Active Directory etki alanları ve güvenler için güvenlik duvarı yapılandırma

Makale
02/19/2024

Bu makalede Active Directory etki alanları ve güvenleri için güvenlik duvarının nasıl yapılandırıldığı açıklanır.

Şunlar için geçerlidir: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Orijinal KB numarası: 179442

Not

Buradaki tablolarda listelenen bağlantı noktalarının hepsi tüm senaryolarda gerekli değildir. Örneğin, güvenlik duvarı üyeleri ve DC'leri ayırıyorsa, FRS veya DFSR bağlantı noktalarını açmanız gerekmez. Ayrıca, hiçbir istemcinin SSL/TLS ile LDAP kullanmadığını biliyorsanız 636 ve 3269 bağlantı noktalarını açmanız gerekmez.

Daha fazla bilgi

Not

İki etki alanı denetleyicisinin her ikisi de aynı ormanda veya iki etki alanı denetleyicisinin her biri farklı bir ormanda yer alır. Ayrıca, ormandaki güvenler Windows Server 2003 güvenleri veya sonraki sürümlerdeki güvenlerdir.

İstemci Bağlantı Noktası/Noktaları	Sunucu Bağlantı Noktası	Hizmet
1024-65535/TCP	135/TCP	RPC Bitiş Noktası Eşleştiricisi
1024-65535/TCP	1024-65535/TCP	LSA, SAM, NetLogon (*) için RPC
1024-65535/TCP/UDP	389/TCP/UDP	LDAP
1024-65535/TCP	636/TCP	LDAP SSL
1024-65535/TCP	3268/TCP	LDAP GC
1024-65535/TCP	3269/TCP	LDAP GC SSL
53,1024-65535/TCP/UDP	53/TCP/UDP	DNS
1024-65535/TCP/UDP	88/TCP/UDP	Kerberos
1024-65535/TCP	445/TCP	SMB
1024-65535/TCP	1024-65535/TCP	FRS RPC (*)

Güvenler etki alanlarına yalnızca NetBIOS tabanlı iletişimi destekleyecek şekilde yapılandırıldığında, Windows NT için listelenen NetBIOS bağlantı noktaları, Windows 2000 ve Windows Server 2003 için de gereklidir. Örnek olarak Windows NT tabanlı işletim sistemleri veya Samba tabanlı üçüncü taraf Etki Alanı Denetleyicileri verilebilir.

LSA RPC hizmetleri tarafından kullanılan RPC sunucu bağlantı noktalarını tanımlama hakkında daha fazla bilgi için bkz:

Active Directory RPC trafiğini belirli bir bağlantı noktasıyla kısıtlama.
Windows için hizmete genel bakış ve ağ bağlantı noktası gereksinimleri bölümündeki Etki alanı denetleyicileri ve Active Directory bölümü.

Windows Server 2008 ve sonraki sürümler

Windows Server 2008 ve Windows Server'ın daha yeni sürümleri, giden bağlantılar için dinamik istemci bağlantı noktası aralığını artırdı. Yeni varsayılan başlangıç bağlantı noktası 49152 ve varsayılan bitiş bağlantı noktası 65535'tir. Bu nedenle, güvenlik duvarlarınızdaki RPC bağlantı noktası aralığını artırmanız gerekir. Bu değişiklik, İnternet Atanmış Numaralar Yetkilisi (IANA) önerileriyle uyumlu olması için yapılmıştır. Bu, Windows Server 2003 etki alanı denetleyicilerinden, Windows 2000 sunucu tabanlı etki alanı denetleyicilerinden veya varsayılan dinamik bağlantı noktası aralığının 1025 ile 5000 arasında olduğu eski istemcilerden oluşan karma modlu bir etki alanından farklıdır.

Windows Server 2012 ve Windows Server 2012 R2'deki dinamik bağlantı noktası aralığı değişikliği hakkında daha fazla bilgi için bkz:

İstemci Bağlantı Noktası/Noktaları	Sunucu Bağlantı Noktası	Hizmet
49152-65535/UDP	123/UDP	W32Time
49152-65535/TCP	135/TCP	RPC Bitiş Noktası Eşleştiricisi
49152-65535/TCP	464/TCP/UDP	Kerberos parola değişikliği
49152-65535/TCP	49152-65535/TCP	LSA, SAM, NetLogon (*) için RPC
49152-65535/TCP/UDP	389/TCP/UDP	LDAP
49152-65535/TCP	636/TCP	LDAP SSL
49152-65535/TCP	3268/TCP	LDAP GC
49152-65535/TCP	3269/TCP	LDAP GC SSL
53, 49152-65535/TCP/UDP	53/TCP/UDP	DNS
49152-65535/TCP	49152-65535/TCP	FRS RPC (*)
49152-65535/TCP/UDP	88/TCP/UDP	Kerberos
49152-65535/TCP/UDP	445/TCP	SMB (**)
49152-65535/TCP	49152-65535/TCP	DFSR RPC (*)

Güvenler etki alanlarına yalnızca NetBIOS tabanlı iletişimi destekleyecek şekilde yapılandırıldığında, Windows NT için listelenen NetBIOS bağlantı noktaları Windows 2000 ve Server 2003 için de gereklidir. Örnek olarak Windows NT tabanlı işletim sistemleri veya Samba tabanlı üçüncü taraf Etki Alanı Denetleyicileri verilebilir.

(*) LSA RPC hizmetleri tarafından kullanılan RPC sunucu bağlantı noktalarını tanımlama hakkında bilgi için bkz:

Active Directory RPC trafiğini belirli bir bağlantı noktasıyla kısıtlama.
Windows için hizmete genel bakış ve ağ bağlantı noktası gereksinimleri bölümündeki Etki alanı denetleyicileri ve Active Directory bölümü.

(**) Güvenin işlemi için bu bağlantı noktası gerekli değildir, yalnızca güven oluşturmak için kullanılır.

Not

Dış güven 123/UDP, yalnızca Windows Zaman Hizmeti'ni dış güven genelinde bir sunucuyla eşitlenecek şekilde el ile yapılandırdıysanız gereklidir.

Active Directory

Bir LDAP isteği uzun süre beklemede olduğunda ve yanıt beklerken Microsoft LDAP istemcisi ICMP ping'ini kullanır. Sunucunun hala ağda olduğunu doğrulamak için ping istekleri gönderir. Ping yanıtı almazsa LDAP isteğini LDAP_TIMEOUT ile reddeder.

Windows Yeniden Yönlendiricisi ayrıca, bir bağlantı yapılmadan önce sunucu IP'sinin DNS hizmeti tarafından çözümlendiğini doğrulamak için ve bir sunucu DFS kullanılarak bulunduğunda, ICMP Ping iletilerini kullanır. ICMP trafiğini en aza indirmek istiyorsanız aşağıdaki örnek güvenlik duvarı kuralını kullanabilirsiniz:

<herhangi bir> ICMP -> DC IP eklentisi = allow

TCP protokol katmanından ve UDP protokol katmanından farklı olarak, ICMP'nin bağlantı noktası numarası yoktur. Bunun nedeni ICMP'nin doğrudan IP katmanı tarafından barındırılıyor olmasıdır.

Varsayılan olarak, Windows Server 2003 ve Windows 2000 Server DNS sunucuları, diğer DNS sunucularını sorgularken kısa ömürlü istemci tarafı bağlantı noktalarını kullanır. Ancak, bu davranış belirli bir kayıt defteri ayarıyla değiştirilebilir. Veya Noktadan Noktaya Tünel Protokolü (PPTP) zorunlu tüneli aracılığıyla bir güven oluşturabilirsiniz. Bu, güvenlik duvarının açması gereken bağlantı noktası sayısını sınırlar. PPTP için aşağıdaki bağlantı noktalarının etkinleştirilmesi gerekir.

İstemci Bağlantı Noktaları	Sunucu Bağlantı Noktası	Protokol
1024-65535/TCP	1723/TCP	PPTP

Ayrıca, IP PROTOCOL 47 (GRE)'yi etkinleştirmeniz gerekir.

Not

Güvenilen bir etki alanındaki kullanıcılar için güvenen bir etki alanındaki kaynağa izinler eklediğinizde, Windows 2000 ile Windows NT 4.0 davranışı arasında bazı farklar vardır. Bilgisayar uzak etki alanının kullanıcılarının listesini görüntüleyemiyorsa aşağıdaki davranışı göz önünde bulundurun:

Windows NT 4.0, uzak kullanıcının etki alanının PDC'si (UDP 138) ile bağlantı kurarak el ile yazılan adları çözümlemeye çalışır. Bu iletişim başarısız olursa, Windows NT 4.0 tabanlı bir bilgisayar kendi PDC'siyle bağlantı kurar ve ardından adın çözümlenmesini ister.
Windows 2000 ve Windows Server 2003 ayrıca, UDP 138 üzerinden çözümleme için uzak kullanıcının PDC'sine bağlanmayı dener. Ancak, kendi PDC'lerini kullanmaya bağımlı değillerdir. Kaynaklara erişim izni verecek tüm Windows 2000 tabanlı üye sunucuların ve Windows Server 2003 tabanlı üye sunucuların uzak PDC'ye UDP 138 bağlantısı olduğundan emin olun.

Başvuru

Hizmete genel bakış ve Windows için ağ bağlantı noktası gereksinimleri, Microsoft istemci ve sunucu işletim sistemleri tarafından kullanılan gerekli ağ bağlantı noktaları, protokoller ve hizmetler, sunucu tabanlı programlar ve bunların Microsoft Windows Server sistemindeki alt bileşenlerinin listesini veren değerli bir kaynaktır. Yöneticiler ve destek uzmanları, Microsoft işletim sistemleri ve programlarının bölümlere ayrılmış bir ağda ağ bağlantısı için hangi bağlantı noktalarına ve protokollere ihtiyaç duyduğunu belirlemek üzere bir yol haritası olarak bu makaleyi kullanabilirler.

Windows için Hizmete genel bakış ve ağ bağlantı noktası gereksinimleri'ndeki bağlantı noktası bilgilerini Windows Güvenlik Duvarı'nı yapılandırmak için kullanmamalısınız. Windows Güvenlik Duvarı'nı yapılandırılması hakkında bilgi için bkz. Gelişmiş Güvenlikli Windows Güvenlik Duvarı.