Udostępnij za pośrednictwem


Jak skonfigurować zaporę sieciową dla domen Active Directory i relacji zaufania

W tym artykule opisano sposób konfigurowania zapory dla domen i relacji zaufania usługi Active Directory.

Oryginalny numer KB: 179442

Uwaga

Nie wszystkie porty wymienione w tabelach są wymagane we wszystkich scenariuszach. Jeśli na przykład zapora oddziela elementy członkowskie i kontrolery domeny, nie trzeba otwierać portów usługi FRS ani DFSR. Ponadto jeśli wiadomo, że żaden klient nie korzysta z protokołu LDAP z protokołem SSL/TLS, nie trzeba otwierać portów 636 i 3269.

Więcej informacji

Uwaga

Oba kontrolery domeny znajdują się w tym samym lesie lub dwa kontrolery domeny znajdują się w oddzielnym lesie. Ponadto relacje zaufania w lesie są relacjami zaufania systemu Windows Server 2003 lub nowszej wersji.

Porty klienta Port serwera Usługa
1024-65535/TCP 135/TCP Mapowany punkt końcowy RPC
1024-65535/TCP 1024-65535/TCP RPC dla LSA, SAM, NetLogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS RPC (*)

Porty NetBIOS wymienione dla systemu Windows NT są również wymagane w przypadku systemów Windows 2000 i Windows Server 2003, gdy skonfigurowano relacje zaufania do domen obsługujących tylko komunikację opartą na systemie NetBIOS. Przykładem mogą być systemy operacyjne oparte na Windows NT lub kontrolery domeny innych firm, które bazują na systemie Samba.

Aby uzyskać więcej informacji na temat definiowania portów serwera RPC używanych przez usługi RPC LSA, zobacz:

Windows Server 2008 i nowsze wersje

W nowszych wersjach systemu Windows Server 2008 zwiększono zakres dynamicznych portów klienta dla połączeń wychodzących. Nowy domyślny port początkowy to 49152, a domyślny port końcowy to 65535. W związku z tym należy zwiększyć zakres portów RPC w zaporach. Ta zmiana została wprowadzona w celu zachowania zgodności z zaleceniami urzędu IANA (Internet Assigned Numbers Authority). Różni się to od domeny trybu mieszanego, która składa się z kontrolerów domeny systemu Windows Server 2003, kontrolerów domeny systemu Windows 2000 opartych na serwerze lub starszych klientów, gdzie domyślny zakres portów dynamicznych wynosi od 1025 do 5000.

Aby uzyskać więcej informacji na temat dynamicznej zmiany zakresu portów w systemie Windows Server 2012 i Windows Server 2012 R2, zobacz:

Porty klienta Port serwera Usługa
49152-65535/UDP 123/UDP W32Time
49152-65535/TCP 135/TCP Mapowany punkt końcowy RPC
49152-65535/TCP 464/TCP/UDP Zmiana hasła Kerberos
49152-65535/TCP 49152-65535/TCP RPC dla LSA, SAM, NetLogon (*)
49152-65535/TCP/UDP 389/TCP/UDP LDAP
49152-65535/TCP 636/TCP LDAP SSL
49152-65535/TCP 3268/TCP LDAP GC
49152-65535/TCP 3269/TCP LDAP GC SSL
53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
49152-65535/TCP 49152-65535/TCP FRS RPC (*)
49152-65535/TCP/UDP 88/TCP/UDP Kerberos
49152-65535/TCP/UDP 445/TCP SMB (**)
49152-65535/TCP 49152-65535/TCP DFSR RPC (*)

Porty NetBIOS wymienione dla systemu Windows NT są również wymagane dla systemów Windows 2000 i Server 2003, gdy skonfigurowano relacje zaufania do domen, które obsługują tylko komunikację opartą na systemie NetBIOS. Przykładem mogą być systemy operacyjne oparte na Windows NT lub kontrolery domeny innych firm, które bazują na systemie Samba.

(*) Aby uzyskać informacje o sposobie definiowania portów serwera RPC używanych przez usługi RPC LSA, zobacz:

(**) W przypadku działania zaufania ten port nie jest wymagany, jest używany tylko do tworzenia zaufania.

Uwaga

Zewnętrzne relacje zaufania 123/UDP są wymagane tylko wtedy, gdy ręcznie skonfigurowano usługę Windows Time Service do synchronizacji z serwerem w ramach relacji zaufania zewnętrznego.

Active Directory

Klient LDAP firmy Microsoft używa polecenia ping protokołu ICMP, gdy żądanie LDAP oczekuje dłuższy czas i czeka na odpowiedź. Wysyła żądania ping w celu sprawdzenia, czy serwer nadal znajduje się w sieci. Jeśli nie otrzyma odpowiedzi ping, żądanie LDAP zakończy się niepowodzeniem z komunikatem LDAP_TIMEOUT.

Readresator systemu Windows używa również komunikatów ping protokołu ICMP, aby sprawdzić, czy adres IP serwera jest rozpoznawany przez usługę DNS przed nawiązaniem połączenia, a także gdy serwer jest lokalizowany przy użyciu usługi DFS. Jeśli chcesz zminimalizować ruch ICMP, możesz użyć następującej przykładowej reguły zapory:

<any> ICMP -> DC IP addr = allow

W przeciwieństwie do warstwy protokołu TCP i warstwy protokołu UDP protokół ICMP nie ma numeru portu. Jest to spowodowane tym, że protokół ICMP jest bezpośrednio hostowany przez warstwę adresów IP.

Domyślnie serwery DNS systemu Windows Server 2003 i Windows 2000 używają efemerycznych portów po stronie klienta podczas wykonywania zapytań względem innych serwerów DNS. Jednak to zachowanie może zostać zmienione przez określone ustawienie rejestru. Można też ustanowić relację zaufania za pośrednictwem tunelu obowiązkowego protokołu PPTP (Point-to-Point Tunneling Protocol). Ogranicza to liczbę portów, które musi otworzyć zapora. W przypadku protokołu PPTP należy włączyć następujące porty.

Porty klienta Port serwera Protocol (Protokół)
1024-65535/TCP 1723/TCP PPTP

Ponadto należy włączyć protokół IP 47 (GRE).

Uwaga

Po dodaniu uprawnień do zasobu w domenie zaufania dla użytkowników w zaufanej domenie istnieją pewne różnice między zachowaniem systemu Windows 2000 i Windows NT 4.0. Jeśli komputer nie może wyświetlić listy użytkowników domeny zdalnej, rozważ następujące zachowanie:

  • System Windows NT 4.0 próbuje rozpoznać ręcznie wpisane nazwy, kontaktując się z kontrolerem domeny zdalnego użytkownika (UDP 138). Jeśli ta komunikacja zakończy się niepowodzeniem, komputer z systemem Windows NT 4.0 skontaktuje się z własnym kontrolerem PDC, a następnie poprosi o rozwiązanie nazwy.
  • Systemy Windows 2000 i Windows Server 2003 próbują również skontaktować się z kontrolerem PDC użytkownika zdalnego w celu rozwiązania problemu za pośrednictwem protokołu UDP 138. Jednak nie polegają na korzystaniu z własnego kontrolera PDC. Upewnij się, że wszystkie serwery członkowskie oparte na systemie Windows 2000 oraz serwery członkowskie oparte na systemie Windows Server 2003, które będą udzielać dostępu do zasobów, mają łączność UDP 138 ze zdalnym kontrolerem PDC.

Odwołanie

Artykuł Przegląd usług i wymagania dotyczące portów sieciowych dla systemu Windows to cenny zasób, w którym omówiono wymagane porty sieciowe, protokoły i usługi używane przez systemy operacyjne klientów i serwerów firmy Microsoft, programy oparte na serwerach i ich podskładniki w systemie Microsoft Windows Server. Administratorzy i pracownicy pomocy technicznej mogą wykorzystać ten artykuł jako plan działania w celu określenia, które porty i protokoły są wymagane przez systemy operacyjne i programy firmy Microsoft do zapewnienia łączności sieciowej w sieci segmentowej.

W celu skonfigurowania zapory Windows nie należy używać informacji o porcie opisanych w temacie Omówienie usługi i wymagania dotyczące portów sieciowych dla Windows. Aby uzyskać informacje na temat konfigurowania Zapory systemu Windows, zobacz Zapora systemu Windows z zaawansowanymi zabezpieczeniami.