Come configurare un firewall per i domini e i trust di Active Directory
Questo articolo descrive come configurare un firewall per i domini e i trust di Active Directory.
Si applica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Numero originale della Knowledge Base: 179442
Nota
Non tutte le porte elencate nelle tabelle sono necessarie in tutti gli scenari. Ad esempio, se il firewall separa membri e controller di dominio, non è necessario aprire le porte FRS o DFSR. Inoltre, se si sa che nessun client utilizza LDAP con SSL/TLS, non è necessario aprire le porte 636 e 3269.
Ulteriori informazioni
Nota
I due controller di dominio si trovano entrambi nella stessa foresta, oppure i due controller di dominio si trovano entrambi in una foresta separata. Inoltre, i trust nella foresta sono trust di Windows Server 2003 o versioni successive.
| Porte client | Porta server | Servizio |
|---|---|---|
| 1024-65535/TCP | 135/TCP | Agente mapping endpoint RPC |
| 1024-65535/TCP | 1024-65535/TCP | RPC per LSA, SAM, NetLogon (*) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
Le porte NetBIOS elencate per Windows NT sono necessarie anche per Windows 2000 e Windows Server 2003 quando vengono configurati i trust ai domini che supportano solo le comunicazioni basate su NetBIOS. Ad esempio, i sistemi operativi Windows basati su NT oppure i controller di dominio di terze parti basati su Samba.
Per ulteriori informazioni su come definire le porte del server RPC utilizzate dai servizi RPC LSA, consultare:
- Limitazione del traffico RPC di Active Directory a una porta specifica.
- La sezione Controller di dominio e Active Directory in Panoramica del servizio e requisiti delle porte di rete per Windows.
Windows Server 2008 e versioni successive
Le versioni più recenti Windows Server 2008 di Windows Server hanno aumentato l'intervallo di porte client dinamiche per le connessioni in uscita. La nuova porta iniziale predefinita è 49152 e la porta finale predefinita è 65535. Pertanto, è necessario aumentare l'intervallo di porte RPC nei firewall. Questa modifica è stata apportata per rispettare le raccomandazioni IANA (Internet Assigned Numbers Authority). Ciò differisce da un dominio in modalità mista costituito da controller di dominio Windows Server 2003, controller di dominio basato su server Windows 2000, oppure client legacy, in cui l'intervallo di porte dinamiche predefinito è compreso tra 1025 e 5000.
Per maggiori informazioni sulla modifica dell'intervallo di porte dinamico in Windows Server 2012 e Windows Server 2012 R2, consultare:
- L'intervallo di porte dinamiche predefinito per TCP/IP è stato modificato.
- Porte dinamiche in Windows Server.
| Porte client | Porta server | Servizio |
|---|---|---|
| 49152-65535/UDP | 123/UDP | W32time |
| 49152-65535/TCP | 135/TCP | Agente mapping endpoint RPC |
| 49152-65535/TCP | 464/TCP/UDP | Modifica password Kerberos |
| 49152-65535/TCP | 49152-65535/TCP | RPC per LSA, SAM, NetLogon (*) |
| 49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152-65535/TCP | 636/TCP | LDAP SSL |
| 49152-65535/TCP | 3268/TCP | LDAP GC |
| 49152-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152-65535/TCP | 49152-65535/TCP | FRS RPC (*) |
| 49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152-65535/TCP/UDP | 445/TCP | SMB (**) |
| 49152-65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
Le porte NetBIOS elencate per Windows NT sono necessarie anche per Windows 2000 e Server 2003 quando vengono configurati i trust per i domini che supportano solo le comunicazioni basate su NetBIOS. Ad esempio, i sistemi operativi Windows basati su NT oppure i controller di dominio di terze parti basati su Samba.
(*) Per informazioni su come definire le porte server RPC utilizzate dai servizi RPC LSA, consultare:
- Limitazione del traffico RPC di Active Directory a una porta specifica.
- La sezione Controller di dominio e Active Directory in Panoramica del servizio e requisiti delle porte di rete per Windows.
(**) Per il funzionamento di trust, questa porta non è necessaria, viene utilizzata solo per la creazione di trust.
Nota
Il trust esterno 123/UDP è necessario solo se il Servizio Ora di Windows è stato configurato manualmente per la sincronizzazione con un server attraverso il trust esterno.
Active Directory
Il client Microsoft LDAP usa il ping ICMP quando una richiesta LDAP è in sospeso per un periodo di tempo prolungato e attende una risposta. Invia richieste ping per verificare che il server sia ancora in rete. Se non riceve risposte ping, la richiesta LDAP non riesce con LDAP_TIMEOUT.
Anche il Redirector di Windows utilizza i messaggi ping ICMP per verificare che un indirizzo IP del server venga risolto dal servizio DNS prima che venga stabilita una connessione e quando un server viene localizzato tramite DFS. Se si vuole ridurre al minimo il traffico ICMP, è possibile utilizzare la regola del firewall di esempio seguente:
<any> ICMP -> DC IP addr = allow
A differenza del livello del protocollo TCP e del livello del protocollo UDP, ICMP non dispone di un numero di porta. Questo perché ICMP è ospitato direttamente dal livello IP.
Per impostazione predefinita, Windows server 2003 e Windows server DNS 2000 utilizzano porte temporanee sul lato client quando eseguono query su altri server DNS. Tuttavia, questo comportamento può essere modificato da un'impostazione specifica del Registro di sistema. In alternativa, è possibile stabilire un trust tramite il Protocollo di tunneling point-to-point (Point-to-Point Tunneling Protocol). Questo limita il numero di porte che il firewall deve aprire. Per il PPTP, è necessario abilitare le porte seguenti.
| Porte client | Porta server | Protocollo |
|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
Inoltre, è necessario abilitare IP PROTOCOL 47 (GRE).
Nota
Quando si aggiungono autorizzazioni a una risorsa in un dominio di trusting per gli utenti in un dominio attendibile, esistono alcune differenze di comportamento tra Windows 2000 e Windows NT 4.0. Se il computer non può visualizzare un elenco degli utenti del dominio remoto, prendere in considerazione il comportamento seguente:
- Windows NT 4.0 tenta di risolvere i nomi manualmente contattando il PDC per il dominio dell'utente remoto (UDP 138). Se la comunicazione non riesce, un computer basato su Windows NT 4.0 contatta il proprio PDC e quindi richiede la risoluzione del nome.
- Windows 2000 e Windows Server 2003 tentano anche di contattare il PDC dell'utente remoto per la risoluzione su UDP 138. Tuttavia, non si basano sull'utilizzo del proprio PDC. Assicurarsi che tutti i server membri basati su Windows 2000 e i server membri basati su Windows Server 2003 che concederanno l'accesso alle risorse dispongano della connettività UDP 138 al PDC remoto.
Riferimenti
L'articolo Panoramica del servizio e requisiti delle porte di rete Windows costituisce una valida risorsa che illustra le porte di rete, i protocolli e i servizi necessari utilizzati dai sistemi operativi client e server Microsoft, dai programmi basati su server e dai relativi sottocomponenti nel sistema Microsoft Windows Server. Gli amministratori e gli esperti del supporto possono utilizzare questo articolo come guida di orientamento per determinare quali sono le porte e i protocolli richiesti dai sistemi operativi e dai programmi Microsoft per la connettività di rete in una rete segmentata.
Per configurare Windows Firewall, non è consigliabile utilizzare le informazioni sulla porta che si trovano in Panoramica del servizio e i requisiti delle porte di rete per Windows. Per informazioni su come configurare Windows firewall, vedere Windows Firewall con sicurezza avanzata.
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per