Så här konfigurerar du en brandvägg för domäner och förtroenden i Active Directory
Den här artikeln beskriver hur du konfigurerar en brandvägg för domäner och förtroende i Active Directory.
Original-KB-nummer: 179442
Obs!
Alla portar som visas i tabellerna här är inte obligatoriska i alla scenarier. Om brandväggen till exempel separerar medlemmar och domänkontrollanter behöver du inte öppna FRS- eller DFSR-portarna. Om du vet att inga klienter använder LDAP med SSL/TLS behöver du inte öppna portarna 636 och 3269.
Mer information
Obs!
De två domänkontrollanterna finns båda i samma skog, eller så finns båda två domänkontrollanterna i en separat skog. Dessutom är förtroenden i skogen Windows Server 2003-förtroenden eller senare versionsförtroenden.
| Klientportar | Serverport | Tjänst |
|---|---|---|
| 1024-65535/TCP | 135/TCP | RPC-slutpunktsavbildare |
| 1024-65535/TCP | 1024-65535/TCP | RPC för LSA, SAM, NetLogon (*) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
NetBIOS-portar som anges för Windows NT krävs också för Windows 2000 och Windows Server 2003 när förtroenden för domäner har konfigurerats som endast stöder NetBIOS-baserad kommunikation. Exempel är Windows NT-baserade operativsystem eller domänkontrollanter från tredje part som baseras på Samba.
Mer information om hur du definierar RPC-serverportar som används av LSA RPC-tjänsterna finns i:
- Begränsa Active Directory RPC-trafik till en specifik port.
- Avsnittet Domänkontrollanter och Active Directory i Tjänstöversikt och krav på nätverksportar för Windows.
Windows Server 2008 och senare versioner
Windows Server 2008 nyare versioner av Windows Server har ökat det dynamiska klientportintervallet för utgående anslutningar. Den nya standardstartporten är 49152 och standardslutporten är 65535. Därför måste du öka RPC-portintervallet i brandväggarna. Den här ändringen gjordes för att uppfylla IANA-rekommendationerna (Internet Assigned Numbers Authority). Detta skiljer sig från en domän i blandat läge som består av Windows Server 2003-domänkontrollanter, Windows 2000 serverbaserade domänkontrollanter eller äldre klienter, där standardintervallet för dynamisk port är 1025 till 5000.
Mer information om den dynamiska portintervalländringen i Windows Server 2012 och Windows Server 2012 R2 finns i:
| Klientportar | Serverport | Tjänst |
|---|---|---|
| 49152-65535/UDP | 123/UDP | W32Time |
| 49152-65535/TCP | 135/TCP | RPC-slutpunktsavbildare |
| 49152-65535/TCP | 464/TCP/UDP | Ändring av Kerberos-lösenord |
| 49152-65535/TCP | 49152-65535/TCP | RPC för LSA, SAM, NetLogon (*) |
| 49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152-65535/TCP | 636/TCP | LDAP SSL |
| 49152-65535/TCP | 3268/TCP | LDAP GC |
| 49152-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152-65535/TCP | 49152-65535/TCP | FRS RPC (*) |
| 49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152-65535/TCP/UDP | 445/TCP | SMB (**) |
| 49152-65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
NetBIOS-portar som anges för Windows NT krävs också för Windows 2000 och Server 2003 när förtroenden för domäner har konfigurerats som endast stöder NetBIOS-baserad kommunikation. Exempel är Windows NT-baserade operativsystem eller domänkontrollanter från tredje part som baseras på Samba.
(*) Information om hur du definierar RPC-serverportar som används av LSA RPC-tjänsterna finns i:
- Begränsa Active Directory RPC-trafik till en specifik port.
- Avsnittet Domänkontrollanter och Active Directory i Tjänstöversikt och krav på nätverksportar för Windows.
(**) För driften av förtroendet krävs inte den här porten, den används endast för att skapa förtroenden.
Obs!
Externt förtroende 123/UDP behövs bara om du har konfigurerat Windows tidstjänst manuellt för att synkronisera med en server över det externa förtroendet.
Active Directory
Microsoft LDAP-klienten använder ICMP-ping när en LDAP-begäran väntar på längre tid och väntar på ett svar. Den skickar pingbegäranden för att kontrollera att servern fortfarande finns i nätverket. Om den inte tar emot ping-svar misslyckas LDAP-begäran med LDAP_TIMEOUT.
Windows Redirector använder också ICMP-pingmeddelanden för att kontrollera att en server-IP matchas av DNS-tjänsten innan en anslutning upprättas och när en server finns med hjälp av DFS. Om du vill minimera ICMP-trafik kan du använda följande exempel på brandväggsregel:
<alla> ICMP –> DC IP-tillägg = tillåt
Till skillnad från TCP-protokollskiktet och UDP-protokollskiktet har ICMP inget portnummer. Det beror på att ICMP hanteras direkt av IP-lagret.
Som standard använder Windows Server 2003- och Windows 2000 Server DNS-servrar tillfälliga portar på klientsidan när de frågar andra DNS-servrar. Det här beteendet kan dock ändras av en specifik registerinställning. Eller så kan du upprätta ett förtroende via den obligatoriska tunneln PPTP (Point-to-Point Tunneling Protocol). Detta begränsar antalet portar som brandväggen måste öppna. För PPTP måste följande portar vara aktiverade.
| Klientportar | Serverport | Protokoll |
|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
Dessutom måste du aktivera IP PROTOCOL 47 (GRE).
Obs!
När du lägger till behörigheter till en resurs på en betrodd domän för användare i en betrodd domän finns det vissa skillnader mellan beteendet för Windows 2000 och Windows NT 4.0. Om datorn inte kan visa en lista över fjärrdomänens användare bör du tänka på följande beteende:
- Windows NT 4.0 försöker matcha manuellt angivna namn genom att kontakta PDC för fjärranvändarens domän (UDP 138). Om kommunikationen misslyckas kontaktar en Windows NT 4.0-baserad dator sin egen PDC och ber sedan om namnmatchning.
- Windows 2000 och Windows Server 2003 försöker också kontakta fjärranvändarens PDC för lösning via UDP 138. De förlitar sig dock inte på att använda sin egen PDC. Kontrollera att alla Windows 2000-baserade medlemsservrar och Windows Server 2003-baserade medlemsservrar som ger åtkomst till resurser har UDP 138-anslutning till fjärr-PDC.
Referens
Tjänsteöversikt och krav på nätverksport för Windows är en värdefull resurs för att få översikt över de krav på nätverksportar, protokoll och tjänster som används av Microsofts klient- och serveroperativsystem, serverbaserade program och deras underkomponenter i Microsoft Windows Server-systemet. Administratörer och supportpersonal kan använda den här artikeln som en översikt över vilka portar och protokoll Microsofts operativsystem och program kräver för nätverksanslutning i ett segmenterat nätverk.
Du bör inte använda portinformationen i Tjänsteöversikt och krav på nätverksport för Windows för att konfigurera Windows-brandväggen. Mer information om hur du konfigurerar Windows-brandväggen finns i Windows-brandväggen med Avancerad säkerhet.