Konfigurieren einer Firewall für Active Directory-Domänen und-Vertrauensstellungen

Gilt für: Windows Server 2008 StandardWindows Server 2008 R2 StandardMicrosoft Windows Server 2003 Standard Edition (32-bit x86)

Zusammenfassung


In diesem Artikel wird beschrieben, wie Sie eine Firewall für Active Directory-Domänen und-Vertrauensstellungen konfigurieren. 

 

Weitere Informationen


Client-Port (s) Serverport Dienst
1024-65535/TCP 135/TCP RPC-Endpunktzuordnung
1024-65535/TCP 1024-65535/TCP RPC für LSA, Sam, Netlogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP-GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS-RPC (*)
NetBIOS-Ports, wie Sie für Windows NT aufgelistet sind, sind auch für Windows 2000 und Windows Server 2003 erforderlich, wenn Vertrauensstellungen zu Domänen konfiguriert sind, die nur NetBIOS-basierte Kommunikation unterstützen. Beispiele sind Windows NT-basierte Betriebssysteme oder Domänencontroller von Drittanbietern, die auf Samba basieren.(*) Informationen zum Definieren von RPC-Serverports, die von den LSA-RPC-Diensten verwendet werden, finden Sie in den folgenden Microsoft Knowledge Base-Artikeln: 

Windows Server 2008 und höhere Versionen

Windows Server 2008 neuere Versionen von Windows Server haben den dynamischen Client-Portbereich für ausgehende Verbindungen erhöht. Der neue standardmäßige startport ist 49152, und der standardmäßige Endport ist 65535. Aus diesem Grund müssen Sie den RPC-Portbereich in Ihren Firewalls erhöhen. Diese Änderung wurde vorgenommen, um die IANA-Empfehlungen (Internet Assigned Numbers Authority) zu erfüllen. Dies unterscheidet sich von einer Domäne im gemischten Modus, die aus Windows Server 2003-Domänencontrollern, Windows 2000-Server basierten Domänencontrollern oder Legacyclients besteht, wobei der standardmäßige dynamische Portbereich 1025 bis 5000 ist.Weitere Informationen zur Änderung des dynamischen Portbereichs in Windows Server 2008, Windows Server 2012 und Windows Server 2012 R2 finden Sie in den folgenden Ressourcen: 
Client-Port (s) Serverport Dienst
49152-65535/UDP 123/UDP W32Time
49152-65535/TCP 135/TCP RPC-Endpunktzuordnung
49152-65535/TCP 464/TCP/UDP Kerberos-Kennwortänderung
49152-65535/TCP 49152-65535/TCP RPC für LSA, Sam, Netlogon (*)
49152-65535/TCP/UDP 389/TCP/UDP LDAP
49152-65535/TCP 636/TCP LDAP SSL
49152-65535/TCP 3268/TCP LDAP-GC
49152-65535/TCP 3269/TCP LDAP GC SSL
53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
49152-65535/TCP 49152-65535/TCP FRS-RPC (*)
49152-65535/TCP/UDP 88/TCP/UDP Kerberos
49152-65535/TCP/UDP 445/TCP SMB (* *)
49152-65535/TCP 49152-65535/TCP DFSR-RPC (*)
NetBIOS-Ports, wie Sie für Windows NT aufgelistet sind, sind auch für Windows 2000 und Server 2003 erforderlich, wenn Vertrauensstellungen zu Domänen konfiguriert sind, die nur NetBIOS-basierte Kommunikation unterstützen. Beispiele sind Windows NT-basierte Betriebssysteme oder Domänencontroller von Drittanbietern, die auf Samba basieren.(*) Informationen zum Definieren von RPC-Serverports, die von den LSA-RPC-Diensten verwendet werden, finden Sie in den folgenden Microsoft Knowledge Base-Artikeln:(**) Für den Betrieb des Trusts ist dieser Port nicht erforderlich, er wird nur für die Erstellung von Vertrauensstellungen verwendet. 

Active Directory

In Windows 2000 und Windows XP muss das Internet Control Message Protocol (ICMP) über die Firewall von den Clients zu den Domänencontrollern zugelassen werden, damit der Active Directory-Gruppenrichtlinienclient ordnungsgemäß über eine Firewall funktionieren kann. ICMP wird verwendet, um zu ermitteln, ob es sich bei dem Link um einen langsamen Link oder um einen schnellen Link handelt.In Windows Server 2008 und höheren Versionen bietet der Netzwerkstandort Sensibilisierungs Dienst die geschätzte Bandbreite basierend auf dem Datenverkehr mit anderen Stationen im Netzwerk. Für die Schätzung wird kein Datenverkehr generiert.

Der Windows-Redirector verwendet auch ICMP-Ping-Nachrichten, um zu überprüfen, ob eine Server-IP durch den DNS-Dienst aufgelöst wird, bevor eine Verbindung hergestellt wird, und wenn ein Server mithilfe von DFS gefunden wird.

Wenn Sie den ICMP-Datenverkehr minimieren möchten, können Sie die folgende Beispiel Firewall-Regel verwenden:
<any> ICMP -> DC IP addr = allow 
Im Gegensatz zur TCP-Protokollschicht und zur UDP-Protokollschicht hat ICMP keine Portnummer. Dies liegt daran, dass ICMP direkt von der IP-Schicht gehostet wird.Standardmäßig verwenden Windows Server 2003-und Windows 2000 Server-DNS-Server ephemere clientseitige Ports, wenn Sie andere DNS-Server Abfragen. Dieses Verhalten kann jedoch durch eine bestimmte Registrierungseinstellung geändert werden. Weitere Informationen finden Sie im Microsoft Knowledge Base -Artikel 260186: Sendeport-DNS-Registrierungsschlüssel funktioniert nicht wie erwartet
Oder Sie können eine Vertrauensstellung über den obligatorischen Tunnel für Point-to-Point-Tunneling-Protokoll (PPTP) einrichten. Dadurch wird die Anzahl der Ports begrenzt, die die Firewall öffnen muss. Für PPTP müssen die folgenden Ports aktiviert sein.  
Client Anschlüsse Serverport Protokoll
1024-65535/TCP 1723/TCP PPTP

Darüber hinaus müssen Sie das IP-Protokoll 47 (GRE) aktivieren.

    Verweis


    832017: Dienstübersicht und Netzwerkportanforderungen für das Windows Server-System ist eine wertvolle Ressource, in der die erforderlichen Netzwerkports, Protokolle und Dienste, die von Microsoft-Client-und Server Betriebssystemen, Server basierten Programmen und deren unter Komponenten im Microsoft Windows Server-System verwendet werden, skizziert werden. Administratoren und Supportmitarbeiter können diesen Microsoft Knowledge Base-Artikel als Roadmap verwenden, um zu ermitteln, welche Ports und Protokolle für die Netzwerkkonnektivität in einem segmentierten Netzwerk von Microsoft-Betriebssystemen und-Programmen benötigt werden.Sie sollten die Portinformationen im KB-Artikel 832017 nicht verwenden, um die Windows-Firewall zu konfigurieren. Informationen zum Konfigurieren der Windows-Firewall finden Sie auf der folgenden Microsoft-Website: 

    Netzwerk-und Zugriffstechnologien: Windows-Firewall