Al momento sei offline in attesa che la connessione Internet venga ristabilita

Come configurare un firewall per domini e trust

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 179442
Sommario
In questo articolo viene descritto come configurare un firewall per domini e trust.

Nota: Non tutte le porte sono elencate nelle tabelle riportate di seguito sono necessari in tutti gli scenari. Ad esempio, se il firewall separa i membri e controller di dominio, non è necessario aprire le porte di FRS o DFSR. Inoltre, se si è certi che nessun client utilizza LDAP con SSL/TLS, non è necessario aprire le porte 636 e 3269.
Informazioni
Per stabilire un trust di dominio o un canale di protezione attraverso un firewall, è necessario aprire le porte seguenti. Tenere presente che potrebbe essere host funziona con i ruoli di client e server su entrambi i lati del firewall. Pertanto, le regole delle porte potrebbero essere necessario eseguire il mirroring.

Windows NT

In questo ambiente, un lato del trust è un trust Windows NT 4.0 o la relazione di trust è stato creato utilizzando i nomi NetBIOS.
Porte clientPorta del serverServizio
UDP/137UDP/137Nome NetBIOS
UDP/138UDP/138NetBIOS Netlogon e Esplorazione
1024-65535/TCP139/TCPSessione NetBIOS
1024-65535/TCP42/TCPReplica WINS

Windows Server 2003 e Windows 2000 Server

Per un dominio in modalità mista che utilizza il controller di dominio Windows NT o i client legacy, relazioni di trust tra i controller di dominio basato su Windows Server 2003 e un dominio basato su Windows 2000 Server controller potrebbero richiedere che oltre alle seguenti porte aprire tutte le porte per Windows NT elencati nella tabella precedente.

Nota I due domain controller sono entrambi nella stessa insieme di strutture o i due domain controller sono entrambi in una foresta separata. Inoltre, sono le relazioni di trust dell'insieme di strutture Trust di Windows Server 2003 o trust di versioni successive.
Porte clientPorta del serverServizio
1024-65535/TCP135/TCPMapping degli Endpoint RPC
1024-65535/TCP1024-65535/TCPRPC per LSA, SAM, Netlogon (*)
1024-65535/TCP/UDPTCP/389/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP SSL GC
53,1024-65535/TCP/UDPTCP/53/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
1024-65535/TCP1024-65535/TCPRPC DEL SERVIZIO REPLICA FILE (*)
Le porte NETBIOS elencati per Windows NT sono necessarie per Windows 2000 e Windows Server 2003 anche quando vengono configurati i trust per domini che supportano solo la comunicazione basata su NETBIOS. Esempi sono sistemi operativi basati su Windows NT o controller di dominio di terze parti basati su Samba.

(*) Per informazioni su come definire porte RPC server utilizzate dai servizi RPC LSA, vedere i seguenti articoli della Microsoft Knowledge Base:

Windows Server 2008 e Windows Server 2008 R2

Windows Server 2008 e Windows Server 2008 R2 hanno aumentato l'intervallo di porte dinamiche client per connessioni in uscita. La nuova porta di avvio predefinita è 49152 e la porta di fine predefinita è 65535. Pertanto, è necessario aumentare l'intervallo di porte RPC nei firewall. Questa modifica è stata effettuata per conformarsi alle raccomandazioni Internet assegnati numeri Authority (IANA). Questo è diverso da un dominio in modalità mista costituito da controller di dominio Windows Server 2003, i controller di dominio basato su Windows 2000 Server o client legacy, in cui l'intervallo di porte dinamiche predefinito è 1025 a 5000.

Per ulteriori informazioni sulla modifica intervallo porta dinamica in Windows Server 2008 e Windows Server 2008 R2, vedere le seguenti risorse:
Porte clientPorta del serverServizio
49152 -65535/UDP123/UDPW32Time
49152 -65535/TCP135/TCPMapping degli Endpoint RPC
49152 -65535/TCPTCP/464/UDPModifica password Kerberos
49152 -65535/TCPDA 49152 A 65535/TCPRPC per LSA, SAM, Netlogon (*)
49152 -65535/TCP/UDPTCP/389/UDPLDAP
49152 -65535/TCP636/TCPLDAP SSL
49152 -65535/TCP3268/TCPLDAP GC
49152 -65535/TCP3269/TCPLDAP SSL GC
53, 49152 -65535/TCP/UDPTCP/53/UDPDNS
49152 -65535/TCP49152 -65535/TCPRPC DEL SERVIZIO REPLICA FILE (*)
49152 -65535/TCP/UDP88/TCP/UDPKerberos
49152 -65535/TCP/UDP445/TCPSMB
49152 -65535/TCPDA 49152 A 65535/TCPRPC DFSR (*)
Le porte NETBIOS elencati per Windows NT sono necessarie per Windows 2000 e 2003 Server anche quando vengono configurati i trust per domini che supportano solo la comunicazione basata su NETBIOS. Esempi sono sistemi operativi basati su Windows NT o controller di dominio di terze parti basati su Samba.

(*) Per informazioni su come definire porte RPC server utilizzate dai servizi RPC LSA, vedere i seguenti articoli della Microsoft Knowledge Base:
Nota: Trust esterno 123/UDP è necessaria solo se è stato configurato manualmente il servizio ora di Windows per la sincronizzazione con un server attraverso il trust esterno.

Active Directory

In Windows 2000 e Windows XP, il messaggio di protocollo ICMP (Internet Control) necessario consentire attraverso il firewall dai client ai controller di dominio in modo che il client di criteri di gruppo di Active Directory può funzionare correttamente attraverso un firewall. ICMP viene utilizzato per determinare se il collegamento è un collegamento lento o veloce.

In Windows Server 2008 e versioni successive, Network Location Awareness Service fornisce la stima della larghezza di banda in base al traffico con altre stazioni della rete. Non vi è alcun traffico generato per la stima.

Il Redirector di Windows utilizza anche ICMP per verificare che un indirizzo IP server viene risolto dal servizio DNS prima che venga effettuata una connessione e quando è presente un server utilizzando DFS. Questo vale per l'accesso SYSVOL dai membri del dominio.

Se si desidera ridurre al minimo il traffico ICMP, è possibile utilizzare la seguente esempio di regola firewall:
<any> ICMP -> DC IP addr = allow

A differenza di livello del protocollo TCP e il protocollo UDP livello di protocollo ICMP non dispone di un numero di porta. Poiché è ICMP ospitato direttamente dal livello IP.

Per impostazione predefinita, Windows Server 2003 e Windows 2000 Server DNS utilizzano porte lato client transitorie quando questi altri server DNS una query. Tuttavia, questo comportamento può essere modificato dall'impostazione del Registro di sistema. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 260186: Chiave di registro DNS SendPort non funziona come previsto

Per ulteriori informazioni sulla configurazione di firewall e di Active Directory, vedere la Active Directory in reti segmentate tramite firewallWhite paper di Microsoft.In alternativa, è possibile stabilire un trust attraverso il tunnel obbligatori Point to Point Tunneling Protocol (PPTP). Questo limita il numero di porte con firewall da aprire. Per PPTP, è necessario attivare le seguenti porte.
Porte clientPorta del serverProtocollo
1024-65535/TCP1723/TCPPPTP
Inoltre, è necessario attivare il protocollo IP 47 (GRE).

Nota Quando si aggiungono le autorizzazioni per una risorsa in un dominio trusting per gli utenti in un dominio trusted, esistono alcune differenze tra comportamento Windows NT 4.0 e Windows 2000. Se il computer non è possibile visualizzare un elenco di utenti del dominio remoto, si consideri il seguente comportamento:
  • Windows NT 4.0 tenta di risolvere nomi digitati manualmente da contattare il PDC per il dominio dell'utente remoto (UDP 138). Se tale Errore di comunicazione, un computer basato su Windows NT 4.0 contatta il proprio PDC e quindi viene chiesto di risoluzione dei nomi.
  • Windows 2000 e Windows Server 2003 sono inoltre provare a contattare il PDC dell'utente remoto per la risoluzione tramite UDP 138. Tuttavia, non si basano sull'utilizzo del proprio PDC. Assicurarsi che tutti i membri basati su Windows 2000 Server e server membro basato su Windows Server 2003 che concedono l'accesso alle risorse sia connettività UDP 138 al PDC remoto.
Risorse aggiuntive
TCP/IP

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 179442 - Ultima revisione: 07/16/2013 01:12:00 - Revisione: 4.1

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Windows Web Server 2008 R2

  • kbenv kbhowto kbnetwork kbmt KB179442 KbMtit
Feedback