Hur man konfigurerar en brandvägg för Active Directory-domäner och förtroenden

  • 09/08/2020
  • 5 minuter att läsa
    • D
    • s

Den här artikeln beskriver hur man konfigurerar en brandvägg för Active Directory-domäner och förtroenden.

Originell produktversion: Ursprunglig produktversion: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Originalt KB-nummer: 179442

Anmärkning

Inte alla portar som anges i tabellerna här krävs i alla scenarier. Om brandväggen till exempel separerar medlemmar och DC:er behöver du inte öppna FRS- eller DFSR-portarna. Om du vet att inga klienter använder LDAP med SSL/TLS behöver du inte heller öppna portarna 636 och 3269.

Mer information

Notis

De två domänkontrollanterna finns båda i samma skog, eller så finns de två domänkontrollanterna båda i en separat skog. Dessutom är förtroendena i skogen Windows Server 2003-förtroenden eller förtroenden i senare versioner.

Klientport(er) Serverport Tjänst
1024-65535/TCP 135/TCP RPC Endpoint Mapper
1024-65535/TCP 1024-65535/TCP RPC för LSA, SAM, NetLogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS RPC (*)

NETBIOS-portar enligt listan för Windows NT krävs även för Windows 2000 och Windows Server 2003 när förtroenden till domäner konfigureras som endast stöder NETBIOS-baserad kommunikation. Exempel är Windows NT-baserade operativsystem eller domänkontrollanter från tredje part som är baserade på Samba.

För mer information om hur du definierar RPC-serverportar som används av LSA RPC-tjänsterna, se:

  • Begränsning av Active Directory RPC-trafik till en specifik port.
  • Avsnittet Domänkontrollanter och Active Directory i Tjänsteöversikt och nätverksportkrav för Windows.

Windows Server 2008 och senare versioner

Windows Server 2008 nyare versioner av Windows Server har ökat det dynamiska klientportområdet för utgående anslutningar. Den nya standardstartporten är 49152 och standardslutporten är 65535. Därför måste du öka RPC-portområdet i dina brandväggar. Den här ändringen gjordes för att följa rekommendationerna från IANA (Internet Assigned Numbers Authority). Detta skiljer sig från en domän med blandat läge som består av Windows Server 2003-domänkontrollanter, Windows 2000 serverbaserade domänkontrollanter eller äldre klienter, där det dynamiska standardportintervallet är 1025 till 5000.

För mer information om ändringen av det dynamiska portintervallet i Windows Server 2012 och Windows Server 2012 R2, se:

  • Standardintervallet för dynamiska portar för TCP/IP har ändrats.
  • Dynamiska portar i Windows Server.
Klientport(er) Serverport Serverport Tjänst
49152 -65535/UDP 123/UDP W32Time
49152 -65535/TCP 135/TCP RPC Endpoint Mapper
49152 -65535/TCP 464/TCP/UDP Kerberos-lösenordsändring
49152 -65535/TCP 49152-65535/TCP RPC för LSA, SAM, 65535/TCP 3268/TCP LDAP GC
49152 -65535/TCP 3269/TCP LDAP GC SSL
53, 49152 -6553535/TCP/UDP 53/TCP/UDP DNS
49152 -65535/TCP 49152 -65535/TCP FRS RPC (*)
49152 -65535/TCP/UDP 88/TCP/UDP Kerberos
49152 -65535/TCP/UDP 445/TCP SMB (**)
49152 – – 65535/TCP/UDP 65535/TCP 49152-65535/TCP DFSR RPC (*)

NETBIOS-portar som förtecknas för Windows NT krävs även för Windows 2000 och Server 2003 när förtroenden till domäner konfigureras som endast stöder NETBIOS-baserad kommunikation. Exempel är Windows NT-baserade operativsystem eller domänkontrollanter från tredje part som är baserade på Samba.

(*) Information om hur du definierar RPC-serverportar som används av LSA RPC-tjänsterna finns i:

  • Begränsning av Active Directory RPC-trafik till en specifik port.
  • Avsnittet Domänkontrollanter och Active Directory i Tjänsteöversikt och nätverksportkrav för Windows.

(**) För driften av förtroendet krävs inte den här porten, den används endast för skapandet av förtroendet.

Note

Externt förtroende 123/UDP behövs endast om du manuellt har konfigurerat Windows Time Service för att synkronisera med en server över det externa förtroendet.

Active Directory

I Windows 2000 och Windows XP måste Internet Control Message Protocol (ICMP) tillåtas genom brandväggen från klienterna till domänkontrollanterna för att klienten för grupprinciperna i Active Directory ska kunna fungera korrekt genom en brandvägg. ICMP används för att avgöra om länken är en långsam länk eller en snabb länk.

I Windows Server 2008 och senare versioner ger tjänsten Network Location Awareness Service en uppskattning av bandbredden baserat på trafik med andra stationer i nätverket. Ingen trafik genereras för uppskattningen.

Windows Redirector använder också ICMP Ping-meddelanden för att kontrollera att en server-IP är löst av DNS-tjänsten innan en anslutning görs, och när en server lokaliseras med hjälp av DFS. Om du vill minimera ICMP-trafiken kan du använda följande exempel på brandväggsregel:

<any> ICMP -> DC IP addr = allow

I motsats till TCP-protokollskiktet och UDP-protokollskiktet har ICMP inget portnummer. Detta beror på att ICMP är direkt värd för IP-skiktet.

Servernas DNS-servrar i Windows Server 2003 och Windows 2000 Server använder som standard efemära portar på klientsidan när de frågar andra DNS-servrar. Detta beteende kan dock ändras genom en särskild registerinställning. Du kan också skapa ett förtroende genom den obligatoriska PPTP-tunneln (Point-to-Point Tunneling Protocol). Detta begränsar antalet portar som brandväggen måste öppna. För PPTP måste följande portar vara aktiverade.

Klientportar Serverport Protokoll
1024-65535/TCP 1723/TCP PPTP

Dessutom, Du måste dessutom aktivera IP PROTOCOL 47 (GRE).

Note

När du lägger till behörigheter till en resurs i en betrodd domän för användare i en betrodd domän finns det vissa skillnader mellan beteendet i Windows 2000 och Windows NT 4.0. Om datorn inte kan visa en lista över fjärrdomänens användare kan du överväga följande beteende:

  • Windows NT 4.0 försöker lösa manuellt skrivna namn genom att kontakta PDC för fjärranvändarens domän (UDP 138). Om den kommunikationen misslyckas kontaktar en Windows NT 4.0-baserad dator sin egen PDC och ber sedan om upplösning av namnet.
  • Windows 2000 och Windows Server 2003 försöker också kontakta fjärranvändarens PDC för upplösning via UDP 138. De förlitar sig dock inte på att använda sin egen PDC. Se till att alla Windows 2000-baserade medlemsservrar och Windows Server 2003-baserade medlemsservrar som ska bevilja åtkomst till resurser har UDP 138-anslutning till fjärr-PDC:n.

Referens

Tjänsteöversikt och krav på nätverksportar för Windows är en värdefull resurs som beskriver de nätverksportar, protokoll och tjänster som krävs och som används av Microsofts klient- och serveroperativsystem, serverbaserade program och deras underkomponenter i Microsoft Windows Server-systemet. Administratörer och supportpersonal kan använda artikeln som en färdplan för att fastställa vilka portar och protokoll som Microsofts operativsystem och program kräver för nätverksanslutning i ett segmenterat nätverk.

Du ska inte använda portinformationen i Tjänsteöversikt och krav på nätverksportar för Windows för att konfigurera Windows Firewall. Information om hur du konfigurerar Windows Firewall finns i Windows Firewall med avancerad säkerhet.

Lämna ett svar

Din e-postadress kommer inte publiceras.