Comment faire pour configurer un pare-feu pour les domaines et approbations Active Directory

S’applique à : Windows Server 2008 StandardWindows Server 2008 R2 StandardMicrosoft Windows Server 2003 Standard Edition (32-bit x86) Plus

Résumé


Cet article décrit comment faire pour configurer un pare-feu pour les domaines et approbations Active Directory.

 

Informations supplémentaires


Ports du client Port du serveur Service
1024-65535/TCP 135/TCP Mappeur de point final RPC
1024-65535/TCP 1024-65535/TCP RPC de LSA, SAM, Netlogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SUR SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SUR SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP  Kerberos
1024-65535/TCP 445/TCP  SMB
1024-65535/TCP 1024-65535/TCP FRS RPC
Les ports NETBIOS comme indiqué pour Windows NT sont également requis pour Windows 2000 et Windows Server 2003 lorsque les approbations de domaines sont configurées prenant en charge uniquement les communications basés sur NETBIOS. Systèmes d’exploitation basés sur Windows NT ou des contrôleurs de domaine de tiers basés sur Samba sont des exemples.(*) Pour plus d’informations sur la façon de définir les ports de serveur RPC utilisés par les services LSA RPC, consultez les articles suivants de la Base de connaissances Microsoft : 

Windows Server 2008 et versions ultérieures

La plage de ports client dynamiques pour les connexions sortantes ont augmenté de versions plus récentes de Windows Server 2008 de Windows Server. Le nouveau port de démarrage par défaut est 49152 et le port de fin par défaut est 65535. Par conséquent, vous devez augmenter la plage de ports RPC dans vos pare-feu. Cette modification a été apportée pour se conformer aux recommandations de l’Internet autorité IANA (Assigned Numbers). Ceci diffère d’un domaine en mode mixte qui se compose de contrôleurs de domaine Windows Server 2003, les contrôleurs de domaine Windows 2000 Server ou des clients hérités, où la plage de ports dynamiques par défaut est 1025 à 5000.Pour plus d’informations sur la modification de plage de ports dynamiques dans Windows Server 2008, Windows Server 2012 et Windows Server 2012 R2, voir les ressources suivantes :
Ports du client Port du serveur Service
-49152 65535/UDP 123/UDP W32Time
-49152 65535/TCP 135/TCP Mappeur de point final RPC
-49152 65535/TCP 464/TCP/UDP Modification du mot de passe Kerberos
-49152 65535/TCP 49152-65535/TCP RPC de LSA, SAM, Netlogon (*)
-49152 65535/TCP/UDP 389/TCP/UDP LDAP
-49152 65535/TCP 636/TCP LDAP SUR SSL
-49152 65535/TCP 3268/TCP LDAP GC
-49152 65535/TCP 3269/TCP LDAP GC SUR SSL
53, -49152 65535/TCP/UDP 53/TCP/UDP DNS
-49152 65535/TCP -49152 65535/TCP FRS RPC
-49152 65535/TCP/UDP 88/TCP/UDP  Kerberos
-49152 65535/TCP/UDP 445/TCP SMB (*)
-49152 65535/TCP 49152-65535/TCP RPC DE DFSR (*)
Les ports NETBIOS comme indiqué pour Windows NT sont également requis pour Windows 2000 et Server 2003 lorsque les approbations de domaines sont configurées prenant en charge uniquement les communications basés sur NETBIOS. Systèmes d’exploitation basés sur Windows NT ou des contrôleurs de domaine de tiers basés sur Samba sont des exemples.(*) Pour plus d’informations sur la façon de définir les ports de serveur RPC utilisés par les services LSA RPC, consultez les articles suivants de la Base de connaissances Microsoft :(**) Pour l’opération de l’approbation de ce port n’est pas nécessaire, il est utilisé pour la création de confiance uniquement.

Active Directory

Dans Windows 2000 et Windows XP, le contrôle Message ICMP (Internet Protocol) doit être autorisé à travers le pare-feu à partir des clients vers les contrôleurs de domaine afin que le client de la stratégie de groupe Active Directory ne peut fonctionner correctement à travers un pare-feu. ICMP est utilisé pour déterminer si le lien est une liaison lente ou rapide.Dans Windows Server 2008 et les versions ultérieures, le Service de prise de conscience d’emplacement réseau fournit l’estimation de la bande passante basée sur le trafic avec d’autres stations sur le réseau. Aucun trafic n’est généré pour l’estimation.

Le redirecteur Windows utilise également des messages ICMP Ping pour vérifier qu’une adresse IP du serveur est résolue par le service DNS avant qu’une connexion est effectuée, et lorsqu’un serveur est situé à l’aide de DFS.

Si vous souhaitez réduire le trafic ICMP, vous pouvez utiliser l’exemple de règle de pare-feu suivants :
<any> ICMP -> DC IP addr = allow 
Contrairement à la couche de protocole TCP et la couche de protocole UDP, ICMP n’a pas un numéro de port. C’est parce qu’ICMP est hébergé directement par la couche IP.Par défaut, les serveurs DNS de Windows 2000 Server et de Windows Server 2003 utilisent des ports éphémères côté client lorsqu’ils interrogent d’autres serveurs DNS. Toutefois, ce comportement peut être modifié par un paramètre de Registre spécifique. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 260186 : clé de Registre DNS SendPort ne fonctionne pas comme prévuPour plus d’informations sur Active Directory et la configuration du pare-feu, consultez le livre blanc Microsoft Active Directory sur les réseaux segmentés par des pare-feu .
Ou bien, vous pouvez établir une approbation par le biais du tunnel obligatoire point to Point Tunneling Protocol (PPTP). Cela limite le nombre de ports que le pare-feu doit ouvrir. Pour le protocole PPTP, les ports suivants doivent être activés.
Ports du client Port du serveur Protocole
1024-65535/TCP 1723/TCP PPTP

En outre, vous devrez activer le port de protocole IP 47 (GRE).

    Référence


    832017 : vue d’ensemble des services et réseau de configuration des ports pour le système Windows Server est une ressource précieuse en mode plan les ports réseau requis, les protocoles et les services qui sont utilisés par les systèmes d’exploitation de client et serveur Microsoft, basé sur serveur les programmes et leurs sous-composants dans le système Microsoft Windows Server. Les administrateurs et les techniciens du support technique peuvent utiliser cet article de la Base de connaissances Microsoft sous la forme d’une feuille de route pour déterminer les ports et les protocoles des systèmes d’exploitation Microsoft et les programmes nécessitent des connexions réseau dans un réseau segmenté.Vous ne devez pas utiliser les informations de port dans l’article 832017 de la base de connaissances pour configurer le pare-feu Windows. Pour plus d’informations sur la façon de configurer le pare-feu Windows, consultez le site Web Microsoft suivant :

    Mise en réseau et de Technologies d’accès aux : pare-feu Windows