如何为Active Directory域和信任关系配置防火墙
适用于: Windows Server 2008 Standard Windows Server 2008 R2 Standard Microsoft Windows Server 2003 Standard Edition(32位x86)更多
摘要
本文介绍如何为Active Directory域和信任关系配置防火墙。
注意:
并非在所有情况下都需要此处表中列出的所有端口。例如,如果防火墙将成员和DC分开,则不必打开FRS或DFSR端口。另外,如果您知道没有客户端使用带有SSL / TLS的LDAP,则不必打开端口636和3269。
更多信息
注意
两个域控制器都在同一林中,或者两个域控制器都在单独的林中。此外,林中的信任是Windows Server 2003信任或更高版本的信任。
| 客户端端口 |
服务器端口 |
服务 |
| 1024-65535/TCP |
135/TCP |
RPC Endpoint Mapper |
| 1024-65535/TCP |
1024-65535/TCP |
RPC for LSA, SAM, Netlogon (*) |
| 1024-65535/TCP/UDP |
389/TCP/UDP |
LDAP |
| 1024-65535/TCP |
636/TCP |
LDAP SSL |
| 1024-65535/TCP |
3268/TCP |
LDAP GC |
| 1024-65535/TCP |
3269/TCP |
LDAP GC SSL |
| 53,1024-65535/TCP/UDP |
53/TCP/UDP |
DNS |
| 1024-65535/TCP/UDP |
88/TCP/UDP |
Kerberos |
| 1024-65535/TCP |
445/TCP |
SMB |
| 1024-65535/TCP |
1024-65535/TCP |
FRS RPC (*) |
当配置对域的信任仅支持基于NETBIOS的通信时,Windows 2000和Windows Server 2003也需要Windows NT列出的NETBIOS端口。示例是基于Windows NT的操作系统或基于Samba的第三方域控制器。
(*)有关如何定义由LSA RPC服务使用的RPC服务器端口的信息,请参阅以下Microsoft知识库文章:
- 224196:限制Active Directory复制流量和客户端RPC流量到特定端口
- 832017中的 “域控制器和Active Directory”部分 :Windows Server系统的服务概述和网络端口要求
Windows Server 2008和更高版本
Windows Server 2008的Windows Server较新版本增加了传出连接的动态客户端端口范围。新的默认起始端口为49152,默认终止端口为65535。因此,必须在防火墙中增加RPC端口范围。进行此更改是为了符合Internet号码分配机构(IANA)的建议。这不同于由Windows Server 2003域控制器,基于Windows 2000 Server的域控制器或旧式客户端组成的混合模式域,在这些混合模式域中,默认动态端口范围是1025至5000。
有关动态端口范围更改的详细信息,请参见Windows Server 2008,Windows Server 2012和Windows Server 2012 R2,请参阅以下资源:
- Microsoft知识库文章929851:TCP / IP的默认动态端口范围在Windows Vista和Windows Server 2008中已更改
- 询问目录服务团队博客文章 Windows Server 2008和Windows Vista中的动态客户端端口
| 客户端端口 |
服务器端口 |
服务 |
| 49152 -65535/UDP |
123/UDP |
W32Time |
| 49152 -65535/TCP |
135/TCP |
RPC Endpoint Mapper |
| 49152 -65535/TCP |
464/TCP/UDP |
Kerberos password change |
| 49152 -65535/TCP |
49152-65535/TCP |
RPC for LSA, SAM, Netlogon (*) |
| 49152 -65535/TCP/UDP |
389/TCP/UDP |
LDAP |
| 49152 -65535/TCP |
636/TCP |
LDAP SSL |
| 49152 -65535/TCP |
3268/TCP |
LDAP GC |
| 49152 -65535/TCP |
3269/TCP |
LDAP GC SSL |
| 53, 49152 -65535/TCP/UDP |
53/TCP/UDP |
DNS |
| 49152 -65535/TCP |
49152 -65535/TCP |
FRS RPC (*) |
| 49152 -65535/TCP/UDP |
88/TCP/UDP |
Kerberos |
| 49152 -65535/TCP/UDP |
445/TCP |
SMB (**) |
| 49152 -65535/TCP |
49152-65535/TCP |
DFSR RPC (*) |
当配置对域的信任仅支持基于NETBIOS的通信时,Windows 2000和Server 2003也需要Windows NT列出的NETBIOS端口。示例是基于Windows NT的操作系统或基于Samba的第三方域控制器。
(*)有关如何定义由LSA RPC服务使用的RPC服务器端口的信息,请参阅以下Microsoft知识库文章:
- 224196:限制Active Directory复制流量和客户端RPC流量到特定端口
- 832017中的 “域控制器和Active Directory”部分 :Windows Server系统的服务概述和网络端口要求
(**)对于信任操作,此端口不是必需的,它仅用于信任创建。
注意
仅当您手动配置了Windows时间服务以跨外部信任与服务器同步时,才需要外部信任123 / UDP。
活动目录
在Windows 2000和Windows XP中,必须允许Internet控制消息协议(ICMP)从客户端到域控制器通过防火墙,以便Active Directory组策略客户端可以通过防火墙正常运行。ICMP用于确定链接是慢速链接还是快速链接。
在Windows Server 2008和更高版本中,“网络位置感知服务”会根据与网络上其他工作站的通信量来提供带宽估计。没有为该估算值生成流量。
Windows重定向器还使用ICMP Ping消息来验证建立连接之前以及使用DFS定位服务器时DNS服务器已解析服务器IP。
如果要最小化ICMP流量,可以使用以下示例防火墙规则:
<任何> ICMP-> DC IP地址=允许
与TCP协议层和UDP协议层不同,ICMP没有端口号。这是因为ICMP由IP层直接托管。
默认情况下,Windows Server 2003和Windows 2000 Server DNS服务器在查询其他DNS服务器时使用临时客户端端口。但是,此行为可以通过特定的注册表设置来更改。有关详细信息,请参阅Microsoft知识库文章260186:SendPort DNS注册表项无法按预期工作。
有关Active Directory和防火墙配置的详细信息,请参阅“ 按防火墙划分的网络中的Active Directory” Microsoft白皮书。
或者,您可以通过点对点隧道协议(PPTP)强制隧道建立信任关系。这限制了防火墙必须打开的端口数。对于PPTP,必须启用以下端口。
| 客户端端口 |
服务器端口 |
协议 |
| 1024-65535 / TCP |
1723 / TCP |
PPTP |
此外,您必须启用IP协议47(GRE)。
注意
当您向受信任域中的用户向信任域中的资源添加权限时,Windows 2000和Windows NT 4.0行为之间会有一些区别。如果计算机无法显示远程域的用户列表,请考虑以下行为:
- Windows NT 4.0尝试通过联系远程用户域的PDC(UDP 138)来解析手动键入的名称。如果该通信失败,则基于Windows NT 4.0的计算机将联系其自己的PDC,然后请求解析该名称。
- Windows 2000和Windows Server 2003还尝试联系远程用户的PDC以通过UDP 138进行解析。但是,它们并不依赖于使用自己的PDC。确保所有将授予资源访问权限的基于Windows 2000的成员服务器和基于Windows Server 2003的成员服务器都具有与远程PDC的UDP 138连接。
参考
832017:Windows Server系统的服务概述和网络端口要求 是宝贵的资源,概述了Microsoft客户端和服务器操作系统,Microsoft Windows中基于服务器的程序及其子组件所使用的必需网络端口,协议和服务服务器系统。管理员和支持专业人员可以使用此Microsoft知识库文章作为路线图,以确定Microsoft操作系统和程序为分段网络中的网络连接需要哪些端口和协议。
您不应使用知识库文章832017中的端口信息来配置Windows防火墙。有关如何配置Windows防火墙的信息,请访问下面的Microsoft网站:
