Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Gewusst wie: Konfigurieren einer Firewall für Domänen und-Vertrauensstellungen

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Dieser Artikel wurde zuvor veröffentlicht unter D179442
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 179442
Zusammenfassung
Dieser Artikel beschreibt das Konfigurieren einer Firewall für Domänen und Vertrauensstellungen.

Hinweis: Nicht alle Ports, die in den Tabellen hier aufgeführt sind, sind in allen Szenarios erforderlich. Wenn die Firewall-Member und DCs trennt, müssen Sie z. B. die FRS oder DFSR-Ports zu öffnen. Wenn Sie wissen, dass Clients keine LDAP mit SSL/TLS verwenden, müssen Sie auch, Öffnen von Ports 636 und 3269.
Weitere Informationen
Zum Einrichten einer Domänenvertrauensstellung oder eines sicheren Kanals über eine Firewall hinweg müssen folgende Ports geöffnet werden. Denken Sie daran, dass Hosts mit Client und Server-Rollen auf beiden Seiten der Firewall funktionieren möglicherweise. Aus diesem Grund Regeln für die Ports möglicherweise gespiegelt werden.

Windows NT

In dieser Umgebung eine Seite der Vertrauensstellung ist eine Windows NT 4.0-Vertrauensstellung, oder die Vertrauensstellung wurde mithilfe der NetBIOS-Namen erstellt.
Port(s) ClientsServer-PortService
137-UDP137-UDPNetBIOS-Namen
138/UDP138/UDPNetBIOS Anmelde- und Durchsuchen
1024-65535/TCP139-TCPNetBIOS-Sitzung
1024-65535/TCP42/TCPWINS-Replikation

WindowsServer 2003 und Windows 2000 Server

Für eine Domäne im gemischten Modus, die Windows NT-Domänencontroller oder ältere Clients verwendet, die Vertrauensstellung zwischen zwei Windows Server 2003-basierten Domänencontrollern und Windows 2000 Server-Domäne, die Domänencontroller können verlangen, dass alle Ports für Windows NT, die in der vorherigen Tabelle aufgeführt sind zusätzlich folgende Ports geöffnet werden.

Hinweis Die beiden Domänencontroller sind beide in derselben Gesamtstruktur oder die beiden Domänencontroller sind in einer separaten Gesamtstruktur. Darüber hinaus sind die Vertrauensstellungen in der Gesamtstruktur Vertrauensstellungen zu Windows Server 2003 oder spätere Version Vertrauensstellungen.
Port(s) ClientsServer-PortService
1024-65535/TCP135/TCPRPC-Endpunktzuordnung
1024-65535/TCP1024-65535/TCPRPC für LSA, SAM, Netlogon (*)
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP-SSL
1024-65535/TCP3268/TCPLDAP-GC
1024-65535/TCP3269/TCPLDAP-GC-SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
1024-65535/TCP1024-65535/TCPFRS-RPC (*)
NetBIOS-Ports für Windows NT aufgeführt sind auch für Windows 2000 und Windows Server 2003 erforderlich, wenn Vertrauensstellungen zu Domänen konfiguriert werden, die lediglich die NETBIOS-basierte Kommunikation unterstützen. Beispiele sind Windows NT-basierten Betriebssystemen oder Drittanbieter-Domänencontrollern, die auf Samba basieren.

(*) Informationen zum RPC-Ports des Servers zu definieren, die von den LSA RPC-Diensten verwendet werden, finden Sie unter die folgenden Artikeln der Microsoft Knowledge Base:

WindowsServer 2008 und WindowsServer 2008 R2

Mit Windows Server 2008 und Windows Server 2008 R2 wurde der Bereich der dynamischen Ports für ausgehende Client-Verbindungen erweitert. Der neue Start-Standardanschluss ist 49152 und der End-Standardanschluss ist 65535. Aus diesem Grund müssen Sie den RPC-Portbereich in Ihren Firewalls erhöhen. Diese Änderung wurde vorgenommen, um Empfehlungen (IANA = Internet Assigned Numbers Authority) nachzukommen. Dies unterscheidet sich von einer-Domäne im gemischten Modus, die von Windows Server 2003-Domänencontrollern, Windows 2000 Server-basierten Domänencontrollern oder legacy Clients besteht, in denen der Standardbereich der dynamischen Port 1025 bis 5000 ist.

Weitere Informationen über die Änderung des dynamischen Port-Bereich in Windows Server 2008 und Windows Server 2008 R2 finden Sie unter die folgenden Ressourcen:
Port(s) ClientsServer-PortService
49152-65535/UDP123/UDPW32Time
49152-65535/TCP135/TCPRPC-Endpunktzuordnung
49152-65535/TCP464/TCP/UDPKerberos-Kennwortänderung
49152-65535/TCP49152-65535/TCPRPC für LSA, SAM, Netlogon (*)
49152-65535/TCP/UDP389/TCP/UDPLDAP
49152-65535/TCP636/TCPLDAP-SSL
49152-65535/TCP3268/TCPLDAP-GC
49152-65535/TCP3269/TCPLDAP-GC-SSL
53, 49152-65535/TCP/UDP53/TCP/UDPDNS
49152-65535/TCP49152-65535/TCPFRS-RPC (*)
49152-65535/TCP/UDP88/TCP/UDPKerberos
49152-65535/TCP/UDP445/TCPSMB (*)
49152-65535/TCP49152-65535/TCPDFSR-RPC (*)
NetBIOS-Ports für Windows NT aufgeführt sind auch für Windows 2000 und Server 2003 erforderlich, wenn Vertrauensstellungen zu Domänen konfiguriert werden, die lediglich die NETBIOS-basierte Kommunikation unterstützen. Beispiele sind Windows NT-basierten Betriebssystemen oder Drittanbieter-Domänencontrollern, die auf Samba basieren.

(*) Informationen zum RPC-Ports des Servers zu definieren, die von den LSA RPC-Diensten verwendet werden, finden Sie unter die folgenden Artikeln der Microsoft Knowledge Base: (**) Für den Betrieb der Vertrauensstellung dieser Port ist nicht erforderlich, da es vertrauen nur für die Erstellung verwendet.


Hinweis: Externe Vertrauensstellung 123/UDP ist nur erforderlich, wenn Sie den Windows-Zeitdienst für die Synchronisierung mit einem Server manuell über die externe Vertrauensstellung konfiguriert haben.

Active Directory

In Windows 2000 und Windows XP das Internet Control Message Protocol (ICMP) durch die Firewall von den Clients auf die Domänencontroller darf, damit der Active Directory-Gruppenrichtlinien-Client über eine Firewall ordnungsgemäß funktionieren kann. ICMP wird verwendet, um festzustellen, ob die Verknüpfung eine langsame oder schnelle Verbindung ist.

In Windows Server 2008 oder höher bietet der Network Location Awareness Service die Bandbreite Schätzung basierend auf Datenverkehr mit anderen Stationen im Netzwerk. Es ist kein Datenverkehr für die Vorkalkulation generiert.

Der Windows-Redirector verwendet ICMP auch überprüfen, ob eine Server-IP-Adresse von der DNS-Dienst aufgelöst wird, bevor eine Verbindung hergestellt wird und wenn ein Server mit Hilfe von DFS befindet. Dies gilt für SYSVOL Access von Domänenmitgliedern.

Wenn Sie ICMP-Verkehr minimieren möchten, können Sie Folgendes verwenden. Firewall-Musterregel:
<any> ICMP -> DC IP addr = allow

Im Gegensatz zu den TCP- und UDP -Protokollschicht ICMP haben keine Portnummer ein. Dies ist, da ICMP ist direkt von der IP-Schicht gehostet wird.

Standardmäßig verwenden Windows Server 2003 und Windows 2000 Server-DNS-Server ständig wechselnde clientseitige-Ports, beim Abfragen von anderen DNS-Servers. Dieses Verhalten kann jedoch durch eine bestimmte Registrierungseinstellung geändert werden. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 260186: SendPort DNS Registrierungsschlüssel funktioniert nicht wie erwartet

Weitere Informationen zu Active Directory und Firewall-Konfiguration finden Sie die Active Directory in Netzwerken durch Firewalls segmentiertMicrosoft-Whitepaper.Oder Sie können eine Vertrauensstellung über den erzwungenen Tunnels (PPTP = Point to Point Tunneling Protocol) herstellen. Dies beschränkt die Anzahl der Ports, die die Firewall öffnen. Für PPTP müssen folgende Ports aktiviert werden.
Client-PortsServer-PortProtokoll
1024-65535/TCP1723/TCPPPTP
Darüber hinaus müssten Sie IP-Protokoll 47 aktivieren (GRE).

Hinweis Wenn Sie Berechtigungen auf eine Ressource in einer vertrauenden Domäne für Benutzer in einer vertrauenswürdigen Domäne hinzufügen, gibt es einige Unterschiede zwischen Windows 2000 und Windows NT 4.0-Verhalten. Wenn der Computer eine Liste der Benutzer der Remotedomäne angezeigt werden kann, sollten Sie das folgende Verhalten:
  • Windows NT 4.0 versucht, manuell eingegebene Namen von aufzulösen Verbindung zum PDC des Remotebenutzers Domäne (UDP 138). Wenn das Kommunikation schlägt fehl, ein Windows NT 4.0-basierten Computer kontaktiert den eigenen PDC und dann fragt nach Auflösung des Namens.
  • Windows 2000 und Windows Server 2003 versuchen auch zum PDC des Remotebenutzers zur Auflösung über UDP 138 herzustellen. Allerdings sie nicht auf den eigenen PDC verlassen. Stellen Sie sicher, dass alle Windows 2000-basierten Mitgliedsserver und Windows Server 2003-Mitgliedsserver, die Zugriff auf Ressourcen gewähren, UDP 138-Verbindungen zum remote-PDC haben.
Zusätzliche Ressourcen
TCPIP

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 179442 – Letzte Überarbeitung: 07/12/2013 07:05:00 – Revision: 9.1

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Windows Web Server 2008 R2

  • kbenv kbhowto kbnetwork kbmt KB179442 KbMtde
Feedback