如何为域和信任关系的防火墙配置

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 179442
概要
本文介绍如何配置防火墙域和信任关系。

注:在所有情况下要求并不是所有在此表中列出的端口。例如,如果防火墙分隔成员和域控制器,您不必打开 FRS 或 DFSR 端口。此外,如果您知道没有客户端使用 LDAP 的 SSL/TLS,您不必打开端口 636 和 3269。
更多信息
若要通过防火墙建立域信任或安全通道,必须打开下列端口。一定要知道可能存在主机防火墙两侧的客户端和服务器角色正常工作。因此,端口规则可能需要进行镜像。

Windows NT

在此环境中,信任的一侧是 Windows NT 4.0 信任,或使用的 NetBIOS 名称创建信任关系。
客户端端口服务器端口服务
137/UDP137/UDPNetBIOS 名称
138/UDP138/UDPNetBIOS Netlogon 和浏览
1024-65535/TCP每个 TCP 的 139NetBIOS 会话
1024-65535/TCP每个 TCP 的 42WINS 复制

Windows Server 2003 和 Windows 2000 服务器

对于使用 Windows NT 域控制器或旧客户端的混合模式域,信任基于 Windows Server 2003 的域控制器的域和基于 Windows 2000 服务器的域控制器可能需要打开下列端口除了的为 Windows NT 上表中列出的所有端口之间的关系。

注意两个域控制器都在相同林或两个域控制器都位于单独的目录林中。另外,在目录林中的信任都是Windows Server 2003 信任或更高版本的信任关系。
客户端端口服务器端口服务
1024-65535/TCP135/TCPRPC 终结点映射程序
1024-65535/TCP1024-65535/TCPRPC 的 LSA,SAM,Netlogon (*)
1024-65535/TCP/UDP389 TCP/UDPLDAP
1024-65535/TCP每个 TCP 的 636LDAP 的 SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP每个 TCP 的 3269LDAP GC SSL
53,1024-65535/TCP/UDP53 TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP每个 TCP 的 445SMB
1024-65535/TCP1024-65535/TCPFRS RPC (*)
列出为 Windows NT 的 NETBIOS 端口也是 Windows 2000 和 Windows Server 2003 所必需的信任域配置的支持仅限于基于 NETBIOS 的通信。例如,基于 Windows NT 的操作系统或第三方基于 Samba 的域控制器。

(*)有关如何定义由 LSA RPC 服务的 RPC 服务器端口的信息,请参阅以下 Microsoft 知识库文章:

Windows Server 2008 和 Windows Server 2008 R2

Windows Server 2008 和 Windows Server 2008 R2 提高了传出连接的客户端的动态端口范围。新的默认开始端口 49152,且默认结束端口为 65535。因此,您必须在您的防火墙中增加 RPC 端口范围。此更改是为了遵守 Internet 分配编号机构 (IANA) 的建议。这不同于 Windows Server 2003 的域控制器、 基于 Windows 2000 服务器的域控制器,或旧客户端,包括其中默认动态端口范围是通过 5000 1025年混合模式域。

有关在 Windows Server 2008 和 Windows Server 2008 R2 动态端口范围更改的详细信息,请参阅以下资源:
客户端端口服务器端口服务
49152-65535/UDP123/UDPW32Time
49152-65535/TCP135/TCPRPC 终结点映射程序
49152-65535/TCP464/TCP/UDPKerberos 密码更改
49152-65535/TCP49152-65535/TCPRPC 的 LSA,SAM,Netlogon (*)
49152-65535/TCP/UDP389 TCP/UDPLDAP
49152-65535/TCP每个 TCP 的 636LDAP 的 SSL
49152-65535/TCP3268/TCPLDAP GC
49152-65535/TCP每个 TCP 的 3269LDAP GC SSL
53、 49152-65535/TCP/UDP53 TCP/UDPDNS
49152-65535/TCP49152-65535/TCPFRS RPC (*)
49152-65535/TCP/UDP88/TCP/UDPKerberos
49152-65535/TCP/UDP每个 TCP 的 445SMB
49152-65535/TCP49152-65535/TCPDFSR RPC (*)
Windows NT 中列出的 NETBIOS 端口也和所需的 Windows 2000 Server 2003 域信任配置的支持仅限于基于 NETBIOS 的通信时。例如,基于 Windows NT 的操作系统或第三方基于 Samba 的域控制器。

(*)有关如何定义由 LSA RPC 服务的 RPC 服务器端口的信息,请参阅以下 Microsoft 知识库文章:
注:如果您已手动配置 Windows 时间服务同步与服务器通过外部信任,才需要外部信任 123/UDP。

活动目录

在 Windows 2000 和 Windows XP 中,Internet 控制消息协议 (ICMP) 必须允许通过防火墙从客户端的域控制器,以便通过防火墙 活动目录(AD) 组策略客户端可以正常工作。ICMP 用于确定链接是慢速链接还是快速链接。

在 Windows Server 2008 和更高版本中,网络位置感知服务提供基于与其它工作站,在网络上通信的带宽估计值。没有为估计值生成的通信。

Windows 重定向器还使用 ICMP 来验证并建立连接之前,当服务器位于使用 DFS 服务器 IP 解决由 DNS 服务。这适用于 SYSVOL 由域成员的访问。

如果您想要 ICMP 通信量降到最低,您可以使用下面的示例防火墙规则:
<any> ICMP -> DC IP addr = allow

与 TCP 协议层和 UDP 不同协议层,ICMP 没有一个端口号。这是因为 ICMP直接承载 IP 层。

默认情况下,Windows Server 2003 和 Windows 2000 服务器的 DNS 服务器时他们查询其他 DNS 服务器使用临时客户端的端口。但是,可能会由特定的注册表设置来更改此行为。有关详细信息,请参阅 Microsoft 知识库文章 260186: 无法按预期工作发送端口 DNS 注册表项

有关 活动目录(AD) 和防火墙配置的详细信息,请参阅 网络分段的防火墙中的 活动目录(AD)Microsoft 白皮书。或者,您可以建立信任关系通过点对点隧道协议 (PPTP) 强制隧道。这将限制防火墙已打开的端口数。PPTP,必须启用以下端口。
客户端端口服务器端口协议
1024-65535/TCP每个 TCP 的 1723PPTP
此外,您必须启用 IP 协议 47(GRE)。

注意当您添加到受信任域中的用户的信任域上的资源的权限时,有一些 Windows 2000 和 Windows NT 4.0 行为之间的差异。如果计算机不能显示远程域的用户的列表,请考虑以下行为:
  • Windows NT 4.0 尝试通过手动键入的名称解析对于远程用户的域 (UDP 138) 联系 PDC。如果该通信失败,基于 Windows NT 4.0 的计算机联系自己 PDC,和然后询问进行解析的名称。
  • Windows 2000 和 Windows Server 2003 还尝试通过 UDP 138 与远程用户的 PDC 联系进行解析。但是,它们不依赖使用他们自己的 PDC。请确保所有基于 Windows 2000 的成员服务器和将授予对资源的访问权限的基于 Windows Server 2003 的成员服务器具有 UDP 138 连接到远程 PDC。
其他资源
tcpip

Властивості

Ідентифікатор статті: 179442 – останній перегляд: 07/16/2013 06:50:00 – виправлення: 4.1

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Windows Web Server 2008 R2

  • kbenv kbhowto kbnetwork kbmt KB179442 KbMtzh
Зворотний зв’язок