Jak skonfigurować zaporę sieciową dla domen Active Directory i relacji zaufania
W tym artykule opisano sposób konfigurowania zapory dla domen i relacji zaufania usługi Active Directory.
Oryginalny numer KB: 179442
Uwaga
Nie wszystkie porty wymienione w tabelach są wymagane we wszystkich scenariuszach. Jeśli na przykład zapora oddziela elementy członkowskie i kontrolery domeny, nie trzeba otwierać portów usługi FRS ani DFSR. Ponadto jeśli wiadomo, że żaden klient nie korzysta z protokołu LDAP z protokołem SSL/TLS, nie trzeba otwierać portów 636 i 3269.
Więcej informacji
Uwaga
Oba kontrolery domeny znajdują się w tym samym lesie lub dwa kontrolery domeny znajdują się w oddzielnym lesie. Ponadto relacje zaufania w lesie są relacjami zaufania systemu Windows Server 2003 lub nowszej wersji.
| Porty klienta | Port serwera | Usługa |
|---|---|---|
| 1024-65535/TCP | 135/TCP | Mapowany punkt końcowy RPC |
| 1024-65535/TCP | 1024-65535/TCP | RPC dla LSA, SAM, NetLogon (*) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
Porty NetBIOS wymienione dla systemu Windows NT są również wymagane w przypadku systemów Windows 2000 i Windows Server 2003, gdy skonfigurowano relacje zaufania do domen obsługujących tylko komunikację opartą na systemie NetBIOS. Przykładem mogą być systemy operacyjne oparte na Windows NT lub kontrolery domeny innych firm, które bazują na systemie Samba.
Aby uzyskać więcej informacji na temat definiowania portów serwera RPC używanych przez usługi RPC LSA, zobacz:
- Ograniczanie ruchu RPC usługi Active Directory do określonego portu.
- Sekcja Kontrolery domeny i usługa Active Directory w sekcji Omówienie usługi i wymagania dotyczące portów sieciowych dla systemu Windows.
Windows Server 2008 i nowsze wersje
W nowszych wersjach systemu Windows Server 2008 zwiększono zakres dynamicznych portów klienta dla połączeń wychodzących. Nowy domyślny port początkowy to 49152, a domyślny port końcowy to 65535. W związku z tym należy zwiększyć zakres portów RPC w zaporach. Ta zmiana została wprowadzona w celu zachowania zgodności z zaleceniami urzędu IANA (Internet Assigned Numbers Authority). Różni się to od domeny trybu mieszanego, która składa się z kontrolerów domeny systemu Windows Server 2003, kontrolerów domeny systemu Windows 2000 opartych na serwerze lub starszych klientów, gdzie domyślny zakres portów dynamicznych wynosi od 1025 do 5000.
Aby uzyskać więcej informacji na temat dynamicznej zmiany zakresu portów w systemie Windows Server 2012 i Windows Server 2012 R2, zobacz:
- Domyślne zakresy portów dynamicznych protokołu TCP/IP uległy zmianie.
- Porty dynamiczne w systemie Windows Server.
| Porty klienta | Port serwera | Usługa |
|---|---|---|
| 49152-65535/UDP | 123/UDP | W32Time |
| 49152-65535/TCP | 135/TCP | Mapowany punkt końcowy RPC |
| 49152-65535/TCP | 464/TCP/UDP | Zmiana hasła Kerberos |
| 49152-65535/TCP | 49152-65535/TCP | RPC dla LSA, SAM, NetLogon (*) |
| 49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152-65535/TCP | 636/TCP | LDAP SSL |
| 49152-65535/TCP | 3268/TCP | LDAP GC |
| 49152-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152-65535/TCP | 49152-65535/TCP | FRS RPC (*) |
| 49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152-65535/TCP/UDP | 445/TCP | SMB (**) |
| 49152-65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
Porty NetBIOS wymienione dla systemu Windows NT są również wymagane dla systemów Windows 2000 i Server 2003, gdy skonfigurowano relacje zaufania do domen, które obsługują tylko komunikację opartą na systemie NetBIOS. Przykładem mogą być systemy operacyjne oparte na Windows NT lub kontrolery domeny innych firm, które bazują na systemie Samba.
(*) Aby uzyskać informacje o sposobie definiowania portów serwera RPC używanych przez usługi RPC LSA, zobacz:
- Ograniczanie ruchu RPC usługi Active Directory do określonego portu.
- Sekcja Kontrolery domeny i usługa Active Directory w sekcji Omówienie usługi i wymagania dotyczące portów sieciowych dla systemu Windows.
(**) W przypadku działania zaufania ten port nie jest wymagany, jest używany tylko do tworzenia zaufania.
Uwaga
Zewnętrzne relacje zaufania 123/UDP są wymagane tylko wtedy, gdy ręcznie skonfigurowano usługę Windows Time Service do synchronizacji z serwerem w ramach relacji zaufania zewnętrznego.
Active Directory
Klient LDAP firmy Microsoft używa polecenia ping protokołu ICMP, gdy żądanie LDAP oczekuje dłuższy czas i czeka na odpowiedź. Wysyła żądania ping w celu sprawdzenia, czy serwer nadal znajduje się w sieci. Jeśli nie otrzyma odpowiedzi ping, żądanie LDAP zakończy się niepowodzeniem z komunikatem LDAP_TIMEOUT.
Readresator systemu Windows używa również komunikatów ping protokołu ICMP, aby sprawdzić, czy adres IP serwera jest rozpoznawany przez usługę DNS przed nawiązaniem połączenia, a także gdy serwer jest lokalizowany przy użyciu usługi DFS. Jeśli chcesz zminimalizować ruch ICMP, możesz użyć następującej przykładowej reguły zapory:
<any> ICMP -> DC IP addr = allow
W przeciwieństwie do warstwy protokołu TCP i warstwy protokołu UDP protokół ICMP nie ma numeru portu. Jest to spowodowane tym, że protokół ICMP jest bezpośrednio hostowany przez warstwę adresów IP.
Domyślnie serwery DNS systemu Windows Server 2003 i Windows 2000 używają efemerycznych portów po stronie klienta podczas wykonywania zapytań względem innych serwerów DNS. Jednak to zachowanie może zostać zmienione przez określone ustawienie rejestru. Można też ustanowić relację zaufania za pośrednictwem tunelu obowiązkowego protokołu PPTP (Point-to-Point Tunneling Protocol). Ogranicza to liczbę portów, które musi otworzyć zapora. W przypadku protokołu PPTP należy włączyć następujące porty.
| Porty klienta | Port serwera | Protocol (Protokół) |
|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
Ponadto należy włączyć protokół IP 47 (GRE).
Uwaga
Po dodaniu uprawnień do zasobu w domenie zaufania dla użytkowników w zaufanej domenie istnieją pewne różnice między zachowaniem systemu Windows 2000 i Windows NT 4.0. Jeśli komputer nie może wyświetlić listy użytkowników domeny zdalnej, rozważ następujące zachowanie:
- System Windows NT 4.0 próbuje rozpoznać ręcznie wpisane nazwy, kontaktując się z kontrolerem domeny zdalnego użytkownika (UDP 138). Jeśli ta komunikacja zakończy się niepowodzeniem, komputer z systemem Windows NT 4.0 skontaktuje się z własnym kontrolerem PDC, a następnie poprosi o rozwiązanie nazwy.
- Systemy Windows 2000 i Windows Server 2003 próbują również skontaktować się z kontrolerem PDC użytkownika zdalnego w celu rozwiązania problemu za pośrednictwem protokołu UDP 138. Jednak nie polegają na korzystaniu z własnego kontrolera PDC. Upewnij się, że wszystkie serwery członkowskie oparte na systemie Windows 2000 oraz serwery członkowskie oparte na systemie Windows Server 2003, które będą udzielać dostępu do zasobów, mają łączność UDP 138 ze zdalnym kontrolerem PDC.
Odwołanie
Artykuł Przegląd usług i wymagania dotyczące portów sieciowych dla systemu Windows to cenny zasób, w którym omówiono wymagane porty sieciowe, protokoły i usługi używane przez systemy operacyjne klientów i serwerów firmy Microsoft, programy oparte na serwerach i ich podskładniki w systemie Microsoft Windows Server. Administratorzy i pracownicy pomocy technicznej mogą wykorzystać ten artykuł jako plan działania w celu określenia, które porty i protokoły są wymagane przez systemy operacyjne i programy firmy Microsoft do zapewnienia łączności sieciowej w sieci segmentowej.
W celu skonfigurowania zapory Windows nie należy używać informacji o porcie opisanych w temacie Omówienie usługi i wymagania dotyczące portów sieciowych dla Windows. Aby uzyskać informacje na temat konfigurowania Zapory systemu Windows, zobacz Zapora systemu Windows z zaawansowanymi zabezpieczeniami.