Como configurar um firewall para domínios e relações de confiança

Este artigo descreve como configurar um firewall para domínios e relações de confiança.

Observe que nem todos da porta listada nas tabelas a seguir são necessárias em todos os cenários. Por exemplo, se o firewall separa membros e controladores de domínio, não precisa abrir as portas de FRS e/ou DFSR. Também se você souber que nenhum cliente usa o LDAP com SSL/TLS, não precisa abrir portas 636 e 3269.

Para estabelecer uma relação de confiança de domínio ou um canal de segurança através de um firewall, as seguintes portas devem ser abertas. Lembre-se de que talvez haja hosts funcionando com as funções de cliente e servidor em ambos os lados do firewall. Portanto, podem ter regras de portas a serem espelhados.

Windows NT

Nesse ambiente, um lado da relação de confiança é um 4.0 Windows NT confiança ou a relação de confiança foi criada usando os nomes NetBIOS.

Windows Server 2003 e Windows 2000 Server

Para um domínio de modo misto que usa controladores de domínio Windows NT ou herdado clientes, relações de confiança entre Domínio do Windows Server 2003 com controladores e domínio baseado no Windows 2000 Server controladores pode exigir que todas as portas listadas na tabela anterior para Windows NT ser aberto com as seguintes portas.

Observação Os dois controladores de domínio estão ambos na mesma floresta ou dois controladores de domínio estão em uma floresta separada. Além disso, são as relações de confiança da floresta Relações de confiança do Windows Server 2003 ou posteriores versão confianças.(*) Para definir portas do servidor RPC que são usadas por serviços LSA RPC, consulte o artigo 224196 ou a seção "controladores de domínio e Active Directory" no seguinte artigo da Base de dados de Conhecimento da Microsoft:

Windows Server 2008/Windows Server 2008 R2

Em um domínio de modo misto que consiste em controladores de domínio do Windows Server 2003, os controladores de domínio baseados no Windows 2000 Server ou clientes herdados, o intervalo de porta dinâmica padrão é de 1025 a 5000. Windows Server 2008 e Windows Server 2008 R2, em conformidade com as recomendações da Internet Assigned Numbers Authority (IANA), aumentou o intervalo de portas do cliente dinâmicas para conexões de saída. A nova porta inicial padrão é 49152 e a porta de extremidade padrão é 65535. Portanto, você deve aumentar o intervalo de porta RPC em seus firewalls.Para obter mais informações sobre a alteração no intervalo de porta dinâmico no Windows Server 2008, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:Para obter mais informações sobre essa alteração, visite o blog da equipe de serviços de diretório Ask e leia o seguinte artigo:

Portas do cliente dinâmicas no Windows Server 2008 e Windows Vista (http://blogs.technet.com/askds/archive/2007/08/24/dynamic-client-ports-in-windows-server-2008-and-windows-vista-or-how-i-learned-to-stop-worrying-and-love-the-iana.aspx)

(*) Para definir portas do servidor RPC que são usadas por serviços LSA RPC, consulte o artigo 224196 ou a seção "controladores de domínio e Active Directory" no seguinte artigo da Base de dados de Conhecimento da Microsoft:

832017  (http://support.microsoft.com/kb/832017/ ) Visão geral do serviço e requisitos de porta para o sistema Windows Server de rede

Observação: Relação de confiança externa 123/UDP só é necessária se você tiver configurado manualmente o serviço de tempo do Windows para sincronizar com um servidor através de uma relação de confiança externa.

Active Directory

No Windows 2000 e XP, para o cliente de diretiva de grupo do Active Directory para funcionar corretamente através de um firewall, o protocolo ICMP Internet Control Message Protocol () deve ser permitido através do firewall de clientes para controladores de domínio. ICMP é usado para determinar se o link é um link lento ou rápido.

No Windows Server 2008 e versões mais recentes, Network Location Awareness Service fornece a estimativa de largura de banda com base no tráfego com outras estações na rede. Não há nenhum tráfego gerado para a estimativa.

O redirecionador do Windows também usa ICMP para verificar que o IP do servidor é resolvido pelo serviço DNS antes de uma conexão é feita e quando um servidor está usando o DFS. Isso se aplica ao acesso SYSVOL por membros do domínio.


Se você desejar minimizar o tráfego ICMP, você pode usar o seguinte exemplo de regra de firewall:
Ao contrário da camada de protocolo TCP e o UDP camada de protocolo ICMP não possui um número de porta. Isso ocorre porque é ICMP diretamente hospedado pela camada IP.

Por padrão, o Windows Server 2003 e Windows 2000 Servidores DNS do servidor usam portas efêmeras do lado do cliente ao consultar outros DNS servidores. No entanto, esse comportamento pode ser modificado com um registro específico configuração que é descrita no seguinte artigo na Microsoft Knowledge Base:
Para obter mais informações sobre o Active Directory e configuração de firewall, consulte "Active Directory em redes Segmented por Firewalls"Microsoft White Paper. Para fazer isso, visite o seguinte site: Como alternativa, você pode estabelecer uma relação de confiança através de Encapsulamento compulsório do Point Tunneling Protocol (PPTP) e isso limitará número de portas que o firewall precisará abrir. PPTP, o portas a seguir deve ser habilitada. Além disso, você teria que ativar IP PROTOCOL 47 (GRE).

Observação Ao adicionar permissões a um recurso em um domínio confiante para os usuários em um domínio confiável, existem algumas diferenças entre o Windows 2000 e o comportamento de Windows NT 4.0. Se o computador cannotdisplay uma lista de controle remoto usuários do domínio:

• Windows NT 4.0 tenta resolver os nomes digitados manualmente por contatar o PDC para o domínio do usuário remoto (UDP 138). Se esse Falha de comunicação, um computador com o Windows NT 4.0 contata o próprio PDC e pede uma resolução de nome.
• Windows 2000 e Windows Server 2003 também tentarem entrar em contato com PDC do usuário remoto para resolução sobre UDP 138, mas eles não dependem de usando o próprio PDC. Certifique-se de que todos os servidores membro baseados no Windows 2000 e Windows servidores membro baseados no Server 2003 que estarão concedendo acesso a recursos tenham conectividade UDP 138 ao PDC remoto.