Como configurar um firewall para domínios e relações de confiança

O suporte para o Windows Server 2003 termina em 14 de julho de 2015.

A Microsoft terminou o suporte para o Windows Server 2003 em 14 de julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 179442
Sumário
Este artigo descreve como configurar um firewall para domínios e relações de confiança.

Observação: Nem todas as portas que estão listadas nas tabelas aqui são necessários em todos os cenários. Por exemplo, se o firewall separa membros e controladores de domínio, você não precisa abrir as portas de FRS ou DFSR. Além disso, se você souber que nenhum cliente usa o LDAP com SSL/TLS, você não precisa abrir portas 636 e 3269.
Mais Informações
Para estabelecer uma relação de confiança de domínio ou um canal de segurança através de um firewall, as seguintes portas devem ser abertas. Lembre-se de que haja hosts funcionando com funções de cliente e servidor em ambos os lados do firewall. Portanto, regras de portas talvez precise ser espelhados.

Windows NT

Nesse ambiente, um dos lados da relação de confiança é uma relação de confiança do Windows NT 4.0 ou a relação de confiança foi criada usando os nomes NetBIOS.
Porta (s) de clientePorta do servidorServiço
137/UDP137/UDPNome de NetBIOS
UDP/138UDP/138NetBIOS Netlogon e Navegação
1024-65535/TCP139/TCPSessão NetBIOS
1024-65535/TCP42/TCPReplicação do WINS

Windows Server 2003 e Windows 2000 Server

Para um domínio de modo misto que usa controladores de domínio do Windows NT ou clientes herdados, relações de confiança entre um domínio baseado no Windows 2000 Server e controladores de domínio baseado no Windows Server 2003 controladores podem exigir que todas as portas para Windows NT que estão listadas na tabela anterior ser abertas, bem como as seguintes portas.

Observação Os dois controladores de domínio estejam no mesmo floresta ou os dois controladores de domínio estão em uma floresta separada. Além disso, são as relações de confiança da floresta Relações de confiança do Windows Server 2003 ou relações de confiança de versão mais recente.
Porta (s) de clientePorta do servidorServiço
1024-65535/TCP135/TCPMapeador de ponto de extremidade RPC
1024-65535/TCP1024-65535/TCPRPC para LSA, SAM, Netlogon (*)
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP GC SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
1024-65535/TCP1024-65535/TCPFRS RPC (*)
Portas NETBIOS conforme listado para o Windows NT também são necessárias para Windows 2000 e Windows Server 2003 quando relações de confiança com domínios são configuradas que ofereça suporte apenas à comunicação baseados em NETBIOS. Exemplos são sistemas operacionais baseados em Windows NT ou controladores de domínio de terceiros que são baseados em Samba.

(*) Para obter informações sobre como definir portas de servidor RPC que são usadas pelos serviços do LSA RPC, consulte os seguintes artigos da Base de dados de Conhecimento da Microsoft:

Windows Server 2008 e Windows Server 2008 R2

Windows Server 2008 e Windows Server 2008 R2 aumentaram o intervalo de portas dinâmicas de cliente para conexões de saída. A nova porta de início padrão é 49152 e a porta de extremidade padrão é 65535. Portanto, você deve aumentar o intervalo de portas RPC em seus firewalls. Essa alteração foi feita em conformidade com as recomendações da Internet Assigned Numbers Authority (IANA). Isso é diferente de um domínio de modo misto que consiste em controladores de domínio do Windows Server 2003, os controladores de domínio baseados no Windows 2000 Server ou clientes herdados, onde o intervalo de porta dinâmica padrão é 1025 a 5000.

Para obter mais informações sobre a alteração de intervalo de porta dinâmica no Windows Server 2008 e Windows Server 2008 R2, consulte os seguintes recursos:
Porta (s) de clientePorta do servidorServiço
-49152 65535/UDP123/UDPW32Time
-49152 65535/TCP135/TCPMapeador de ponto de extremidade RPC
-49152 65535/TCP464/TCP/UDPAlteração de senha Kerberos
-49152 65535/TCP49152-65535/TCPRPC para LSA, SAM, Netlogon (*)
-49152 65535/TCP/UDP389/TCP/UDPLDAP
-49152 65535/TCP636/TCPLDAP SSL
-49152 65535/TCP3268/TCPLDAP GC
-49152 65535/TCP3269/TCPLDAP GC SSL
53, -49152 65535/TCP/UDP53/TCP/UDPDNS
-49152 65535/TCP-49152 65535/TCPFRS RPC (*)
-49152 65535/TCP/UDP88/TCP/UDPKerberos
-49152 65535/TCP/UDP445/TCPSMB (*)
-49152 65535/TCP49152-65535/TCPDFSR RPC (*)
Portas NETBIOS conforme listado para o Windows NT também são necessárias para Windows 2000 e 2003 Server quando relações de confiança com domínios são configuradas que ofereça suporte apenas à comunicação baseados em NETBIOS. Exemplos são sistemas operacionais baseados em Windows NT ou controladores de domínio de terceiros que são baseados em Samba.

(*) Para obter informações sobre como definir portas de servidor RPC que são usadas pelos serviços do LSA RPC, consulte os seguintes artigos da Base de dados de Conhecimento da Microsoft: (**) Para a operação da relação de confiança, essa porta não é necessária, ela é usada para a criação de confiança somente.


Observação: Relação de confiança externa 123/UDP só é necessária se você tiver configurado manualmente o serviço de tempo do Windows para sincronizar com um servidor através de uma relação de confiança externa.

Active Directory

No Windows 2000 e Windows XP, o ICMP Internet Control Message Protocol () deve ser permitido através do firewall de clientes para os controladores de domínio para que o cliente de diretiva de grupo do Active Directory pode funcionar corretamente através de um firewall. ICMP é usado para determinar se o link é um link lento ou rápido.

No Windows Server 2008 e versões posteriores, o Network Location Awareness Service fornece a estimativa de largura de banda com base no tráfego com outras estações na rede. Não há nenhum tráfego gerado para a estimativa.

O redirecionador do Windows também usa o ICMP para verificar se o IP do servidor é resolvido pelo serviço DNS antes de uma conexão é feita, e quando um servidor encontra-se usando o DFS. Isso se aplica ao acesso SYSVOL por membros do domínio.

Se você desejar minimizar o tráfego ICMP, você pode usar o seguinte exemplo de regra de firewall:
<any> ICMP -> DC IP addr = allow

Ao contrário da camada de protocolo TCP e o UDP camada de protocolo ICMP não possui um número de porta. Isso ocorre porque o ICMP é diretamente hospedado pela camada IP.

Por padrão, os servidores Windows Server 2003 e o servidor DNS do Windows 2000 usam portas efêmeras do lado do cliente ao consultar outros servidores DNS. No entanto, esse comportamento pode ser alterado por uma configuração específica do registro. Para obter mais informações, consulte o artigo Microsoft Knowledge Base 260186: Chave do registro DNS SendPort não funciona conforme o esperado

Para obter mais informações sobre configuração de firewall e do Active Directory, consulte o Active Directory em redes segmentadas por FirewallsWhite paper da Microsoft.Ou, você pode estabelecer uma relação de confiança por meio do túnel compulsório do protocolo de encapsulamento ponto a ponto (PPTP). Isso limita o número de portas de firewall para abrir. Para PPTP, as seguintes portas devem ser ativadas.
As portas do clientePorta do servidorProtocolo
1024-65535/TCP1723/TCPPPTP
Além disso, você teria que ativar IP PROTOCOL 47 (GRE).

Observação Quando você adiciona permissões a um recurso em um domínio confiante para usuários em um domínio confiável, existem algumas diferenças entre o Windows 2000 e o comportamento do Windows NT 4.0. Se o computador não pode exibir uma lista de usuários do domínio, considere o seguinte comportamento:
  • Windows NT 4.0 tenta resolver os nomes digitados manualmente por entrar em contato com o PDC para o domínio do usuário (UDP 138). Se isso Falha de comunicação, o próprio PDC em contato com um computador baseado no Windows NT 4.0 e em seguida, pede a resolução do nome.
  • Windows 2000 e Windows Server 2003 também tentam entrar em contato com o PDC do usuário remoto para resolução sobre UDP 138. No entanto, eles não dependem usando seu próprio PDC. Certifique-se de que todos os servidores membro baseados no Windows 2000 e servidores membro baseados no Windows Server 2003 que estarão concedendo acesso aos recursos tenham conectividade UDP 138 ao PDC remoto.
Recursos adicionais
Tcpip

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 179442 - Última Revisão: 07/16/2013 04:04:00 - Revisão: 6.1

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Windows Web Server 2008 R2

  • kbenv kbhowto kbnetwork kbmt KB179442 KbMtpt
Comentários