Como configurar um firewall para domínios e relações de confiança do Active Directory

Fonte: https://support.microsoft.com/pt-br/help/179442/how-to-configure-a-firewall-for-domains-and-trusts , em 29/06/2020

Como configurar um firewall para domínios e relações de confiança do Active Directory

Aplica-se a: Windows Server 2008 StandardWindows Server 2008 R2 StandardMicrosoft Windows Server 2003 Standard Edition (32-bit x86) Mais

Gostaríamos de fornecer o conteúdo da ajuda mais recente, do modo mais rápido possível, no seu próprio idioma. Esta página foi traduzida por meio de automação e pode conter erros gramaticais ou imprecisões. Nosso objetivo é que esse conteúdo seja útil para você. Você pode nos informar se as informações foram úteis para você na parte inferior desta página?

Ler o artigo em inglês: 179442

Resumo

Este artigo descreve como configurar um firewall para domínios e relações de confiança do Active Directory.

Observação:

Nem todas as portas listadas nas tabelas são necessárias em todos os cenários. Por exemplo, se o firewall separar Membros e DCs, não será necessário abrir as portas FRS ou DFSR. Além disso, se você sabe que nenhum cliente usa LDAP com SSL/TLS, não é necessário abrir as portas 636 e 3269.

Informações adicionais

Observação

Os dois controladores de domínio estão na mesma floresta ou os dois controladores de domínio estão em uma floresta separada. Além disso, as relações de confiança na floresta são relações de confiança do Windows Server 2003 ou versões posteriores.

Porta (s) do cliente	Porta do servidor	Serviço
1024-65535/TCP	135/TCP	Mapeador de ponto de extremidade RPC
1024-65535/TCP	1024-65535/TCP	RPC para LSA, SAM, Netlogon (*)
1024-65535/TCP/UDP	389/TCP/UDP	LDAP
1024-65535/TCP	636/TCP	LDAP SSL
1024-65535/TCP	3268/TCP	GC DE LDAP
1024-65535/TCP	3269/TCP	SSL GC DE LDAP
53,1024-65535/TCP/UDP	53/TCP/UDP	DNS
1024-65535/TCP/UDP	88/TCP/UDP	Kerberos
1024-65535/TCP	445/TCP	SMB
1024-65535/TCP	1024-65535/TCP	FRS RPC (*)

As portas NETBIOS, conforme listadas para Windows NT, também são necessárias para Windows 2000 e Windows Server 2003 quando são configuradas relações de confiança com os domínios que dão suporte somente à comunicação baseada em NETBIOS. Exemplos são sistemas operacionais baseados no Windows NT ou controladores de domínio de terceiros baseados no samba. (*) Para obter informações sobre como definir as portas do servidor de RPC usadas pelos serviços de RPC do LSA, consulte os seguintes artigos da base de dados de conhecimento Microsoft:

224196: restringindo o tráfego de duplicação do Active Directory e o tráfego de RPC do cliente para uma porta específica
Seção "controladores de domínio e Active Directory" em 832017: visão geral do serviço e requisitos de porta de rede para o sistema Windows Server

Windows Server 2008 e versões posteriores

As versões mais recentes do Windows Server 2008 do Windows Server aumentaram o intervalo de porta do cliente dinâmico para conexões de saída. A nova porta inicial padrão é o 49152 e a porta final padrão é 65535. Portanto, você deve aumentar o intervalo de porta RPC nos seus firewalls. Essa alteração foi feita para estar em conformidade com as recomendações da IANA (Internet Assigned Numbers Authority). Isso é diferente de um domínio de modo misto que consiste em controladores de domínio do Windows Server 2003, controladores de domínio baseados no Windows 2000 Server ou clientes herdados, em que o intervalo de porta dinâmica padrão é de 1025 a 5000. Para obter mais informações sobre a alteração de intervalo de porta dinâmica no Windows Server 2008, no Windows Server 2012 e no Windows Server 2012 R2, consulte os seguintes recursos:

Artigo 929851 da base de dados de conhecimento Microsoft : o intervalo de portas dinâmicas padrão para TCP/IP foi alterado no Windows Vista e no Windows Server 2008
Pergunte ao artigo do blog da equipe de serviços de diretório portas cliente dinâmicas no Windows Server 2008 e no Windows Vista

Porta (s) do cliente	Porta do servidor	Serviço
49152-65535/UDP	123/UDP	W32Time
49152-65535/TCP	135/TCP	Mapeador de ponto de extremidade RPC
49152-65535/TCP	464/TCP/UDP	Alteração de senha Kerberos
49152-65535/TCP	49152-65535/TCP	RPC para LSA, SAM, Netlogon (*)
49152-65535/TCP/UDP	389/TCP/UDP	LDAP
49152-65535/TCP	636/TCP	LDAP SSL
49152-65535/TCP	3268/TCP	GC DE LDAP
49152-65535/TCP	3269/TCP	SSL GC DE LDAP
53, 49152-65535/TCP/UDP	53/TCP/UDP	DNS
49152-65535/TCP	49152-65535/TCP	FRS RPC (*)
49152-65535/TCP/UDP	88/TCP/UDP	Kerberos
49152-65535/TCP/UDP	445/TCP	SMB (* *)
49152-65535/TCP	49152-65535/TCP	DFSR RPC (*)

As portas NETBIOS, conforme listadas para Windows NT, também são necessárias para Windows 2000 e Server 2003 quando são configuradas relações de confiança para domínios que dão suporte somente à comunicação baseada em NETBIOS. Exemplos são sistemas operacionais baseados no Windows NT ou controladores de domínio de terceiros baseados no samba. (*) Para obter informações sobre como definir as portas do servidor de RPC usadas pelos serviços de RPC do LSA, consulte os seguintes artigos da base de dados de conhecimento Microsoft:

224196: restringindo o tráfego de duplicação do Active Directory e o tráfego de RPC do cliente para uma porta específica
Seção "controladores de domínio e Active Directory" em 832017: visão geral do serviço e requisitos de porta de rede para o sistema Windows Server

(**) Para a operação da confiabilidade em que essa porta não é necessária, ela é usada somente para criação de confiança.

Observação

A confiança externa 123/UDP só será necessária se você tiver configurado manualmente o serviço de tempo do Windows para sincronizar com um servidor na relação de confiança externa.

Active Directory

No Windows 2000 e no Windows XP, o protocolo ICMP (Internet Control Message Protocol) deve ser permitido pelo firewall dos clientes para os controladores de domínio para que o cliente de política de grupo do Active Directory possa funcionar corretamente por meio de um firewall. O ICMP é usado para determinar se o link é lento ou um link rápido. No Windows Server 2008 e versões posteriores, o serviço de reconhecimento de local de rede fornece a estimativa de largura de banda com base no tráfego com outras estações na rede. Não há tráfego gerado para a previsão.

O redirecionador do Windows também usa mensagens de ping ICMP para verificar se um IP do servidor é resolvido pelo serviço DNS antes de uma conexão ser feita e quando um servidor é localizado usando o DFS.

Se quiser minimizar o tráfego ICMP, você pode usar a seguinte regra de firewall de exemplo:

<any> ICMP -> DC IP addr = allow

Ao contrário da camada de protocolo TCP e da camada de protocolo UDP, o ICMP não tem um número de porta. Isso ocorre porque o ICMP é hospedado diretamente pela camada de IP. Por padrão, os servidores DNS do Windows Server 2003 e do Windows 2000 Server usam portas efêmeras do lado do cliente quando consultam outros servidores DNS. No entanto, esse comportamento pode ser alterado por uma configuração específica do registro. Para obter mais informações, consulte o artigo 260186 da base de dados de conhecimento Microsoft : a chave do registro DNS SendPort não funciona como esperado

Ou você pode estabelecer uma relação de confiança por meio do encapsulamento compulsório PPTP (protocolo de encapsulamento ponto a ponto). Isso limita o número de portas que o firewall tem que abrir. Para PPTP, as seguintes portas devem estar habilitadas.

Portas do cliente	Porta do servidor	Protocolo
1024-65535/TCP	1723/TCP	PPTP

Além disso, você precisaria habilitar o protocolo IP 47 (GRE).

Observação

Quando você adiciona permissões a um recurso em um domínio confiante para usuários em um domínio confiável, existem algumas diferenças entre o comportamento do Windows 2000 e do Windows NT 4,0. Se o computador não puder exibir uma lista de usuários do domínio remoto, considere o seguinte comportamento:

O Windows NT 4,0 tenta resolver nomes digitados manualmente ao entrar em contato com o PDC para o domínio do usuário remoto (UDP 138). Se essa comunicação falhar, um computador baseado no Windows NT 4,0 entrará em contato com o próprio PDC e solicitará a resolução do nome.
O Windows 2000 e o Windows Server 2003 também tentam entrar em contato com o PDC do usuário remoto para obter resolução sobre UDP 138. No entanto, eles não dependem de usar o próprio PDC. Certifique-se de que todos os servidores membro baseados no Windows 2000 e os servidores membro baseados no Windows Server 2003 que concederão acesso a recursos tenham a conectividade UDP 138 para o PDC remoto.

Referência

832017: os requisitos de visão geral do serviço e de porta de rede para o Windows Server System são um recurso valioso que descreve as portas de rede, os protocolos e os serviços necessários que são usados pelos sistemas operacionais de cliente e servidor da Microsoft, programas baseados em servidor e os subcomponentes do sistema Microsoft Windows Server. Administradores e profissionais de suporte podem usar este artigo da base de dados de conhecimento Microsoft como um mapa para determinar quais portas e protocolos os sistemas operacionais e programas da Microsoft exigem para conectividade de rede em uma rede segmentada. Você não deve usar as informações de porta no artigo 832017 da base de dados de conhecimento para configurar o Firewall do Windows. Para obter informações sobre como configurar o Firewall do Windows, consulte o seguinte site da Microsoft:

Tecnologias de rede e acesso: Firewall do Windows