Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

Comment faire pour configurer un pare-feu pour les domaines et approbations

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 179442
Résumé
Cet article explique comment configurer un pare-feu pour les domaines et approbations.

Remarque : Pas tous les ports qui sont répertoriés dans les tableaux ici sont requis dans tous les scénarios. Par exemple, si le pare-feu sépare les membres et contrôleurs de domaine, vous n'êtes pas obligé d'ouvrir les ports FRS ou DFSR. En outre, si vous savez qu'aucun client n'utilise le protocole LDAP avec SSL/TLS, il est inutile d'ouvrir des ports 3 268 et 636.
Plus d'informations
Pour établir une approbation de domaine ou un canal de sécurité à travers un pare-feu, les ports suivants doivent être ouverts. N'oubliez pas qu'il existe peut-être des hôtes qui fonctionnent avec des rôles client et serveur des deux côtés du pare-feu. Par conséquent, les règles de ports peuvent avoir à être mises en miroir.

Windows NT

Dans cet environnement, un côté de l'approbation est une relation d'approbation Windows NT 4.0, ou l'approbation a été créée en utilisant les noms NetBIOS.
Port (s) clientPort du serveurService
137/UDP137/UDPNom NetBIOS
UDP/138UDP/138NetBIOS Netlogon et La navigation
1024-65535/TCPTCP/139Session NetBIOS
1024-65535/TCP42/TCPRéplication WINS

Windows Server 2003 et Windows 2000 Server

Pour un domaine en mode mixte qui utilise des contrôleurs de domaine Windows NT ou des clients hérités, relations d'approbation entre les contrôleurs de domaine Windows Server 2003 et un domaine basé sur Windows 2000 Server contrôleurs peuvent exiger que tous les ports pour Windows NT qui sont répertoriés dans le tableau précédent être ouverts en plus des ports suivants.

Remarque : Deux contrôleurs de domaine sont tous deux dans le même forêt, ou les deux contrôleurs de domaine sont tous deux dans une forêt distincte. En outre, les relations d'approbation de la forêt sont Les approbations Windows Server 2003 ou les approbations d'une version ultérieure.
Port (s) clientPort du serveurService
1024-65535/TCP135/TCPMappeur de point final RPC
1024-65535/TCP1024-65535/TCPRPC pour LSA, SAM, Netlogon (*)
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP GC SUR SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPPME/PMI
1024-65535/TCP1024-65535/TCPFRS RPC (*)
Les ports NETBIOS visés pour Windows NT sont également requis pour Windows 2000 et Windows Server 2003 lorsque des approbations de domaines sont configurées qui prennent en charge uniquement les communications basés sur NETBIOS. Systèmes d'exploitation basés sur Windows NT ou des contrôleurs de domaine de tiers qui sont basés sur Samba sont des exemples.

(*) Pour plus d'informations sur la définition des ports du serveur RPC utilisés par les services LSA RPC, consultez les articles suivants de la Base de connaissances Microsoft :

Windows Server 2008 et Windows Server 2008 R2

Windows Server 2008 et Windows Server 2008 R2 ont augmenté la plage de ports dynamiques client pour les connexions sortantes. Le nouveau port de démarrage par défaut est 49152, et le port de fin par défaut est 65 535. Par conséquent, vous devez augmenter la plage de ports RPC dans votre pare-feu. Cette modification a été apportée pour se conformer aux recommandations Internet IANA Assigned Numbers Authority (). Cela diffère d'un domaine en mode mixte qui se compose de contrôleurs de domaine Windows Server 2003, les contrôleurs de domaine Windows 2000 Server ou les clients hérités, où la plage de ports dynamiques par défaut est 1025 à 5000.

Pour plus d'informations sur la modification de plage de ports dynamiques dans Windows Server 2008 et Windows Server 2008 R2, consultez les ressources suivantes :
Port (s) clientPort du serveurService
49152 -65535/UDP123/UDPW32Time
49152 -65535/TCP135/TCPMappeur de point final RPC
49152 -65535/TCP464/TCP/UDPChangement de mot de passe Kerberos
49152 -65535/TCP49152-65535/TCPRPC pour LSA, SAM, Netlogon (*)
49152 -65535/TCP/UDP389/TCP/UDPLDAP
49152 -65535/TCP636/TCPLDAP SSL
49152 -65535/TCP3268/TCPLDAP GC
49152 -65535/TCP3269/TCPLDAP GC SUR SSL
53, 49152 -65535/TCP/UDP53/TCP/UDPDNS
49152 -65535/TCP49152 -65535/TCPFRS RPC (*)
49152 -65535/TCP/UDP88/TCP/UDPKerberos
49152 -65535/TCP/UDP445/TCPSMB (*)
49152 -65535/TCP49152-65535/TCPDFSR RPC (*)
Ports NETBIOS visés pour Windows NT sont également requis pour Windows 2000 et Server 2003 lorsque des approbations de domaines sont configurées qui prennent en charge uniquement les communications basés sur NETBIOS. Systèmes d'exploitation basés sur Windows NT ou des contrôleurs de domaine de tiers qui sont basés sur Samba sont des exemples.

(*) Pour plus d'informations sur la définition des ports du serveur RPC utilisés par les services LSA RPC, consultez les articles suivants de la Base de connaissances Microsoft : (**) Pour l'opération de l'approbation de ce port n'est pas nécessaire, il est utilisé pour la création de confiance uniquement.


Remarque : Approbation externe 123/UDP n'est nécessaire que si vous avez configuré manuellement le Service de temps Windows pour la synchronisation avec un serveur dans l'approbation externe.

Active Directory

Windows 2000 et Windows XP, l'ICMP Internet Control Message Protocol () doit être autorisé à traverser le pare-feu à partir des clients sur les contrôleurs de domaine afin que le client de stratégie de groupe Active Directory peut fonctionner correctement à travers un pare-feu. ICMP est utilisé pour déterminer si le lien est une connexion lente ou rapide.

Dans Windows Server 2008 et versions ultérieures, le Service de prise de conscience d'emplacement réseau fournit l'estimation de la bande passante en fonction du trafic avec d'autres stations sur le réseau. Aucun trafic n'est généré pour l'estimation.

Le redirecteur Windows utilise également le protocole ICMP pour vérifier qu'une adresse IP du serveur est résolue par le service DNS avant qu'une connexion est effectuée, et lorsqu'un serveur se trouve à l'aide de DFS. Cela s'applique à l'accès par les membres de domaine SYSVOL.

Si vous souhaitez réduire le trafic ICMP, vous pouvez utiliser les éléments suivants exemple de règle de pare-feu :
<any> ICMP -> DC IP addr = allow

Contrairement à la couche du protocole TCP et le protocole UDP couche de protocole ICMP n'a pas un numéro de port. C'est parce que le protocole ICMP est hébergé directement par la couche IP.

Par défaut, les serveurs DNS Windows 2000 Server et de Windows Server 2003 utilisent les ports éphémères côté client lorsqu'ils interrogent d'autres serveurs DNS. Toutefois, ce comportement peut être modifié par un paramètre de Registre spécifique. Pour plus d'informations, consultez l'article de la Base de connaissances Microsoft 260186 : Clé de Registre DNS SendPort ne fonctionne pas comme prévu

Pour plus d'informations sur Active Directory et configuration du pare-feu, consultez le Active Directory dans les réseaux segmentés par des pare-feuLivre blanc de Microsoft.Ou bien, vous pouvez établir une approbation à travers le tunnel obligatoire point to Point Tunneling Protocol (PPTP). Cela limite le nombre de ports que le pare-feu doit ouvrir. Pour le protocole PPTP, les ports suivants doivent être activés.
Les Ports du clientPort du serveurProtocole
1024-65535/TCP/ TCP 1723PPTP
En outre, vous seriez obligé d'activer le protocole IP 47 (GRE).

Remarque : Lorsque vous ajoutez des autorisations à une ressource sur un domaine d'approbation pour les utilisateurs dans un domaine approuvé, il existe certaines différences entre les comportements de Windows NT 4.0 et de Windows 2000. Si l'ordinateur ne peut pas afficher une liste des utilisateurs du domaine distant, prenez en compte le comportement suivant :
  • Windows NT 4.0 essaie de résoudre les noms tapés manuellement par contacter le contrôleur principal de domaine de l'utilisateur distant (UDP 138). Si ce communication échoue, un ordinateur fonctionnant sous Windows NT 4.0 contacte son propre contrôleur principal de domaine, et puis demande la résolution du nom.
  • Windows 2000 et Windows Server 2003 tentent également de contacter de contrôleur principal de domaine de l'utilisateur distant pour la résolution sur le port UDP 138. Toutefois, ils ne comptent pas sur l'utilisation de leur propre contrôleur principal de domaine. Assurez-vous que tous les serveurs membres Windows 2000 et les serveurs membres Windows Server 2003 qui accorderont l'accès aux ressources possèdent une connectivité UDP 138 vers le contrôleur principal de domaine distant.
Ressources supplémentaires
Tcpip

Propriétés

ID d'article : 179442 - Dernière mise à jour : 07/12/2013 09:53:00 - Révision : 9.1

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professionnel, Microsoft Windows NT Server 4.0 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Windows Web Server 2008 R2

  • kbenv kbhowto kbnetwork kbmt KB179442 KbMtfr
Commentaires
var varClickTracking = 1; var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write(" ml>