Como configurar um firewall para domínios e relações de confiança do Active Directory
Como configurar um firewall para domínios e relações de confiança do Active Directory
Gostaríamos de fornecer o conteúdo da ajuda mais recente, do modo mais rápido possível, no seu próprio idioma. Esta página foi traduzida por meio de automação e pode conter erros gramaticais ou imprecisões. Nosso objetivo é que esse conteúdo seja útil para você. Você pode nos informar se as informações foram úteis para você na parte inferior desta página?
Ler o artigo em inglês: 179442
Resumo
Observação:
Nem todas as portas listadas nas tabelas são necessárias em todos os cenários. Por exemplo, se o firewall separar Membros e DCs, não será necessário abrir as portas FRS ou DFSR. Além disso, se você sabe que nenhum cliente usa LDAP com SSL/TLS, não é necessário abrir as portas 636 e 3269.
Informações adicionais
Observação
Os dois controladores de domínio estão na mesma floresta ou os dois controladores de domínio estão em uma floresta separada. Além disso, as relações de confiança na floresta são relações de confiança do Windows Server 2003 ou versões posteriores.
Porta (s) do cliente | Porta do servidor | Serviço |
---|---|---|
1024-65535/TCP | 135/TCP | Mapeador de ponto de extremidade RPC |
1024-65535/TCP | 1024-65535/TCP | RPC para LSA, SAM, Netlogon (*) |
1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
1024-65535/TCP | 636/TCP | LDAP SSL |
1024-65535/TCP | 3268/TCP | GC DE LDAP |
1024-65535/TCP | 3269/TCP | SSL GC DE LDAP |
53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
1024-65535/TCP | 445/TCP | SMB |
1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
- 224196: restringindo o tráfego de duplicação do Active Directory e o tráfego de RPC do cliente para uma porta específica
- Seção "controladores de domínio e Active Directory" em 832017: visão geral do serviço e requisitos de porta de rede para o sistema Windows Server
Windows Server 2008 e versões posteriores
As versões mais recentes do Windows Server 2008 do Windows Server aumentaram o intervalo de porta do cliente dinâmico para conexões de saída. A nova porta inicial padrão é o 49152 e a porta final padrão é 65535. Portanto, você deve aumentar o intervalo de porta RPC nos seus firewalls. Essa alteração foi feita para estar em conformidade com as recomendações da IANA (Internet Assigned Numbers Authority). Isso é diferente de um domínio de modo misto que consiste em controladores de domínio do Windows Server 2003, controladores de domínio baseados no Windows 2000 Server ou clientes herdados, em que o intervalo de porta dinâmica padrão é de 1025 a 5000. Para obter mais informações sobre a alteração de intervalo de porta dinâmica no Windows Server 2008, no Windows Server 2012 e no Windows Server 2012 R2, consulte os seguintes recursos:- Artigo 929851 da base de dados de conhecimento Microsoft : o intervalo de portas dinâmicas padrão para TCP/IP foi alterado no Windows Vista e no Windows Server 2008
- Pergunte ao artigo do blog da equipe de serviços de diretório portas cliente dinâmicas no Windows Server 2008 e no Windows Vista
Porta (s) do cliente | Porta do servidor | Serviço |
---|---|---|
49152-65535/UDP | 123/UDP | W32Time |
49152-65535/TCP | 135/TCP | Mapeador de ponto de extremidade RPC |
49152-65535/TCP | 464/TCP/UDP | Alteração de senha Kerberos |
49152-65535/TCP | 49152-65535/TCP | RPC para LSA, SAM, Netlogon (*) |
49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
49152-65535/TCP | 636/TCP | LDAP SSL |
49152-65535/TCP | 3268/TCP | GC DE LDAP |
49152-65535/TCP | 3269/TCP | SSL GC DE LDAP |
53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
49152-65535/TCP | 49152-65535/TCP | FRS RPC (*) |
49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
49152-65535/TCP/UDP | 445/TCP | SMB (* *) |
49152-65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
- 224196: restringindo o tráfego de duplicação do Active Directory e o tráfego de RPC do cliente para uma porta específica
- Seção "controladores de domínio e Active Directory" em 832017: visão geral do serviço e requisitos de porta de rede para o sistema Windows Server
Observação
A confiança externa 123/UDP só será necessária se você tiver configurado manualmente o serviço de tempo do Windows para sincronizar com um servidor na relação de confiança externa.
Active Directory
No Windows 2000 e no Windows XP, o protocolo ICMP (Internet Control Message Protocol) deve ser permitido pelo firewall dos clientes para os controladores de domínio para que o cliente de política de grupo do Active Directory possa funcionar corretamente por meio de um firewall. O ICMP é usado para determinar se o link é lento ou um link rápido. No Windows Server 2008 e versões posteriores, o serviço de reconhecimento de local de rede fornece a estimativa de largura de banda com base no tráfego com outras estações na rede. Não há tráfego gerado para a previsão.
O redirecionador do Windows também usa mensagens de ping ICMP para verificar se um IP do servidor é resolvido pelo serviço DNS antes de uma conexão ser feita e quando um servidor é localizado usando o DFS.
Se quiser minimizar o tráfego ICMP, você pode usar a seguinte regra de firewall de exemplo:<any> ICMP -> DC IP addr = allow
Portas do cliente | Porta do servidor | Protocolo |
---|---|---|
1024-65535/TCP | 1723/TCP | PPTP |
Além disso, você precisaria habilitar o protocolo IP 47 (GRE).
Observação
Quando você adiciona permissões a um recurso em um domínio confiante para usuários em um domínio confiável, existem algumas diferenças entre o comportamento do Windows 2000 e do Windows NT 4,0. Se o computador não puder exibir uma lista de usuários do domínio remoto, considere o seguinte comportamento:
- O Windows NT 4,0 tenta resolver nomes digitados manualmente ao entrar em contato com o PDC para o domínio do usuário remoto (UDP 138). Se essa comunicação falhar, um computador baseado no Windows NT 4,0 entrará em contato com o próprio PDC e solicitará a resolução do nome.
- O Windows 2000 e o Windows Server 2003 também tentam entrar em contato com o PDC do usuário remoto para obter resolução sobre UDP 138. No entanto, eles não dependem de usar o próprio PDC. Certifique-se de que todos os servidores membro baseados no Windows 2000 e os servidores membro baseados no Windows Server 2003 que concederão acesso a recursos tenham a conectividade UDP 138 para o PDC remoto.