- 09/08/2020
- 5 minute de citit
-
-
D -
s
-
Acest articol descrie cum se configurează un firewall pentru domeniile și trusturile Active Directory.
Versiunea originală a produsului: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Numărul KB original: 179442
Nota
Nu toate porturile care sunt enumerate în tabelele de aici sunt necesare în toate scenariile. De exemplu, dacă firewall-ul separă membrii și DC-urile, nu este necesar să deschideți porturile FRS sau DFSR. De asemenea, dacă știți că niciun client nu utilizează LDAP cu SSL/TLS, nu trebuie să deschideți porturile 636 și 3269.
Mai multe informații
Nota
Cele două controlere de domeniu sunt ambele în aceeași pădure sau cele două controlere de domeniu sunt ambele într-o pădure separată. De asemenea, trusturile din pădure sunt trusturi Windows Server 2003 sau trusturi de versiune ulterioară.
| Client Port(s) | Server Port | Service | |
|---|---|---|---|
| 1024-65535/TCP | 135/TCP | RPC Endpoint Mapper | |
| 1024-65535/TCP | 1024-65535/TCP | 1024-65535/TCP | RPC pentru LSA, SAM, NetLogon (*) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP | |
| 1024-65535/TCP | 636/TCP | LDAP SSL | |
| 1024-.65535/TCP | 3268/TCP | LDAP GC | |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL | |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS | |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos | |
| 1024…65535/TCP | 445/TCP | SMB | |
| 1024-65535/TCP | 1024-.65535/TCP | FRS RPC (*) | |
PorturileNETBIOS enumerate pentru Windows NT sunt, de asemenea, necesare pentru Windows 2000 și Windows Server 2003 atunci când sunt configurate trusturi către domenii care acceptă numai comunicarea bazată pe NETBIOS. Exemple sunt sistemele de operare bazate pe Windows NT sau controlerele de domeniu terțe care se bazează pe Samba.
Pentru mai multe informații despre cum se definesc porturile serverului RPC care sunt utilizate de serviciile RPC LSA, consultați:
- Restricționarea traficului RPC Active Directory către un port specific.
- Secțiunea Controllere de domeniu și Active Directory din Prezentarea generală a serviciilor și cerințele privind porturile de rețea pentru Windows.
Windows Server 2008 și versiunile ulterioare
Windows Server 2008 versiunile mai noi ale Windows Server au mărit intervalul de porturi dinamice ale clienților pentru conexiunile de ieșire. Noul port implicit de început este 49152, iar portul implicit de sfârșit este 65535. Prin urmare, trebuie să măriți intervalul de porturi RPC în firewall-urile dumneavoastră. Această modificare a fost făcută pentru a respecta recomandările Internet Assigned Numbers Authority (IANA). Acest lucru diferă de un domeniu cu mod mixt care constă din controllere de domeniu Windows Server 2003, controllere de domeniu bazate pe servere Windows 2000 sau clienți moșteniți, unde intervalul implicit de porturi dinamice este de la 1025 la 5000.
Pentru mai multe informații despre modificarea intervalului de porturi dinamice în Windows Server 2012 și Windows Server 2012 R2, consultați:
- Intervalul implicit de porturi dinamice pentru TCP/IP s-a schimbat.
- Porturi dinamice în Windows Server.
| Portul(ele) client(e) | Portul serverului | Serviciu | |
|---|---|---|---|
| 49152 -65535/UDP | 123/UDP | W32Time | |
| 49152 -65535/TCP | 135/TCP | RPC Endpoint Mapper | |
| 49152 -65535/TCP | 464/TCP/TCP/UDP | Schimbare parolă Kerberos | |
| 49152 -65535/TCP | 49152-65535/TCP | RPC pentru LSA, SAM, NetLogon (*) | |
| 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP | |
| 49152 -65535/TCP | 636/TCP | LDAP SSL | |
| 49152 -.65535/TCP | 3268/TCP | LDAP GC | |
| 49152 -65535/TCP | 3269/TCP | LDAP GC SSL | |
| 53, 49152 -65535/TCP/UDP | 53/TCP/UDP | DNS | |
| 49152 -65535/TCP | 49152 -65535/TCP | FRS RPC (*) | |
| 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos | |
| 49152 -65535/TCP/UDP | 445/TCP | SMB (**) | |
| 49152 -65535/TCP | 49152-65535/TCP | DFSR RPC (*) | |
PorturileNETBIOS enumerate pentru Windows NT sunt, de asemenea, necesare pentru Windows 2000 și Server 2003 atunci când sunt configurate trusturi către domenii care suportă numai comunicații bazate pe NETBIOS. Exemple sunt sistemele de operare bazate pe Windows NT sau controlerele de domeniu terțe care se bazează pe Samba.
(*) Pentru informații despre cum se definesc porturile serverului RPC care sunt utilizate de serviciile RPC LSA, consultați:
- Restricționarea traficului RPC Active Directory la un port specific.
- Secțiunea Controlori de domeniu și Active Directory din secțiunea Prezentare generală a serviciilor și cerințe privind porturile de rețea pentru Windows.
(**) Pentru funcționarea trustului, acest port nu este necesar, el este utilizat doar pentru crearea trustului.
Nota
Încrederea externă 123/UDP este necesară numai dacă ați configurat manual Windows Time Service pentru a se sincroniza cu un server prin intermediul încrederii externe.
Active Directory
În Windows 2000 și Windows XP, trebuie să se permită trecerea prin firewall a protocolului ICMP (Internet Control Message Protocol) de la clienți la controlorii de domeniu, astfel încât clientul Active Directory Group Policy să poată funcționa corect prin firewall. ICMP este utilizat pentru a determina dacă legătura este o legătură lentă sau o legătură rapidă.
În Windows Server 2008 și versiunile ulterioare, serviciul Network Location Awareness Service furnizează estimarea lățimii de bandă pe baza traficului cu alte stații din rețea. Nu se generează trafic pentru estimare.
Redirectorul Windows utilizează, de asemenea, mesaje ICMP Ping pentru a verifica dacă IP-ul unui server este rezolvat de serviciul DNS înainte de realizarea unei conexiuni și atunci când un server este localizat prin utilizarea DFS. Dacă doriți să reduceți la minimum traficul ICMP, puteți utiliza următorul exemplu de regulă de firewall:
<any> ICMP -> DC IP addr = allow
În comparație cu stratul de protocol TCP și stratul de protocol UDP, ICMP nu are un număr de port. Acest lucru se datorează faptului că ICMP este găzduit direct de stratul IP.
În mod implicit, serverele DNS Windows Server 2003 și Windows 2000 Server utilizează porturi efemere pe partea clientului atunci când interoghează alte servere DNS. Cu toate acestea, acest comportament poate fi modificat printr-o setare de registru specifică. Sau, puteți stabili o încredere prin intermediul tunelului obligatoriu Point-to-Point Tunneling Protocol (PPTP). Acest lucru limitează numărul de porturi pe care firewall-ul trebuie să le deschidă. Pentru PPTP, următoarele porturi trebuie să fie activate.
| Porturi client | Port server | Protocol | |
|---|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP | |
În plus, va trebui să activați IP PROTOCOL 47 (GRE).
Nota
Când adăugați permisiuni la o resursă pe un domeniu de încredere pentru utilizatorii dintr-un domeniu de încredere, există unele diferențe între comportamentul Windows 2000 și Windows NT 4.0. Dacă computerul nu poate afișa o listă a utilizatorilor din domeniul la distanță, luați în considerare următorul comportament:
- Windows NT 4.0 încearcă să rezolve numele tastate manual prin contactarea PDC pentru domeniul utilizatorului la distanță (UDP 138). Dacă această comunicare eșuează, un calculator bazat pe Windows NT 4.0 contactează propriul PDC, iar apoi solicită rezolvarea numelui.
- Windows 2000 și Windows Server 2003 încearcă, de asemenea, să contacteze PDC-ul utilizatorului la distanță pentru rezolvare prin UDP 138. Cu toate acestea, ele nu se bazează pe utilizarea propriului lor PDC. Asigurați-vă că toate serverele membre bazate pe Windows 2000 și serverele membre bazate pe Windows Server 2003 care vor acorda acces la resurse au conectivitate UDP 138 la PDC-ul de la distanță.
Referință
Service overview and network port requirements for Windows este o resursă valoroasă care prezintă porturile de rețea, protocoalele și serviciile necesare care sunt utilizate de sistemele de operare Microsoft client și server, programele bazate pe server și subcomponentele acestora în sistemul Microsoft Windows Server. Administratorii și profesioniștii de asistență pot utiliza articolul ca o foaie de parcurs pentru a determina ce porturi și protocoale necesită sistemele de operare și programele Microsoft pentru conectivitatea de rețea într-o rețea segmentată.
Nu trebuie să utilizați informațiile despre porturi din Service overview and network port requirements for Windows pentru a configura Windows Firewall. Pentru informații despre cum se configurează Windows Firewall, consultați Windows Firewall cu securitate avansată.
.