Как настроить брандмауэр для управления доменами Active Directory и отношениями доверия
В этой статье описывается настройка брандмауэра для управления доменами Active Directory и отношениями доверия.
Применимо к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Оригинальный номер базы знаний: 179442
Примечание.
Не все порты, перечисленные в таблицах, требуются во всех сценариях. Например, если брандмауэр разделяет членов и контроллеры домена, открывать порты FRS или DFSR не нужно. Кроме того, если известно, что ни один клиент не использует протокол LDAP с SSL/TLS, открывать порты 636 и 3269 не нужно.
Дополнительная информация
Примечание.
Оба контроллера домена находятся в одном лесу, или два контроллера домена находятся в отдельном лесу. Кроме того, отношениями доверия в лесах являются отношения доверия Windows Server 2003 или более поздней версии.
| Порты клиента | Порт сервера | Служба |
|---|---|---|
| 1024-65535/TCP | 135/TCP | Сопоставитель конечных точек RPC |
| 1024-65535/TCP | 1024-65535/TCP | RPC для LSA, SAM, сетевого входа в систему (*) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos; |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
Порты NetBIOS, перечисленные для Windows NT, также требуются для Windows 2000 и Windows Server 2003, если настроены отношения доверия с доменами, поддерживающими только связь на основе NetBIOS. Примерами являются операционные системы на основе Windows NT или сторонние контроллеры домена на основе Samba.
Дополнительные сведения о том, как определить порты сервера RPC, используемые службами RPC LSA, см. в следующих статьях:
- Ограничение RPC-трафика Active Directory для конкретного порта.
- Раздел «Контроллеры домена и Active Directory» в статье Обзор служб и требования к сетевым портам для Windows.
Windows Server 2008 и более поздние версии
Windows Server 2008 более поздних версий или Windows Server увеличил диапазон динамических портов клиента для исходящих подключений. Новый начальный порт по умолчанию — 49152, а конечный порт по умолчанию — 65535. Поэтому необходимо увеличить диапазон портов RPC в брандмауэрах. Это изменение было внесено в соответствии с рекомендациями Internet Assigned Numbers Authority (IANA). Это отличается от домена смешанного режима, состоящего из контроллеров домена Windows Server 2003, контроллеров домена на основе сервера Windows 2000 или устаревших клиентов, где диапазон динамических портов по умолчанию — от 1025 до 5000.
Дополнительные сведения о динамическом изменении диапазона портов в Windows Server 2012 и Windows Server 2012 R2 см. в следующих статьях:
- Динамический диапазон портов по умолчанию для TCP/IP изменился.
- Динамические порты в Windows Server.
| Порты клиента | Порт сервера | Служба |
|---|---|---|
| 49152-65535/UDP | 123/UDP | W32Time |
| 49152-65535/TCP | 135/TCP | Сопоставитель конечных точек RPC |
| 49152-65535/TCP | 464/TCP/UDP | Изменение пароля в Kerberos |
| 49152-65535/TCP | 49152-65535/TCP | RPC для LSA, SAM, сетевого входа в систему (*) |
| 49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152-65535/TCP | 636/TCP | LDAP SSL |
| 49152-65535/TCP | 3268/TCP | LDAP GC |
| 49152-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152-65535/TCP | 49152-65535/TCP | FRS RPC (*) |
| 49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos; |
| 49152-65535/TCP/UDP | 445/TCP | SMB (**) |
| 49152-65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
Порты NetBIOS, перечисленные для Windows NT, также необходимы для Windows 2000 и Server 2003, если настроены отношения доверия с доменами, поддерживающими только связь на основе NetBIOS. Примерами являются операционные системы на основе Windows NT или сторонние контроллеры домена на основе Samba.
(*) Сведения о том, как определить порты сервера RPC, используемые службами LSA RPC, см. в следующих статьях:
- Ограничение RPC-трафика Active Directory для конкретного порта.
- Раздел «Контроллеры домена и Active Directory» в статье Обзор служб и требования к сетевым портам для Windows.
(**) Для установления отношения доверия этот порт не требуется, он используется только для создания доверия.
Примечание.
Внешнее доверие 123/UDP требуется только в том случае, если вы вручную выполняете настройку службы времени Windows для синхронизации с сервером по внешнему доверию.
Active Directory
Клиент Microsoft LDAP использует проверку связи по протоколу ICMP, когда запрос LDAP ожидается в течение продолжительного времени и ожидает ответа. Он отправляет запросы проверки связи, чтобы убедиться, что сервер по-прежнему находится в сети. Если он не получает ответы проверки связи, запрос LDAP завершается сбоем с LDAP_TIMEOUT.
Перенаправитель Windows также использует сообщения проверки связи по протоколу ICMP для определения того, разрешен ли IP-адрес сервера службой DNS перед установлением подключения и когда сервер размещается с помощью DFS. Чтобы свести к минимуму трафик ICMP, можно использовать следующий пример правила брандмауэра:
<любой> ICMP —> надстройка IP-адреса контроллера домена = allow
В отличие от уровня протокола TCP и протокола UDP, ICMP не имеет номера порта. Это связано с тем, что ICMP напрямую размещается на уровне IP-адресов.
По умолчанию DNS-серверы Windows Server 2003 и Windows 2000 Server используют временные клиентские порты при запросе других DNS-серверов. Однако это поведение может быть изменено определенным параметром реестра. Вы также можете установить доверие через обязательный туннельный протокол точка-точка (PPTP). Это ограничивает количество портов, которые должен открыть брандмауэр. Для PPTP необходимо включить следующие порты.
| Порты клиента | Порт сервера | Протокол |
|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
Кроме того, необходимо включить ПРОТОКОЛ IP 47 (GRE).
Примечание.
При добавлении разрешений к ресурсу в доверяющем домене для пользователей в доверенном домене наблюдаются некоторые различия в поведении Windows 2000 и Windows NT 4.0. Если компьютер не может отобразить список пользователей удаленного домена, рассмотрите следующие действия:
- Windows NT 4.0 пытается разрешить вручную введенные имена, связавшись с PDC для домена удаленного пользователя (UDP 138). В случае сбоя связи компьютер под управлением Windows NT 4.0 обращается к собственному PDC, а затем запрашивает разрешение имени.
- Windows 2000 и Windows Server 2003 также пытаются связаться с PDC удаленного пользователя для разрешения имен через UDP 138. Однако они не используют собственный PDC. Убедитесь, что все серверы-члены Windows 2000 и серверы-члены Windows Server 2003, которые будут предоставлять доступ к ресурсам, имеют подключение UDP 138 к удаленному PDC.
Справочные материалы
Статья Обзор служб и требования к сетевым портам для Windows представляет собой ценный ресурс, который содержит сведения о необходимых сетевых портах, протоколах и службах, которые используются клиентскими и серверными операционными системами Майкрософт, серверными программами и их субкомпонентами в системе Microsoft Windows Server. Представленные в этой статье сведения предназначены для помощи администраторам и специалистам службы поддержки при определении портов и протоколов, необходимых операционным системам и программам Майкрософт для сетевого подключения в сегментированной сети.
Не следует использовать сведения о портах, представленные в статье Обзор служб и требования к сетевым портам для Windows, для настройки брандмауэра Windows. Сведения о настройке брандмауэра Windows см. в разделе Брандмауэр Windows в режиме повышенной безопасности.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе: https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по