Konfigurieren eine Firewall für Active Directory-Domänen und Vertrauensstellungen

Gilt für: Windows Server 2008 StandardWindows Server 2008 R2 StandardMicrosoft Windows Server 2003 Standard Edition (32-bit x86)

Zusammenfassung


Dieser Artikel beschreibt das Konfigurieren einer Firewall für Active Directory-Domänen und Vertrauensstellungen.

 

Weitere Informationen


Client-Anschlüsse Server-Port Dienst
1024-65535/TCP 135/TCP RPC Endpoint Mapper
1024-65535/TCP 1024-65535/TCP RPC für LSA, SAM, Netlogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP-GC
1024-65535/TCP 3269/TCP LDAP-GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS RPC (*)
Die NetBIOS-Ports, die für Windows NT aufgeführt sind, sind auch für Windows 2000 und Windows Server 2003 erforderlich, wenn Vertrauensstellungen zu Domänen konfiguriert werden, die nur NETBIOS-basierte Kommunikation unterstützen. Beispiele sind Windows NT-basierte Betriebssysteme oder Drittanbieter-Domänencontroller, die auf Samba basieren.(*) Informationen zur Definition von RPC-Serverports, die von den LSA RPC-Diensten verwendet werden, finden Sie in folgenden Artikeln der Microsoft Knowledge Base: 

Windows Server 2008 oder höher

Neuere Versionen von Windows Server Windows Server 2008 haben den dynamische Portbereich für ausgehende erhöht. Der neue Standard ist 49152 und End-Standardanschluss ist 65535. Daher müssen Sie den RPC-Portbereich in Ihren Firewalls erhöhen. Diese Änderung wurde vorgenommen, Empfehlung (IANA = Internet Assigned Numbers Authority) entsprechen. Dies unterscheidet sich von einer gemischten Domäne, bei der Windows Server 2003-Domänencontroller, Windows 2000 Server-Domänencontroller oder ältere Clients, wo der dynamische Port 1025 bis 5000 ist.Weitere Informationen zu dynamischen Bereich Änderung in Windows Server 2008, Windows Server 2012 und Windows Server 2012 R2 finden Sie in folgenden Ressourcen:
Client-Anschlüsse Server-Port Dienst
49152-65535/UDP 123/UDP W32Time
49152-65535/TCP 135/TCP RPC Endpoint Mapper
49152-65535/TCP 464/TCP/UDP Kerberos-Kennwort ändern
49152-65535/TCP 49152-65535/TCP RPC für LSA, SAM, Netlogon (*)
49152-65535/TCP/UDP 389/TCP/UDP LDAP
49152-65535/TCP 636/TCP LDAP SSL
49152-65535/TCP 3268/TCP LDAP-GC
49152-65535/TCP 3269/TCP LDAP-GC SSL
53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
49152-65535/TCP 49152-65535/TCP FRS RPC (*)
49152-65535/TCP/UDP 88/TCP/UDP Kerberos
49152-65535/TCP/UDP 445/TCP SMB (*)
49152-65535/TCP 49152-65535/TCP DFSR RPC (*)
NetBIOS-Ports für Windows NT aufgeführt sind auch für Windows 2000 und 2003 Server erforderlich, wenn Vertrauensstellungen zu Domänen konfiguriert werden, die nur NETBIOS-basierte Kommunikation. Beispiele sind Windows NT-basierte Betriebssysteme oder Drittanbieter-Domänencontroller, die auf Samba basieren.(*) Informationen zur Definition von RPC-Serverports, die von den LSA RPC-Diensten verwendet werden, finden Sie in folgenden Artikeln der Microsoft Knowledge Base:(**) Für den Vorgang der Vertrauensstellung dieser Port ist nicht erforderlich, für Trust-Erstellung verwendet wird.

Active Directory

In Windows 2000 und Windows XP das Internet Control Message Protocol (ICMP) durch die Firewall von Clients zu den Domänencontrollern darf, Active Directory Group Policy-Client durch eine Firewall ordnungsgemäß funktionieren kann. ICMP wird bestimmt, ob die Verbindung eine langsame oder schnelle Verbindung.In Windows Server 2008 oder höher stellt Network Location Awareness Service die Bandbreitenschätzung basierend auf dem Netzwerkverkehr mit anderen Stationen im Netzwerk bereit. Es wird kein Datenverkehr für die Vorkalkulation.

Windows-Redirector verwendet ICMP-Ping-Nachrichten auch überprüfen, ob eine Server-IP-von der DNS-Dienst aufgelöst wird, bevor eine Verbindung hergestellt wird und ein Server mit Hilfe von DFS befindet.

Wenn Sie ICMP-Verkehr minimieren möchten, können Sie die folgenden Beispiel Firewall-Regel:
<any> ICMP -> DC IP addr = allow 
Im Gegensatz zur TCP- und UDP-Protokollschicht hat ICMP keine Port-Nummer. Dies ist da ICMP direkt von der IP-Schicht gehostet wird.Die DNS-Server von Windows Server 2003 und Windows 2000 Server verwenden standardmäßig kurzlebige clientseitige Ports, wenn sie andere DNS-Servern abfragen. Dieses Verhalten kann jedoch durch einen bestimmten Registrierungseintrag geändert werden. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 260186: SendPort DNS Registrierungsschlüssel funktioniert nicht wie erwartetWeitere Informationen zu Active Directory und Firewallkonfiguration finden Sie im Microsoft-Whitepaper von Active Directory in Networks Segmented by Firewalls .
Oder Sie können eine Vertrauensstellung über Point Tunneling-Protokoll (PPTP) erzwungener Tunnel. Dies begrenzt die Anzahl der Ports die Firewall geöffnet ist. Für PPTP müssen folgende Ports geöffnet sein.
Client-Ports Server-Port Protokoll
1024-65535/TCP 1723/TCP PPTP

Darüber hinaus müssten Sie das IP PROTOCOL 47 (GRE) aktivieren.

    Verweis


    832017: service-Überblick und Port Anforderungen für Windows Server System ist eine wertvolle Ressource erforderlichen Netzwerk-Ports, Protokolle und Dienste, die von Microsoft Client- und Server-Betriebssystemen, serverbasierten Gliederung Programme und deren Unterkomponenten im Microsoft Windows Server System. Administratoren und Supportmitarbeiter können Microsoft Knowledge Base-Artikel als Leitfaden, welche Ports und Protokolle Microsoft Betriebssysteme und Programme für die Netzwerkkonnektivität in einem segmentierten Netzwerk benötigen.Sie sollten nicht die Portinformationen in KB-Artikel 832017 verwenden, Windows-Firewall zu konfigurieren. Informationen zum Konfigurieren der Windows-Firewall finden Sie auf folgenden Microsoft-Website:

    Netzwerke und Zugriff auf Technologie: Windows-Firewall