- 09/08/2020
- 5 minut na przeczytanie
-
-
D -
s
-
W tym artykule opisano, jak skonfigurować zaporę sieciową dla domen i trustów Active Directory.
Oryginalna wersja produktu: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Oryginalny numer KB: 179442
Uwaga
Nie wszystkie porty, które są wymienione w tabelach tutaj, są wymagane we wszystkich scenariuszach. Na przykład, jeśli firewall oddziela członków od DC, nie musisz otwierać portów FRS lub DFSR. Również, jeśli wiesz, że żaden klient nie używa LDAP z SSL/TLS, nie musisz otwierać portów 636 i 3269.
Więcej informacji
Uwaga
Dwa kontrolery domeny są w tym samym lesie, lub dwa kontrolery domeny są w oddzielnym lesie. Ponadto, zaufanie w lesie są Windows Server 2003 zaufania lub późniejszych wersji zaufania.
| Port(y)klienta | Port serwera | Usługa |
|---|---|---|
| 1024-.65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 1024-65535/TCP | 1024-65535/TCP | RPC dla LSA, SAM, NetLogon (*) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-.65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
PortyNETBIOS wymienione dla systemu Windows NT są również wymagane w systemach Windows 2000 i Windows Server 2003, gdy skonfigurowane są połączenia z domenami obsługującymi wyłącznie komunikację opartą na protokole NETBIOS. Przykładem są systemy operacyjne oparte na Windows NT lub kontrolery domeny innych firm, które są oparte na Sambie.
Więcej informacji o tym, jak zdefiniować porty serwera RPC, które są używane przez usługi LSA RPC, zobacz:
- Ograniczanie ruchu Active Directory RPC do określonego portu.
- Rozdział Kontrolery domen i Active Directory w rozdziale Przegląd usług i wymagania dotyczące portów sieciowych dla systemu Windows.
Windows Server 2008 i nowsze wersje
Windows Server 2008 W nowszych wersjach systemu Windows Server zwiększono zakres dynamicznych portów klienta dla połączeń wychodzących. Nowy domyślny port początkowy to 49152, a domyślny port końcowy to 65535. Dlatego należy zwiększyć zakres portów RPC w zaporach sieciowych. Zmiana ta została wprowadzona w celu zachowania zgodności z zaleceniami Internet Assigned Numbers Authority (IANA). Różni się to od domeny w trybie mieszanym, która składa się z kontrolerów domeny Windows Server 2003, kontrolerów domeny opartych na serwerze Windows 2000 lub starszych klientów, gdzie domyślny zakres portów dynamicznych wynosi od 1025 do 5000.
Więcej informacji na temat zmiany zakresu portów dynamicznych w systemach Windows Server 2012 i Windows Server 2012 R2 można znaleźć w:
- Domyślny zakres portów dynamicznych dla protokołu TCP/IP uległ zmianie.
- Porty dynamiczne w systemie Windows Server.
| Client Port(s) | Server Port | Service | |
|---|---|---|---|
| 49152 -65535/UDP | 123/UDP | W32Time | |
| 49152 -.65535/TCP | 135/TCP | RPC Endpoint Mapper | |
| 49152 – -.65535/TCP | 464/TCP/UDP | Zmiana hasła Kerberos | |
| 49152 -65535/TCP | 49152-65535/TCP | RPC dla LSA, SAM, NetLogon (*) | |
| 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP | |
| 49152 -65535/TCP | 636/TCP | LDAP SSL | |
| 49152 -65535/TCP | 3268/TCP | LDAP GC | |
| 49152 -65535/TCP | 3269/TCP | LDAP GC SSL | |
| 53, 49152 -65535/TCP/UDP | 53/TCP/UDP | DNS | |
| 49152 -65535/TCP | 49152 -65535/TCP | FRS RPC (*) | |
| 49152 -65535/TCP | 49152 -9599>FRS RPC (*) | ||
| 49152 -65535/TCP | 4915265535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152 -65535/TCP/UDP | 445/TCP | SMB (**) | |
| 49152 -.65535/TCP | 49152-65535/TCP | DFSR RPC (*) | |
PortyNETBIOS wymienione dla systemu Windows NT są również wymagane dla systemów Windows 2000 i Server 2003, gdy skonfigurowane są połączenia z domenami, które obsługują wyłącznie komunikację opartą na systemie NETBIOS. Przykładem są systemy operacyjne oparte na Windows NT lub kontrolery domeny innych firm oparte na Sambie.
(*) Aby uzyskać informacje na temat sposobu definiowania portów serwera RPC, które są używane przez usługi LSA RPC, zobacz:
- Ograniczanie ruchu Active Directory RPC do określonego portu.
- Rozdział Kontrolery domeny i Active Directory w rozdziale Przegląd usług i wymagania dotyczące portów sieciowych dla systemu Windows.
(**) Do działania zaufania ten port nie jest wymagany, jest używany tylko do tworzenia zaufania.
Uwaga
Zewnętrzny port zaufania 123/UDP jest potrzebny tylko wtedy, gdy ręcznie skonfigurowano usługę Windows Time Service do synchronizacji z serwerem w zewnętrznym porcie zaufania.
Active Directory
W systemach Windows 2000 i Windows XP protokół Internet Control Message Protocol (ICMP) musi być dozwolony przez zaporę z klientów do kontrolerów domeny, aby klient zasad grupy Active Directory mógł prawidłowo funkcjonować przez zaporę. ICMP jest używany do określenia, czy łącze jest łączem wolnym, czy szybkim.
W systemie Windows Server 2008 i nowszych wersjach usługa Network Location Awareness Service zapewnia oszacowanie przepustowości na podstawie ruchu z innymi stacjami w sieci. Do oszacowania nie jest generowany żaden ruch.
Windows Redirector używa również komunikatów ICMP Ping do sprawdzenia, czy adres IP serwera jest rozwiązywany przez usługę DNS przed nawiązaniem połączenia oraz gdy serwer jest lokalizowany przy użyciu usługi DFS. Jeśli chcesz zminimalizować ruch ICMP, możesz użyć następującej przykładowej reguły zapory sieciowej:
<any> ICMP -> DC IP addr = allow
W przeciwieństwie do warstwy protokołu TCP i warstwy protokołu UDP, ICMP nie ma numeru portu. Dzieje się tak dlatego, że ICMP jest bezpośrednio obsługiwany przez warstwę IP.
Domyślnie serwery DNS Windows Server 2003 i Windows 2000 Server używają efemerycznych portów po stronie klienta, gdy odpytują inne serwery DNS. Jednak to zachowanie może być zmienione przez określone ustawienie rejestru. Można też ustanowić zaufanie poprzez obowiązkowy tunel Point-to-Point Tunneling Protocol (PPTP). Ogranicza to liczbę portów, które musi otworzyć zapora sieciowa. W przypadku protokołu PPTP muszą być włączone następujące porty.
| Porty klienta | Port serwera | Protokół |
|---|---|---|
| 1024-.65535/TCP | 1723/TCP | PPTP |
Dodatkowo, musiałbyś włączyć IP PROTOCOL 47 (GRE).
Uwaga
Gdy dodajesz uprawnienia do zasobu w zaufanej domenie dla użytkowników w zaufanej domenie, istnieją pewne różnice między zachowaniem systemu Windows 2000 i Windows NT 4.0. Jeśli komputer nie może wyświetlić listy użytkowników zdalnej domeny, rozważ następujące zachowanie:
- Windows NT 4.0 próbuje rozwiązać ręcznie wpisane nazwy, kontaktując się z PDC dla domeny zdalnego użytkownika (UDP 138). Jeśli ta komunikacja nie powiedzie się, komputer z systemem Windows NT 4.0 kontaktuje się z własnym PDC, a następnie prosi o rozwiązanie nazwy.
- Windows 2000 i Windows Server 2003 również próbują skontaktować się z PDC zdalnego użytkownika w celu rozwiązania przez UDP 138. Nie polegają one jednak na używaniu własnego PDC. Upewnij się, że wszystkie serwery członkowskie oparte na systemie Windows 2000 i serwery członkowskie oparte na systemie Windows Server 2003, które będą przyznawać dostęp do zasobów, mają łączność UDP 138 ze zdalnym PDC.
Referencje
Przegląd usług i wymagań portów sieciowych dla systemu Windows to cenne źródło informacji przedstawiające wymagane porty sieciowe, protokoły i usługi, które są używane przez klienckie i serwerowe systemy operacyjne firmy Microsoft, programy oparte na serwerach i ich komponenty podrzędne w systemie Microsoft Windows Server. Administratorzy i specjaliści pomocy technicznej mogą użyć tego artykułu jako mapy drogowej do określenia, których portów i protokołów wymagają systemy operacyjne i programy firmy Microsoft w celu zapewnienia łączności sieciowej w sieci segmentowej.
Nie należy używać informacji o portach w przeglądzie usług i wymagań portów sieciowych dla systemu Windows w celu skonfigurowania Zapory systemu Windows. Aby uzyskać informacje na temat konfigurowania Zapory systemu Windows, zobacz Zapora systemu Windows z zaawansowanymi zabezpieczeniami.