In questo articolo viene descritto come configurare un firewall per domini e trust.
Riduci l'immagineEspandi l'immagine
Non tutte le porte sono elencate nelle tabelle riportate di seguito sono necessari in tutti gli scenari. Ad esempio, se il firewall separa i membri e controller di dominio, non è necessario aprire le porte di FRS o DFSR. Inoltre, se si è certi che nessun client utilizza LDAP con SSL/TLS, non è necessario aprire le porte 636 e 3269.
Per stabilire un trust di dominio o un canale di protezione attraverso un firewall, è necessario aprire le porte seguenti. Tenere presente che potrebbe essere host funziona con i ruoli di client e server su entrambi i lati del firewall. Pertanto, le regole delle porte potrebbero essere necessario eseguire il mirroring.
Windows NT
Click here to show/hide solution
In questo ambiente, un lato del trust è un trust Windows NT 4.0 o la relazione di trust è stato creato utilizzando i nomi NetBIOS.
Riduci questa tabellaEspandi questa tabella
| Porte client | Porta del server | Servizio |
|---|
| UDP/137 | UDP/137 | Nome NetBIOS |
| UDP/138 | UDP/138 | NetBIOS Netlogon e
Esplorazione |
| 1024-65535/TCP | 139/TCP | Sessione NetBIOS |
| 1024-65535/TCP | 42/TCP | Replica WINS |
Windows Server 2003 e Windows 2000 Server
Click here to show/hide solution
Per un dominio in modalità mista che utilizza il controller di dominio Windows NT o i client legacy, relazioni di trust tra i controller di dominio basato su Windows Server 2003 e un dominio basato su Windows 2000 Server controller potrebbero richiedere che oltre alle seguenti porte aprire tutte le porte per Windows NT elencati nella tabella precedente.
Riduci l'immagineEspandi l'immagine
I due domain controller sono entrambi nella stessa
insieme di strutture o i due domain controller sono entrambi in una foresta separata. Inoltre, sono le relazioni di trust dell'insieme di strutture
Trust di Windows Server 2003 o trust di versioni successive.
Riduci questa tabellaEspandi questa tabella
| Porte client | Porta del server | Servizio |
|---|
| 1024-65535/TCP | 135/TCP | Mapping degli Endpoint RPC |
| 1024-65535/TCP | 1024-65535/TCP | RPC per LSA, SAM, Netlogon (*) |
| 1024-65535/TCP/UDP | TCP/389/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP SSL GC |
| 53,1024-65535/TCP/UDP | TCP/53/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | RPC DEL SERVIZIO REPLICA FILE (*) |
Le porte NETBIOS elencati per Windows NT sono necessarie per Windows 2000 e Windows Server 2003 anche quando vengono configurati i trust per domini che supportano solo la comunicazione basata su NETBIOS. Esempi sono sistemi operativi basati su Windows NT o controller di dominio di terze parti basati su Samba.
(*) Per informazioni su come definire porte RPC server utilizzate dai servizi RPC LSA, vedere i seguenti articoli della Microsoft Knowledge Base:
Windows Server 2008 e Windows Server 2008 R2
Click here to show/hide solution
Windows Server 2008 e Windows Server 2008 R2 hanno aumentato l'intervallo di porte dinamiche client per connessioni in uscita. La nuova porta di avvio predefinita è 49152 e la porta di fine predefinita è 65535. Pertanto, è necessario aumentare l'intervallo di porte RPC nei firewall. Questa modifica è stata effettuata per conformarsi alle raccomandazioni Internet assegnati numeri Authority (IANA). Questo è diverso da un dominio in modalità mista costituito da controller di dominio Windows Server 2003, i controller di dominio basato su Windows 2000 Server o client legacy, in cui l'intervallo di porte dinamiche predefinito è 1025 a 5000.
Per ulteriori informazioni sulla modifica intervallo porta dinamica in Windows Server 2008 e Windows Server 2008 R2, vedere le seguenti risorse:
Riduci questa tabellaEspandi questa tabella
| Porte client | Porta del server | Servizio |
|---|
| 49152 -65535/UDP | 123/UDP | W32Time |
| 49152 -65535/TCP | 135/TCP | Mapping degli Endpoint RPC |
| 49152 -65535/TCP | TCP/464/UDP | Modifica password Kerberos |
| 49152 -65535/TCP | DA 49152 A 65535/TCP | RPC per LSA, SAM, Netlogon (*) |
| 49152 -65535/TCP/UDP | TCP/389/UDP | LDAP |
| 49152 -65535/TCP | 636/TCP | LDAP SSL |
| 49152 -65535/TCP | 3268/TCP | LDAP GC |
| 49152 -65535/TCP | 3269/TCP | LDAP SSL GC |
| 53, 49152 -65535/TCP/UDP | TCP/53/UDP | DNS |
| 49152 -65535/TCP | 49152 -65535/TCP | RPC DEL SERVIZIO REPLICA FILE (*) |
| 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152 -65535/TCP/UDP | 445/TCP | SMB |
| 49152 -65535/TCP | DA 49152 A 65535/TCP | RPC DFSR (*) |
Le porte NETBIOS elencati per Windows NT sono necessarie per Windows 2000 e 2003 Server anche quando vengono configurati i trust per domini che supportano solo la comunicazione basata su NETBIOS. Esempi sono sistemi operativi basati su Windows NT o controller di dominio di terze parti basati su Samba.
(*) Per informazioni su come definire porte RPC server utilizzate dai servizi RPC LSA, vedere i seguenti articoli della Microsoft Knowledge Base:
Riduci l'immagineEspandi l'immagine
Trust esterno 123/UDP è necessaria solo se è stato configurato manualmente il servizio ora di Windows per la sincronizzazione con un server attraverso il trust esterno.
Active Directory
Click here to show/hide solution
In Windows 2000 e Windows XP, il messaggio di protocollo ICMP (Internet Control) necessario consentire attraverso il firewall dai client ai controller di dominio in modo che il client di criteri di gruppo di Active Directory può funzionare correttamente attraverso un firewall. ICMP viene utilizzato per determinare se il collegamento è un collegamento lento o veloce.
In Windows Server 2008 e versioni successive, Network Location Awareness Service fornisce la stima della larghezza di banda in base al traffico con altre stazioni della rete. Non vi è alcun traffico generato per la stima.
Il Redirector di Windows utilizza anche ICMP per verificare che un indirizzo IP server viene risolto dal servizio DNS prima che venga effettuata una connessione e quando è presente un server utilizzando DFS. Questo vale per l'accesso SYSVOL dai membri del dominio.
Se si desidera ridurre al minimo il traffico ICMP, è possibile utilizzare la seguente
esempio di regola firewall:
<any> ICMP -> DC IP addr = allow
A differenza di livello del protocollo TCP e il protocollo UDP
livello di protocollo ICMP non dispone di un numero di porta. Poiché è ICMP
ospitato direttamente dal livello IP.
Per impostazione predefinita, Windows Server 2003 e Windows 2000 Server DNS utilizzano porte lato client transitorie quando questi altri server DNS una query. Tuttavia, questo comportamento può essere modificato dall'impostazione del Registro di sistema. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base
260186: Chiave di registro DNS SendPort non funziona come previsto
(http://support.microsoft.com/kb/260186)
Per ulteriori informazioni sulla configurazione di firewall e di Active Directory, vedere la
Active Directory in reti segmentate tramite firewall
(http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en)
White paper di Microsoft.In alternativa, è possibile stabilire un trust attraverso il tunnel obbligatori Point to Point Tunneling Protocol (PPTP). Questo limita il numero di porte con firewall da aprire. Per PPTP, è necessario attivare le seguenti porte.
Riduci questa tabellaEspandi questa tabella
| Porte client | Porta del server | Protocollo |
|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
Inoltre, è necessario attivare il protocollo IP 47
(GRE).
Riduci l'immagineEspandi l'immagine
Quando si aggiungono le autorizzazioni per una risorsa in un dominio trusting per gli utenti in un dominio trusted, esistono alcune differenze tra comportamento Windows NT 4.0 e Windows 2000. Se il computer non è possibile visualizzare un elenco di utenti del dominio remoto, si consideri il seguente comportamento:
- Windows NT 4.0 tenta di risolvere nomi digitati manualmente da
contattare il PDC per il dominio dell'utente remoto (UDP 138). Se tale
Errore di comunicazione, un computer basato su Windows NT 4.0 contatta il proprio PDC e
quindi viene chiesto di risoluzione dei nomi.
- Windows 2000 e Windows Server 2003 sono inoltre provare a contattare il PDC dell'utente remoto per la risoluzione tramite UDP 138. Tuttavia, non si basano sull'utilizzo del proprio PDC. Assicurarsi che tutti i membri basati su Windows 2000 Server e server membro basato su Windows Server 2003 che concedono l'accesso alle risorse sia connettività UDP 138 al PDC remoto.
Identificativo articolo: 179442 - Ultima modifica: venerdì 10 agosto 2012 - Revisione: 4.0
Le informazioni in questo articolo si applicano a:
- Windows Server 2008 Datacenter
- Windows Server 2008 Enterprise
- Windows Server 2008 Standard
- Windows Server 2008 R2 Datacenter
- Windows Server 2008 R2 Enterprise
- Windows Server 2008 R2 Standard
- Microsoft Windows Server 2003, Standard Edition (32-bit x86)
- Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
- Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Professional Edition
- Microsoft Windows NT Server 4.0 Standard Edition
- Windows Server 2008 Datacenter without Hyper-V
- Windows Server 2008 Enterprise without Hyper-V
- Windows Server 2008 for Itanium-Based Systems
- Windows Server 2008 Foundation
- Windows Web Server 2008 R2
| kbenv kbhowto kbnetwork kbmt KB179442 KbMtit |
Traduzione automatica articoliIl presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo:
179442
(http://support.microsoft.com/kb/179442/en-us/
)
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Torna all'inizio
