- 09/08/2020
- 5 minutos para ler
-
-
D -
s
-
Este artigo descreve como configurar um firewall para domínios e trusts Active Directory.
Versão do produto original: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Original KB número: 179442
Nota
Não são necessárias em todos os cenários todas as portas listadas nas tabelas aqui. Por exemplo, se o firewall separar membros e CDs, você não precisa abrir as portas FRS ou DFSR. Além disso, se você sabe que nenhum cliente usa LDAP com SSL/TLS, você não precisa abrir as portas 636 e 3269.
Mais informações
Nota
Os dois controladores de domínio estão ambos na mesma floresta, ou os dois controladores de domínio estão ambos em uma floresta separada. Além disso, os trusts na floresta são trusts do Windows Server 2003 ou trusts de versões posteriores.
| Client Port(s) | Server Port | Service |
|---|---|---|
| 1024-65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 1024-65535/TCP | 1024-65535/TCP | RPC para LSA, SAM, NetLogon (*) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
NETBIOS portas como listadas para Windows NT também são necessárias para Windows 2000 e Windows Server 2003 quando os trusts para domínios são configurados que suportam apenas comunicação baseada em NETBIOS. Exemplos são sistemas operacionais baseados no Windows NT ou controladores de domínio de terceiros que são baseados no Samba.
Para mais informações sobre como definir portas de servidor RPC que são usadas pelos serviços RPC LSA, veja:
- Restringindo o tráfego RPC do Active Directory a uma porta específica.
- A secção Controladores de domínio e Active Directory na visão geral de serviços e requisitos de porta de rede para Windows.
Windows Server 2008 e versões posteriores
Windows Server 2008 versões mais recentes do Windows Server aumentaram a gama de portas dinâmicas do cliente para conexões de saída. A nova porta de início padrão é 49152, e a porta final padrão é 65535. Portanto, você deve aumentar o intervalo de portas RPC em suas firewalls. Esta alteração foi feita para cumprir com as recomendações da Internet Assigned Numbers Authority (IANA). Isto difere de um domínio de modo misto que consiste em controladores de domínio Windows Server 2003, controladores de domínio Windows 2000 baseados em servidor, ou clientes legados, onde o intervalo de portas dinâmicas padrão é de 1025 a 5000.
Para mais informações sobre a mudança do intervalo de portas dinâmicas no Windows Server 2012 e Windows Server 2012 R2, consulte:
- O intervalo de portas dinâmicas padrão para TCP/IP foi alterado.
- Portas dinâmicas no Windows Server.
| Porta(s)Cliente(s) | Porta do Servidor | Serviço |
|---|---|---|
| 49152 -65535/UDP | 123/UDP | W32Time |
| 49152 -65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 49152 -65535/TCP | 464/TCP/UDP | Kerberos mudança de senha |
| 49152 -65535/TCP | 49152-65535/TCP | RPC para LSA, SAM, NetLogon (*) |
| 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152 -65535/TCP | 636/TCP | LDAP SSL |
| 49152 -65535/TCP | 3268/TCP | LDAP GC |
| 49152 -65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152 -65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152 -65535/TCP | 49152 -65535/TCP | FRS RPC (*) |
| 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152 -65535/TCP/UDP | 445/TCP | SMB (**) |
| 49152 -65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
NETBIOS portas como listadas para Windows NT também são necessárias para Windows 2000 e Server 2003 quando os trusts para domínios são configurados que suportam apenas comunicação baseada em NETBIOS. Exemplos são sistemas operacionais baseados no Windows NT ou controladores de domínio de terceiros que são baseados no Samba.
(*) Para informações sobre como definir portas de servidor RPC que são usadas pelos serviços RPC do LSA, consulte:
- Restringindo o tráfego RPC do Active Directory a uma porta específica.
- A secção Controladores de domínio e Active Directory na visão geral dos serviços e requisitos de porta de rede para Windows.
(**) Para a operação da confiança esta porta não é necessária, é utilizada apenas para a criação de confiança.
Nota
Confiança externa 123/UDP só é necessária se você tiver configurado manualmente o Serviço de Tempo do Windows para Sincronizar com um servidor através da confiança externa.
Active Directory
No Windows 2000 e Windows XP, o Protocolo de Mensagens de Controle da Internet (ICMP) deve ser permitido através do firewall dos clientes para os controladores de domínio para que o cliente Active Directory Group Policy possa funcionar corretamente através de um firewall. ICMP é usado para determinar se o link é um link lento ou um link rápido.
No Windows Server 2008 e versões posteriores, o Network Location Awareness Service fornece a estimativa de largura de banda com base no tráfego com outras estações na rede. Não há tráfego gerado para a estimativa.
O Redirector do Windows também usa mensagens ICMP Ping para verificar se um IP do servidor é resolvido pelo serviço DNS antes de uma conexão ser feita, e quando um servidor é localizado usando o DFS. Se você quiser minimizar o tráfego ICMP, você pode usar o seguinte exemplo de regra de firewall:
<any> ICMP -> Endereço IP DC = permitir
Desse modo como a camada de protocolo TCP e a camada de protocolo UDP, o ICMP não tem um número de porta. Isto porque o ICMP é diretamente hospedado pela camada IP.
Por padrão, os servidores DNS Windows Server 2003 e Windows 2000 Server usam portas efêmeras do lado do cliente quando eles consultam outros servidores DNS. No entanto, este comportamento pode ser alterado por uma configuração de registro específica. Ou, você pode estabelecer uma confiança através do protocolo PPTP (Point-to-Point Tunneling Protocol), túnel obrigatório. Isto limita o número de portas que o firewall tem de abrir. Para PPTP, as seguintes portas devem ser ativadas.
| Portas do Cliente | Porta do Servidor | Protocolo | |
|---|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP | |
Altra, você teria que ativar o IP PROTOCOLO 47 (GRE).
Nota
Quando você adiciona permissões a um recurso em um domínio confiável para usuários em um domínio confiável, há algumas diferenças entre o comportamento do Windows 2000 e do Windows NT 4.0. Se o computador não conseguir mostrar uma lista dos usuários do domínio remoto, considere o seguinte comportamento:
- Windows NT 4.0 tenta resolver manualmente os nomes digitados contactando o PDC para o domínio do usuário remoto (UDP 138). Se essa comunicação falhar, um computador baseado no Windows NT 4.0 contacta o seu próprio PDC, e depois pede a resolução do nome.
- Windows 2000 e Windows Server 2003 também tentam contactar o PDC do utilizador remoto para resolução sobre o UDP 138. No entanto, eles não confiam na utilização do seu próprio PDC. Certifique-se de que todos os servidores membros baseados no Windows 2000 e servidores membros baseados no Windows Server 2003 que estarão concedendo acesso aos recursos tenham conectividade UDP 138 para o PDC remoto.
Referência
Service overview and network port requirements for Windows is a valuable resource outlining the required network ports, protocols, and services that are used by Microsoft client and server operating systems, server-based programs, and their subcomponents in the Microsoft Windows Server system. Os administradores e profissionais de suporte podem usar o artigo como um roteiro para determinar quais portas e protocolos os sistemas operacionais e programas Microsoft requerem para conectividade de rede em uma rede segmentada.
Você não deve usar as informações de porta na visão geral de serviços e requisitos de porta de rede para o Windows para configurar o Firewall do Windows. Para obter informações sobre como configurar o Windows Firewall, consulte Windows Firewall com Segurança Avançada.