewall.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.