Compartilhar via


Como configurar um firewall para domínios e relações de confiança do Active Directory

Este artigo descreve como configurar um firewall para domínios e relações de confiança do Active Directory.

Número original do KB: 179442

Observação

Nem todas as portas listadas nestas tabelas são necessárias em todos os cenários. Por exemplo, se o firewall separar membros e DCs, você não precisará abrir as portas FRS ou DFSR. Além disso, se você souber que nenhum cliente usa LDAP com SSL/TLS, não precisará abrir as portas 636 e 3269.

Mais informações

Observação

Os dois controladores de domínio estão na mesma floresta ou os dois controladores de domínio estão em uma floresta separada. Além disso, as relações de confiança na floresta são relações de confiança do Windows Server 2003 ou versões posteriores.

Porta(s) do Cliente Porta do Servidor Serviço
1024-65535/TCP 135/TCP Mapeador de Ponto de Extremidade RPC
1024-65535/TCP 1024-65535/TCP RPC para LSA, SAM, NetLogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS RPC (*)

As portas NetBIOS listadas para Windows NT também são necessárias para o Windows 2000 e o Windows Server 2003 quando as relações de confiança com domínios são configuradas de modo a dar suporte apenas à comunicação baseada em NetBIOS. Exemplos incluem sistemas operacionais baseados em Windows NT ou Controladores de Domínio de terceiros baseados no Samba.

Para obter mais informações sobre como definir portas de servidor RPC que são usadas pelos serviços LSA RPC, consulte:

Windows Server 2008 e versões posteriores

Windows Server 2008 e versões mais recentes do Windows Server aumentaram o intervalo de portas do cliente dinâmico para conexões de saída. A nova porta inicial padrão é 49152, e a porta final padrão é 65535. Portanto, você deve aumentar o intervalo de portas RPC em seus firewalls. Essa alteração foi feita para atender às recomendações da IANA (Internet Assigned Numbers Authority). Isso difere de um domínio de modo misto que consiste em controladores de domínio do Windows Server 2003, controladores de domínio baseados em servidor do Windows 2000 ou clientes herdados, em que o intervalo de portas dinâmicas padrão é de 1025 a 5000.

Para obter mais informações sobre a alteração do intervalo de portas dinâmicas do Windows Server 2012 e Windows Server 2012 R2, consulte:

Porta(s) do Cliente Porta do Servidor Serviço
49152-65535/UDP 123/UDP W32Time
49152-65535/TCP 135/TCP Mapeador de Ponto de Extremidade RPC
49152-65535/TCP 464/TCP/UDP Alteração de senha do Kerberos
49152-65535/TCP 49152-65535/TCP RPC para LSA, SAM, NetLogon (*)
49152-65535/TCP/UDP 389/TCP/UDP LDAP
49152-65535/TCP 636/TCP LDAP SSL
49152-65535/TCP 3268/TCP LDAP GC
49152-65535/TCP 3269/TCP LDAP GC SSL
53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
49152-65535/TCP 49152-65535/TCP FRS RPC (*)
49152-65535/TCP/UDP 88/TCP/UDP Kerberos
49152-65535/TCP/UDP 445/TCP SMB (**)
49152-65535/TCP 49152-65535/TCP DFSR RPC (*)

As portas NetBIOS conforme listadas para Windows NT também são necessárias para o Windows 2000 e o Server 2003 quando as relações de confiança com domínios são configuradas de modo a dar suporte apenas à comunicação baseada em NetBIOS. Exemplos incluem sistemas operacionais baseados em Windows NT ou Controladores de Domínio de terceiros baseados no Samba.

(*) Para obter informações sobre como definir portas de servidor RPC usadas pelos serviços LSA RPC, consulte:

(**) Para a operação da relação de confiança, essa porta não é necessária, ela é usada somente para criação de confiança.

Observação

A relação de confiança externa 123/UDP só será necessária se você tiver configurado manualmente o Serviço de Tempo do Windows para Sincronizar com um servidor na relação de confiança externa.

Active Directory

O cliente LDAP da Microsoft usa ping ICMP quando uma solicitação LDAP está pendente por tempo estendido e aguarda uma resposta. Ele envia solicitações de ping para verificar se o servidor ainda está na rede. Se ele não receber respostas de ping, haverá falha na solicitação LDAP com LDAP_TIMEOUT.

O Redirecionador do Windows também usa mensagens de Ping ICMP para verificar se um IP do servidor é resolvido pelo serviço DNS antes de uma conexão ser feita e quando um servidor é localizado usando DFS. Se você quiser minimizar o tráfego ICMP, poderá usar a seguinte regra de firewall de exemplo:

              <qualquer> ICMP -> DC IP addr = allow

Ao contrário da camada de protocolo TCP e da camada de protocolo UDP, o ICMP não tem um número de porta. Isso ocorre porque o ICMP é hospedado diretamente pela camada de IP.

Por padrão, os servidores DNS do Servidor do Windows Server 2003 e do Windows 2000 usam portas efêmeras do lado do cliente quando consultam outros servidores DNS. No entanto, esse comportamento pode ser alterado por uma configuração específica do Registro. Ou você pode estabelecer uma relação de confiança por meio do túnel obrigatório PPTP (Protocolo de Túneis Ponto a Ponto). Isso limita o número de portas que o firewall precisa abrir. Para PPTP, as portas a seguir devem ser habilitadas.

Portas do Cliente Porta do Servidor Protocolo
1024-65535/TCP 1723/TCP PPTP

Além disso, você precisaria habilitar o PROTOCOLO IP 47 (GRE).

Observação

Quando você adiciona permissões a um recurso em um domínio confiável para usuários em um domínio confiável, há algumas diferenças entre o comportamento do Windows 2000 e Windows NT 4.0. Se o computador não puder exibir uma lista de usuários do domínio remoto, considere o seguinte comportamento:

  • O Windows NT 4.0 tenta resolver nomes digitados manualmente contatando o PDC para o domínio do usuário remoto (UDP 138). Se essa comunicação falhar, o computador baseado em Windows NT 4.0 contatará seu próprio PDC e solicitará a resolução do nome.
  • O Windows 2000 e o Windows Server 2003 também tentam entrar em contato com o PDC do usuário remoto para resolução sobre o UDP 138. No entanto, eles não dependem de usar seu próprio PDC. Verifique se todos os servidores membros baseados em Windows 2000 e servidores membros baseados no Windows Server 2003 que concederão acesso aos recursos têm conectividade UDP 138 com o PDC remoto.

Referência

Visão geral do serviço e requisitos da porta de rede para Windows é um recurso valioso que estrutura as portas de rede, os protocolos e os serviços necessários usados pelo cliente Microsoft e pelos sistemas operacionais de servidor, pelos programas com base em servidor e seus subcomponentes no sistema Microsoft Windows Server. Administradores e profissionais de suporte podem usar o artigo como um mapa para determinar quais são as portas e os protocolos que os sistemas operacionais e programas da Microsoft exigem para uma conectividade de rede em uma rede segmentada.

Você não deve usar as informações de porta na Visão geral do serviço e os requisitos de porta de rede para Windows para configurar o Firewall do Windows. Para obter informações sobre como configurar o Firewall do Windows, consulte Firewall do Windows e segurança avançada.