Cara mengkonfigurasi firewall untuk domain dan Trust

Artikel ini menjelaskan cara mengkonfigurasi firewall untuk domain dan Trust.

Perhatikan bahwa tidak semua port yang tercantum dalam Daftar Tabel di bawah ini diperlukan dalam semua skenario. Sebagai contoh, jika firewall memisahkan anggota dan DC, Anda tidak perlu membuka port FRS dan/atau DFSR. Juga jika Anda tahu tidak ada klien menggunakan LDAP dengan SSL/TLS, Anda tidak perlu membuka port 636 dan 3269.

Untuk menetapkan domain kepercayaan atau saluran keamanan di firewall, port berikut harus dibuka. Sadarilah bahwa mungkin ada host yang berfungsi dengan baik klien dan server peran pada kedua sisi dari firewall. Oleh karena itu, pelabuhan aturan harus tercermin.

Windows NT

Dalam lingkungan ini, satu sisi kepercayaan adalah Windows NT 4.0 Trust, atau kepercayaan diciptakan dengan menggunakan nama NetBIOS.

Windows Server 2003 dan Windows 2000 Server

Untuk modus campuran domain yang menggunakan pengontrol domain Windows NT atau warisan klien, hubungan kepercayaan antara Domain Windows Server 2003 berbasis controller dan domain berbasis Windows 2000 Server controller mungkin memerlukan yang semua port untuk Windows NT yang didaftar di Daftar Tabel sebelumnya dapat dibuka dengan tambahan port berikut.

Catatan pengendali domain dua keduanya sama dalam satu hutan, atau pengendali domain dua keduanya di sebuah hutan yang terpisah. Juga, yang percaya di hutan Windows Server 2003 Trust atau kemudian versi Trust.(*) Untuk menentukan port server RPC yang digunakan oleh LSA RPC Layanan, lihat artikel KB 224196 atau "pengontrol Domain dan Active Directory" bagian dalam artikel Pangkalan Pengetahuan Microsoft berikut:

Windows Server 2008/Windows Server 2008 R2

Dalam modus dicampur dengan domain yang terdiri dari pengontrol domain Windows Server 2003, pengendali domain berbasis Windows 2000 Server, atau klien warisan, rentang dinamis port default adalah 1025 melalui 5000. Windows Server 2008 dan Windows Server 2008 R2, sesuai dengan rekomendasi Internet Assigned Numbers Authority (IANA), telah meningkat dinamis klien port kisaran untuk koneksi cek keluar. Baru mulai port default adalah 49152, dan port default akhir 65535. Oleh karena itu, Anda harus meningkatkan jangkauan RPC port dalam firewall Anda.Untuk informasi lebih lanjut tentang perubahan di kisaran dinamis port di Windows Server 2008, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:Untuk informasi lebih lanjut tentang perubahan ini, kunjungi bertanya tim layanan direktori blog dan membaca artikel berikut:

Port klien dinamis pada Windows Server 2008 dan Windows Vista (http://blogs.technet.com/askds/archive/2007/08/24/dynamic-client-ports-in-windows-server-2008-and-windows-vista-or-how-i-learned-to-stop-worrying-and-love-the-iana.aspx)

(*) Untuk menentukan port server RPC yang digunakan oleh LSA RPC Layanan, lihat artikel KB 224196 atau "pengontrol Domain dan Active Directory" bagian dalam artikel Pangkalan Pengetahuan Microsoft berikut:

832017  (http://support.microsoft.com/kb/832017/ ) Layanan ikhtisar dan pelabuhan persyaratan jaringan untuk sistem Windows Server

Direktori Aktif

Di Windows 2000 dan XP, untuk klien Kebijakan Grup Direktori Aktif untuk fungsi dengan benar melalui firewall, Protokol Internet Control Message Protocol (ICMP) harus diperbolehkan melalui firewall dari klien untuk pengendali domain. ICMP digunakan untuk menentukan apakah link link lambat atau link cepat.

Pada Windows Server 2008 dan versi yang lebih baru, kesadaran lokasi jaringan menyediakan perkiraan bandwidth yang berdasarkan lalu lintas dengan stasiun lain pada jaringan. Ada tidak ada lalu lintas yang dihasilkan untuk perkiraan.

Windows Redirector juga menggunakan ICMP untuk memverifikasi bahwa server IP diatasi dengan layanan DNS sebelum sambungan dibuat, dan ketika server terletak menggunakan DFS. Hal ini berlaku untuk SYSVOL akses oleh anggota domain.


Jika Anda ingin meminimalkan ICMP lalu lintas, Anda dapat menggunakan berikut sampel firewall aturan:
Tidak seperti lapisan protokol TCP dan UDP Protokol lapisan, ICMP tidak memiliki nomor port. Hal ini karena ICMP langsung diselenggarakan oleh lapisan IP.

secara asali, Windows Server 2003 dan Windows 2000 Server DNS server menggunakan fana sisi klien port ketika mereka query DNS lainnya server. Namun, perilaku ini dapat diubah dengan registri khusus pengaturan yang dijelaskan dalam artikel berikut dalam Pengetahuan Microsoft Base:
Untuk informasi lebih lanjut tentang Direktori Aktif dan firewall konfigurasi, lihat "Active Directory di jaringan Segmented oleh Kertas putih firewall"Microsoft. Untuk melakukannya, kunjungi Website berikut ini: Sebagai alternatif, Anda dapat membangun kepercayaan melalui Point-to-Point Tunneling Protocol (PPTP) wajib terowongan, dan ini akan membatasi jumlah port yang firewall akan perlu untuk membuka. Untuk PPTP, mengikuti port harus diaktifkan. Selain itu, Anda harus mengaktifkan protokol 47 IP (GRE).

Catatan Ketika Anda menambahkan hak akses ke sumber daya pada domain percaya untuk pengguna di domain yang terpercaya, ada beberapa perbedaan antara Windows 2000 dan perilaku Windows NT 4.0. Jika komputer cannotdisplay daftar remote domain pengguna:

• Windows NT 4.0 mencoba menetapkan nama secara manual diketik oleh menghubungi PDC untuk pengguna remote domain (UDP 138). Jika itu komunikasi gagal, komputer berbasis Windows NT 4.0 kontak PDC tersendiri, dan kemudian meminta resolusi nama.
• Windows 2000 dan Windows Server 2003 juga mencoba untuk menghubungi pengguna remote PDC penyelesaian atas UDP 138, tetapi mereka tidak bergantung pada menggunakan PDC mereka sendiri. Pastikan bahwa semua anggota berbasis Windows 2000 Server dan Windows Server 2003 berbasis anggota server yang akan memberikan akses ke sumber daya memiliki UDP 138 konektivitas ke PDC terpencil.