Você está offline; aguardando reconexão

Como configurar um firewall para domínios e relações de confiança

O suporte para Windows Server 2003 terminou a 14 de Julho de 2015

A Microsoft terminou o suporte para Windows Server 2003 a 14 de Julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 179442
Se você for um cliente do Small Business, encontrar a solução de problemas e recursos de aprendizagem adicionais do Suporte para pequenas empresas site.
Sumário
Este artigo descreve como configurar um firewall para domínios e relações de confiança.

Observação: Nem todas as portas listadas nas tabelas aqui são necessários em todos os cenários. Por exemplo, se o firewall separa membros e controladores de domínio, não precisa abrir as portas de FRS ou DFSR. Além disso, se você souber que nenhum cliente usa LDAP com SSL/TLS, não precisa abrir portas 636 e 3269.
Mais Informação
Para estabelecer uma relação de confiança de domínio ou um canal de segurança através de um firewall, as seguintes portas devem ser abertas. Lembre-se de que haja hosts funcionando com funções de cliente e servidor em ambos os lados do firewall. Portanto, as regras de portas podem ter ser espelhado.

Windows NT

Nesse ambiente, um lado da relação de confiança é uma relação de confiança Windows NT 4.0 ou a relação de confiança foi criada usando os nomes NetBIOS.
Porta do clientePorta do servidorServiço
137/UDP137/UDPNome de NetBIOS
UDP/138UDP/138NetBIOS Netlogon e Navegação
1024-65535/TCP139/TCPSessão NetBIOS
1024-65535/TCP42/TCPReplicação do WINS

Windows Server 2003 e Windows 2000 Server

Para um domínio de modo misto que usa controladores de domínio Windows NT ou clientes herdados, relações de confiança entre um domínio baseado no Windows 2000 Server e controladores de domínio baseado no Windows Server 2003 controladores podem exigir que todas as portas listadas na tabela anterior para Windows NT ser abertas, bem como as seguintes portas.

Observação Os dois controladores de domínio estão no mesmo floresta ou os dois controladores de domínio estão em uma floresta separada. Além disso, são as relações de confiança da floresta Relações de confiança do Windows Server 2003 ou posteriores versão confianças.
Porta do clientePorta do servidorServiço
1024-65535/TCP135/TCP.RPC Endpoint Mapper
1024-65535/TCP1024-65535/TCPRPC para LSA, SAM, Netlogon (*)
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP GC SSL
53,1024-65535/TCP/UDPTCP/53/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
1024-65535/TCP1024-65535/TCPFRS RPC (*)
Portas NETBIOS conforme listado para Windows NT também são necessárias para o Windows 2000 e Windows Server 2003 quando configuradas relações de confiança com domínios que oferecem suporte somente a comunicação baseada em NETBIOS. Exemplos são sistemas operacionais baseados em Windows NT ou controladores de domínio de terceiros baseados em Samba.

(*) Para obter informações sobre como definir as portas de servidor RPC usadas pelos serviços LSA RPC, consulte os seguintes artigos da Base de dados de Conhecimento da Microsoft:

Windows Server 2008 e Windows Server 2008 R2

Windows Server 2008 e Windows Server 2008 R2 aumentaram o intervalo de porta dinâmica de cliente para conexões de saída. A nova porta inicial padrão é 49152 e a porta de extremidade padrão é 65535. Portanto, você deve aumentar o intervalo de porta RPC em seus firewalls. Essa alteração foi feita em conformidade com as recomendações da Internet Assigned Numbers Authority (IANA). Isso difere de um domínio de modo misto que consiste em controladores de domínio do Windows Server 2003, os controladores de domínio baseado no Windows 2000 Server ou clientes herdados, onde o intervalo de porta dinâmica padrão é 1025 a 5000.

Para obter mais informações sobre a alteração de intervalo de porta dinâmica no Windows Server 2008 e Windows Server 2008 R2, consulte os seguintes recursos:
Porta do clientePorta do servidorServiço
49152-65535/UDP123/UDPW32Time
49152-65535/TCP135/TCP.RPC Endpoint Mapper
49152-65535/TCPTCP/464/UDPAlteração de senha Kerberos
49152-65535/TCP49152-65535/TCPRPC para LSA, SAM, Netlogon (*)
49152-65535/TCP/UDP389/TCP/UDPLDAP
49152-65535/TCP636/TCPLDAP SSL
49152-65535/TCP3268/TCPLDAP GC
49152-65535/TCP3269/TCPLDAP GC SSL
53, 49152-65535/TCP/UDPTCP/53/UDPDNS
49152-65535/TCP49152-65535/TCPFRS RPC (*)
49152-65535/TCP/UDP88/TCP/UDPKerberos
49152-65535/TCP/UDP445/TCPSMB
49152-65535/TCP49152-65535/TCPRPC DFSR (*)
Portas NETBIOS conforme listado para Windows NT também são necessárias para o Windows 2000 e 2003 Server quando configuradas relações de confiança com domínios que oferecem suporte somente a comunicação baseada em NETBIOS. Exemplos são sistemas operacionais baseados em Windows NT ou controladores de domínio de terceiros baseados em Samba.

(*) Para obter informações sobre como definir as portas de servidor RPC usadas pelos serviços LSA RPC, consulte os seguintes artigos da Base de dados de Conhecimento da Microsoft:
Observação: Relação de confiança externa 123/UDP é necessária somente se você tiver configurado manualmente o serviço de tempo do Windows para sincronizar com um servidor através de uma relação de confiança externa.

Active Directory

No Windows 2000 e Windows XP, o ICMP Internet Control Message Protocol () deve ser permitido através do firewall de clientes para controladores de domínio para que o cliente de diretiva de grupo do Active Directory pode funcionar corretamente através de um firewall. ICMP é usado para determinar se o link é um link lento ou rápido.

No Windows Server 2008 e versões posteriores, Network Location Awareness Service fornece a estimativa de largura de banda com base no tráfego com outras estações na rede. Não há nenhum tráfego gerado para a estimativa.

O redirecionador do Windows também usa o ICMP para verificar que o IP do servidor é resolvido pelo serviço DNS antes de estabelecer uma conexão e um servidor está usando o DFS. Isso se aplica ao acesso SYSVOL por membros do domínio.

Se você desejar minimizar o tráfego ICMP, você pode usar o seguinte exemplo de regra de firewall:
<any> ICMP -> DC IP addr = allow

Ao contrário da camada de protocolo TCP e o UDP camada de protocolo ICMP não possui um número de porta. Isso ocorre porque é ICMP diretamente hospedado pela camada IP.

Por padrão, os servidores Windows Server 2003 e o servidor DNS do Windows 2000 usam portas efêmeras do lado do cliente ao consultar outros servidores DNS. No entanto, esse comportamento pode ser alterado por uma configuração específica do registro. Para obter mais informações, consulte o artigo Microsoft Knowledge Base 260186: Chave do registro DNS SendPort não funciona como esperado

Para obter mais informações sobre a configuração do firewall e do Active Directory, consulte o Active Directory em redes segmentadas por FirewallsWhite paper da Microsoft.Ou você pode estabelecer uma relação de confiança através do túnel compulsório do protocolo de encapsulamento ponto a ponto (PPTP). Isso limita o número de portas que o firewall para abrir. Para PPTP, as seguintes portas devem ser habilitadas.
Portas do clientePorta do servidorProtocolo
1024-65535/TCP1723/TCPPPTP
Além disso, você teria que ativar IP PROTOCOL 47 (GRE).

Observação Ao adicionar permissões a um recurso em um domínio confiante para usuários em um domínio confiável, existem algumas diferenças entre o comportamento Windows NT 4.0 e Windows 2000. Se o computador não pode exibir uma lista de usuários do domínio remoto, considere o seguinte comportamento:
  • Windows NT 4.0 tenta resolver os nomes digitados manualmente por contatar o PDC para o domínio remoto do usuário (UDP 138). Se Falha de comunicação, um computador com o Windows NT 4.0 contata o próprio PDC e pede uma resolução de nome.
  • Windows 2000 e Windows Server 2003 também tentam contatar o PDC do usuário remoto para resolução sobre UDP 138. No entanto, eles não dependem usando seu próprio PDC. Certifique-se de que todos os servidores membro baseados no Windows 2000 e servidores membro baseados no Windows Server 2003 que estarão concedendo acesso a recursos tenham conectividade UDP 138 ao PDC remoto.
Recursos adicionais
Tcpip

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 179442 - Última Revisão: 08/10/2012 17:40:00 - Revisão: 4.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Windows Web Server 2008 R2

  • kbenv kbhowto kbnetwork kbmt KB179442 KbMtpt
Comentários