Hoe configureer je een firewall voor Active Directory-domeinen en trusts

  • 09/08/2020
  • 5 minuten om te lezen
    • D
    • s

In dit artikel wordt beschreven hoe je een firewall configureert voor Active Directory-domeinen en trusts.

Oorspronkelijke productversie: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Oorspronkelijk KB-nummer: 179442

Note

Niet alle poorten die in de tabellen hier worden vermeld, zijn in alle scenario’s vereist. Bijvoorbeeld, als de firewall leden en DC’s scheidt, hoeft u de FRS of DFSR poorten niet te openen. Als u weet dat geen enkele client LDAP met SSL/TLS gebruikt, hoeft u de poorten 636 en 3269 ook niet te openen.

Meer informatie

Note

De twee domeincontrollers bevinden zich beide in hetzelfde forest, of de twee domeincontrollers bevinden zich beide in een apart forest. Bovendien zijn de trusts in het forest Windows Server 2003-trusts of trusts van latere versies.

Client-poort(en) Serverpoort Service
1024-65535/TCP 135/TCP RPC Endpoint Mapper
1024-65535/TCP 1024-65535/TCP RPC voor LSA, SAM, NetLogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS RPC (*)

NETBIOS-poorten zoals vermeld voor Windows NT zijn ook vereist voor Windows 2000 en Windows Server 2003 wanneer trusts naar domeinen zijn geconfigureerd die alleen communicatie op basis van NETBIOS ondersteunen. Voorbeelden hiervan zijn op Windows NT gebaseerde besturingssystemen of Domeincontrollers van derden die op Samba zijn gebaseerd.

Voor meer informatie over het definiëren van RPC-serverpoorten die door de LSA RPC-diensten worden gebruikt, zie:

  • Beperking van Active Directory RPC-verkeer tot een specifieke poort.
  • De sectie Domeincontrollers en Active Directory in Serviceoverzicht en netwerkpoortvereisten voor Windows.

Windows Server 2008 en latere versies

Windows Server 2008 nieuwere versies van Windows Server hebben het dynamische clientpoortbereik voor uitgaande verbindingen vergroot. De nieuwe standaard startpoort is 49152, en de standaard eindpoort is 65535. Daarom moet u het RPC poortbereik in uw firewalls verhogen. Deze wijziging is doorgevoerd om te voldoen aan de aanbevelingen van de Internet Assigned Numbers Authority (IANA). Dit verschilt van een mixed-mode domein dat bestaat uit Windows Server 2003-domeincontrollers, Windows 2000-servergebaseerde domeincontrollers, of legacy clients, waar het standaard dynamische poortbereik 1025 tot en met 5000 is.

Voor meer informatie over de wijziging van het dynamische poortbereik in Windows Server 2012 en Windows Server 2012 R2, zie:

  • Het standaard dynamische poortbereik voor TCP/IP is gewijzigd.
  • Dynamische poorten in Windows Server.
Client-poort(en) Serverpoort Service
49152 -65535/UDP 123/UDP W32Time
49152 -.65535/TCP 135/TCP RPC Endpoint Mapper
49152 -.65535/TCP 464/TCP/UDP Kerberos wachtwoord wijziging
49152 -65535/TCP 49152-65535/TCP RPC voor LSA, SAM, NetLogon (*)
49152 -65535/TCP/UDP 389/TCP/UDP LDAP
49152 -65535/TCP 636/TCP LDAP SSL
49152 – -65535/TCP 49152 -65535/TCP 49152 .65535/TCP 3268/TCP LDAP GC
49152 -65535/TCP 3269/TCP LDAP GC SSL
53, 49152 -65535/TCP/UDP 53/TCP/UDP DNS
49152 -65535/TCP 49152 -65535/TCP FRS RPC (*)
49152 -65535/TCP/UDP 88/TCP/UDP Kerberos
49152 -65535/TCP/UDP 445/TCP SMB (**)
49152 – -65535/TCP/UDP 49152 –
49152 – – 65535/TCP 4915265535/TCP 49152-65535/TCP DFSR RPC (*)

NETBIOS-poorten zoals vermeld voor Windows NT zijn ook vereist voor Windows 2000 en Server 2003 wanneer trusts naar domeinen zijn geconfigureerd die alleen communicatie op basis van NETBIOS ondersteunen. Voorbeelden zijn besturingssystemen op basis van Windows NT of Domain Controllers van derden die zijn gebaseerd op Samba.

(*) Voor informatie over het definiëren van RPC-serverpoorten die worden gebruikt door de LSA RPC-diensten, zie:

  • Het beperken van Active Directory RPC-verkeer tot een specifieke poort.
  • De sectie Domeincontrollers en Active Directory in Serviceoverzicht en netwerkpoortvereisten voor Windows.

(**) Voor de werking van de trust is deze poort niet vereist, deze wordt alleen gebruikt voor het aanmaken van de trust.

Note

Externe trust 123/UDP is alleen nodig als u de Windows Time Service handmatig hebt geconfigureerd om te synchroniseren met een server via de externe trust.

Active Directory

In Windows 2000 en Windows XP moet het Internet Control Message Protocol (ICMP) door de firewall van de clients naar de domeincontrollers worden toegestaan, zodat de Active Directory-client voor groepsbeleid correct door een firewall kan functioneren. ICMP wordt gebruikt om te bepalen of de verbinding een langzame verbinding of een snelle verbinding is.

In Windows Server 2008 en latere versies levert de Network Location Awareness Service de schatting van de bandbreedte op basis van verkeer met andere stations in het netwerk. Er wordt geen verkeer gegenereerd voor de schatting.

De Windows Redirector gebruikt ook ICMP Ping-berichten om te controleren of een server-IP wordt opgelost door de DNS-service voordat een verbinding wordt gemaakt, en wanneer een server wordt gelokaliseerd met behulp van DFS. Als u het ICMP-verkeer tot een minimum wilt beperken, kunt u de volgende voorbeeldfirewallregel gebruiken:

<any> ICMP -> DC IP addr = allow

In tegenstelling tot de TCP-protocollaag en de UDP-protocollaag, heeft ICMP geen poortnummer. Dit komt omdat ICMP direct door de IP-laag wordt gehost.

De standaardinstelling is dat Windows Server 2003 en Windows 2000 Server DNS-servers efemerische poorten aan de clientzijde gebruiken wanneer zij andere DNS-servers bevragen. Dit gedrag kan echter worden veranderd door een specifieke registerinstelling. U kunt ook een vertrouwensverbinding tot stand brengen via de verplichte tunnel van het Point-to-Point Tunneling Protocol (PPTP). Dit beperkt het aantal poorten dat de firewall moet openen. Voor PPTP moeten de volgende poorten zijn ingeschakeld.

Client Ports Server Port Protocol
1024-65535/TCP 1723/TCP PPTP

Bovendien, zou u IP PROTOCOL 47 (GRE) moeten inschakelen.

Note

Wanneer u machtigingen aan een bron in een vertrouwd domein toevoegt voor gebruikers in een vertrouwd domein, zijn er enkele verschillen tussen het gedrag in Windows 2000 en Windows NT 4.0. Als de computer geen lijst met gebruikers van het externe domein kan weergeven, moet u rekening houden met het volgende gedrag:

  • Windows NT 4.0 probeert handmatig getypte namen op te lossen door contact op te nemen met de PDC voor het domein van de gebruiker op afstand (UDP 138). Als die communicatie mislukt, neemt een op Windows NT 4.0 gebaseerde computer contact op met zijn eigen PDC, en vraagt dan om oplossing van de naam.
  • Windows 2000 en Windows Server 2003 proberen ook contact op te nemen met de PDC van de gebruiker op afstand voor oplossing via UDP 138. Zij vertrouwen echter niet op het gebruik van hun eigen PDC. Zorg ervoor dat alle Windows 2000-gebaseerde lidservers en Windows Server 2003-gebaseerde lidservers die toegang zullen verlenen tot bronnen, UDP 138-connectiviteit hebben met de PDC op afstand.

Reference

Service overview and network port requirements for Windows is een waardevolle bron met een overzicht van de vereiste netwerkpoorten, protocollen en services die worden gebruikt door Microsoft client- en serverbesturingssystemen, servergebaseerde programma’s en hun subcomponenten in het Microsoft Windows Server-systeem. Beheerders en ondersteuningsprofessionals kunnen het artikel gebruiken als een routekaart om te bepalen welke poorten en protocollen Microsoft-besturingssystemen en -programma’s nodig hebben voor netwerkconnectiviteit in een gesegmenteerd netwerk.

U mag de poortinformatie in Serviceoverzicht en netwerkpoortvereisten voor Windows niet gebruiken om Windows Firewall te configureren. Zie Windows Firewall met geavanceerde beveiliging voor informatie over het configureren van Windows Firewall.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.