Jak nakonfigurovat bránu firewall pro domény a důvěryhodné vztahy

Překlady článku Překlady článku
ID článku: 179442 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek popisuje, jak nakonfigurovat bránu firewall pro domény a důvěryhodné vztahy.

Další informace

Chcete-li vytvořit důvěryhodnou doménu nebo bezpečnostní kanál vedoucí přes bránu firewall, musí být otevřeny následující porty. Je třeba mít na paměti, že na obou stranách brány firewall se mohou nacházet hostitelské počítače, které plní roli klienta i serveru. Pravidla portů proto mohou být zrcadlena.

Windows NT

V tomto prostředí je jednou stranou vztahu důvěryhodnosti důvěryhodný počítač se systémem Windows NT 4.0, nebo byl vztah důvěryhodnosti vytvořen pomocí názvů v systému NetBIOS.
Zmenšit tuto tabulkuRozšířit tuto tabulku
Porty klientaPort serveruSlužba
137/UDP137/UDPNázev pro NetBIOS
138/UDP138/UDPSlužba Netlogon a procházení systému NetBIOS
1024-65535/TCP139/TCPRelace NetBIOS
1024-65535/TCP42/TCP?Replikace služby WINS

Windows Server 2003 a Windows 2000 Server

V případě smíšené domény, která používá řadiče domén se systémem Windows NT nebo starší klienty, mohou vztahy důvěryhodnosti mezi dvěma řadiči domén se systémem Windows Server 2003 nebo Windows 2000 Server, jež se nenachází ve stejné doménové struktuře, vyžadovat vedle otevření následujících portů i otevření všech portů pro systém Windows NT uvedených v předchozí tabulce:

Poznámka: Oba řadiče domény jsou ve stejné doménové struktuře, nebo jsou oba v samostatné doménové struktuře. Dále jsou důvěryhodnosti v doménové struktuře verze Windows Server 2003 nebo novější verze důvěryhodnosti.
Zmenšit tuto tabulkuRozšířit tuto tabulku
Porty klientaPort serveruSlužba
1024-65535/TCP135/TCPVzdálené volání procedur
1024-65535/TCP1024-65535/TCPSlužby LSA RPC (*)
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP GC SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
(*) Definici portů serveru RPC používaných službami LSA RPC najdete v následujícím článku znalostní báze Microsoft Knowledge Base v části „Řadiče domén a služba Active Directory“:
832017 Přehled služeb a požadavků na síťové porty pro systém Windows Server (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Windows Server 2008/Windows Server 2008 R2

V případě smíšené domény, která obsahuje řadiče domén se systémem Windows Server 2003, řadiče domén se systémem Windows 2000 Server nebo starší klienty, je výchozí rozsah dynamických portů 1025 až 5000. Systémy Windows Server 2008 a Windows Server 2008 R2, v souladu s doporučeními úřadu IANA (Internet Assigned Numbers Authority), zvětšily rozsah dynamických portů pro odchozí připojení. Nový výchozí počáteční port je 49152 a nový výchozí koncový port je 65535. Proto je nutné zvětšit rozsah portů RPC v branách firewall.
Zmenšit tuto tabulkuRozšířit tuto tabulku
Porty klientaPort serveruSlužba
49152 -65535/UDP123/UDPW32Time
49152-65535/TCP135/TCPRPC-EPMAP
49152-65535/TCP138/UDPNetbios
49152-65535/TCP49152-65535/TCPVzdálené volání procedur
49152-65535/TCP/UDP389/TCP/UDPLDAP
49152-65535/TCP636/TCPLDAP SSL
49152-65535/TCP3268/TCPLDAP GC
49152-65535/TCP3269/TCPLDAP GC SSL
53, 49152 -65535/TCP/UDP53/TCP/UDPDNS
49152-65535/TCP135, 49152 -65535/TCPRPC DNS
49152-65535/TCP/UDP88/TCP/UDPKerberos
49152-65535/TCP/UDP445/NP-TCP/NP-UDPSAM/LSA
Další informace o změně v rozsahu dynamických portů v systému Windows Server 2008 naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
929851 V systémech Windows Vista a Windows Server 2008 byl změněn výchozí rozsah dynamických portů protokolu TCP/IP
Chcete-li získat další informace o této změně, navštivte blog Ask the Directory Services Team a přečtěte si následující článek:
Dynamic Client Ports in Windows Server 2008 and Windows Vista (Dynamické porty klienta v systému Windows Server 2008 a Windows Vista)

Služba Active Directory

Má-li přes bránu firewall správně fungovat služba Active Directory, musí být povolena komunikace klientů s řadiči domén prostřednictvím protokolu ICMP (Internet Control Message Protocol), aby klienti mohli přijímat informace o zásadách skupiny.

Protokol ICMP slouží pro určení, zda je linka pomalá nebo rychlá. ICMP je legitimní protokol, který služba Active Directory používá pro zjišťování zásad skupiny a pro zjišťování ??největších přenosových jednotek (MTU). Protokol ICMP také používá přesměrovač systému Windows k ověření, zda služba DNS před vytvořením připojení přeloží adresu IP serveru.

Chcete-li snížit objem provozu protokolu ICMP na minimum, můžete použít následující vzorové pravidlo brány firewall:
<any> ICMP -> DC IP addr = allow

ICMP na rozdíl od vrstev protokolů TCP a UDP nepoužívá čísla portů. Je to z toho důvodu, že protokol ICMP je hostován přímo na vrstvě IP.

Servery DNS systémů Windows Server 2003 a Windows 2000 Server při dotazování jiných serverů DNS ve výchozím nastavení používají dočasné porty na straně klienta. Toto chování však lze upravit určitým nastavením registru, které je popsáno v následujícím článku znalostní báze Microsoft Knowledge Base:
260186 ?Klíč registru SendPort serveru DNS nefunguje podle očekávání

Další informace o konfiguraci služby Active Directory a brány firewall najdete v dokumentu white paper společnosti Microsoft s názvem „Active Directory in Networks Segmented by Firewalls“. Přejděte na následující web:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en
Druhou možností je vytvořit vztah důvěryhodnosti prostřednictvím povinného tunelu protokolu PPTP (Point-to-Point Tunneling Protocol), což omezí počet portů, které bude muset brána firewall udržovat otevřené. Pro protokol PPTP musí být povoleny následující porty.
Zmenšit tuto tabulkuRozšířit tuto tabulku
Porty klientaPort serveruProtokol
1024-65535/TCP1723/TCPPPTP
Dále je třeba povolit protokol IP PROTOCOL 47 (GRE).

Poznámka: Pokud přidáváte oprávnění k prostředku v důvěřující doméně pro uživatele v důvěryhodné doméně, je třeba mít na paměti určité rozdíly v chování mezi systémy Windows 2000 a Windows NT 4.0. Jestliže počítač nemůže zobrazit seznam uživatelů vzdálené domény:
  • systém Windows NT 4.0 se pokusí přeložit ručně zadané názvy kontaktováním primárního řadiče domény vzdáleného uživatele (UDP 138). Pokud je tato komunikace neúspěšná, počítač se systémem Windows NT 4.0 kontaktuje vlastní primární řadič domény a požádá o překlad názvu.
  • Systémy Windows 2000 a Windows Server 2003 se rovněž pokoušejí kontaktovat primární řadič domény vzdáleného uživatele a požádat o překlad prostřednictvím UDP 138, ale v případě neúspěchu už nezkoušejí použít vlastní primární řadič domény. Ujistěte se, že všechny členské servery se systémy Windows 2000 a Windows Server 2003, které budou udělovat přístup k prostředkům, jsou schopny se připojit přes port 138 protokolu UDP ke vzdálenému primárnímu řadiči domény.

Vlastnosti

ID článku: 179442 - Poslední aktualizace: 25. března 2010 - Revize: 13.2
Informace v tomto článku jsou určeny pro produkt:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Foundation
  • Windows Web Server 2008 R2
Klíčová slova: 
kbenv kbhowto kbnetwork KB179442

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com