Konfigurieren einer Firewall für Domänen und Vertrauensstellungen von Active Directory
In diesem Artikel wird beschrieben, wie Sie eine Firewall für Active Directory-Domänen und -Vertrauensstellungen konfigurieren.
Ursprüngliche KB-Nummer: 179442
Notiz
Nicht alle Ports, die in den hier aufgeführten Tabellen aufgeführt sind, sind in allen Szenarien erforderlich. Wenn die Firewall beispielsweise Mitglieder und DCs trennt, müssen Sie die FRS- oder DFSR-Ports nicht öffnen. Wenn Sie außerdem wissen, dass keine Clients LDAP mit SSL/TLS verwenden, müssen Sie die Ports 636 und 3269 nicht öffnen.
Weitere Informationen
Notiz
Die beiden Domänencontroller befinden sich beide in derselben Gesamtstruktur, oder die beiden Domänencontroller befinden sich beide in getrennten Gesamtstrukturen. Außerdem sind die Vertrauensstellungen in der Gesamtstruktur Vertrauensstellungen von Windows Server 2003 oder neueren Versionen.
Clientport(s) | Serverport | Dienst |
---|---|---|
1024-65535/TCP | 135/TCP | RPC-Endpunktzuordnung |
1024-65535/TCP | 1024-65535/TCP | RPC für LSA, SAM, NetLogon (*) |
1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
1024-65535/TCP | 636/TCP | LDAP SSL |
1024-65535/TCP | 3268/TCP | LDAP GC |
1024-65535/TCP | 3269/TCP | LDAP GC SSL |
53.1024-65535/TCP/UDP | 53/TCP/UDP | Domain Name System |
1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
1024-65535/TCP | 445/TCP | SMB |
1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
NetBIOS-Ports, wie sie für Windows NT aufgeführt sind, sind auch für Windows 2000 und Windows Server 2003 erforderlich, wenn Domänenvertrauensstellungen konfiguriert sind, die nur die NetBIOS-basierte Kommunikation unterstützen. Beispiele sind Windows NT-basierte Betriebssysteme oder Domänencontroller von Drittanbietern, die auf Samba basieren.
Weitere Informationen zum Definieren von RPC-Serverports, die von den LSA RPC-Diensten verwendet werden, finden Sie unter:
- Beschränken des Active Directory-RPC-Datenverkehrs auf einen bestimmten Port.
- Der Abschnitt „Domänencontroller und Active Directory“ in Dienstübersicht und Netzwerkportanforderungen für Windows.
Windows Server 2008 und höhere Versionen
Windows Server 2008 neuere Versionen von Windows Server haben den dynamischen Clientportbereich für ausgehende Verbindungen erhöht. Der neue Standardanfangsport ist 49152, und der neue Standardendport ist 65535. Daher müssen Sie den RPC-Portbereich in Ihren Firewalls erhöhen. Diese Änderung wurde vorgenommen, um den Empfehlungen der Internet Assigned Numbers Authority (IANA) zu entsprechen. Dies unterscheidet sich von einer Domäne mit gemischtem Modus, die aus Windows Server 2003-Domänencontrollern, Windows 2000 serverbasierten Domänencontrollern oder Legacyclients besteht, wobei der standardmäßige dynamische Portbereich 1025 bis 5000 ist.
Weitere Informationen zur Änderung des dynamischen Portbereichs in Windows Server 2012 und Windows Server 2012 R2 finden Sie unter:
- Der standardmäßige dynamische Portbereich für TCP/IP hat sich geändert.
- Dynamische Ports in Windows Server.
Clientport(s) | Serverport | Dienst |
---|---|---|
49152-65535/UDP | 123/UDP | W32Time |
49152-65535/TCP | 135/TCP | RPC-Endpunktzuordnung |
49152-65535/TCP | 464/TCP/UDP | Kerberos Passwort-Änderung |
49152-65535/TCP | 49152-65535/TCP | RPC für LSA, SAM, NetLogon (*) |
49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
49152-65535/TCP | 636/TCP | LDAP SSL |
49152-65535/TCP | 3268/TCP | LDAP GC |
49152-65535/TCP | 3269/TCP | LDAP GC SSL |
53, 49152-65535/TCP/UDP | 53/TCP/UDP | Domain Name System |
49152-65535/TCP | 49152-65535/TCP | FRS RPC (*) |
49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
49152-65535/TCP/UDP | 445/TCP | SMB (**) |
49152-65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
NetBIOS-Ports, wie sie für Windows NT aufgeführt sind, sind auch für Windows 2000 und Server 2003 erforderlich, wenn Domänenvertrauensstellungen konfiguriert sind, die nur die NetBIOS-basierte Kommunikation unterstützen. Beispiele sind Windows NT-basierte Betriebssysteme oder Domänencontroller von Drittanbietern, die auf Samba basieren.
(*) Informationen zum Definieren von RPC-Serverports, die von den LSA-RPC-Diensten verwendet werden, finden Sie unter:
- Beschränken des Active Directory-RPC-Datenverkehrs auf einen bestimmten Port.
- Der Abschnitt „Domänencontroller und Active Directory“ in Dienstübersicht und Netzwerkportanforderungen für Windows.
(**) Für den Betrieb der Vertrauensstellung ist dieser Port nicht erforderlich, er wird nur zur Erstellung verwendet.
Notiz
Externe Vertrauensstellung 123/UDP ist nur erforderlich, wenn Sie den Windows Time Service für die Synchronisierung mit einem Server über die externe Vertrauensstellung manuell konfiguriert haben.
Active Directory
Der Microsoft LDAP-Client verwendet ICMP-Ping, wenn eine LDAP-Anforderung für längere Zeit aussteht und auf eine Antwort wartet. Es sendet Pinganforderungen, um zu überprüfen, ob sich der Server noch im Netzwerk befindet. Wenn keine Pingantworten empfangen werden, schlägt die LDAP-Anforderung mit LDAP_TIMEOUT fehl.
Der Windows Redirector verwendet auch ICMP-Pingnachrichten, um zu überprüfen, ob eine Server-IP vom DNS-Dienst aufgelöst wird, bevor eine Verbindung hergestellt wird, und wenn ein Server mithilfe von DFS gefunden wird. Wenn Sie den ICMP-Datenverkehr minimieren möchten, können Sie die folgende Beispielfirewallregel verwenden:
<any> ICMP -> DC IP addr = allow
Im Gegensatz zu TCP-Protokollebene und UDP-Protokollschicht verfügt ICMP nicht über eine Portnummer. Dies liegt daran, dass ICMP direkt von der IP-Ebene gehostet wird.
Standardmäßig verwenden DNS-Server von Windows Server 2003 und Windows 2000 Server kurzlebige clientseitige Ports, wenn sie andere DNS-Server abfragen. Dieses Verhalten kann jedoch durch eine bestimmte Registrierungseinstellung geändert werden. Oder Sie können eine Vertrauensstellung über den verpflichtenden PpTP-Tunnel (Point-to-Point Tunneling Protocol) einrichten. Dadurch wird die Anzahl der Ports begrenzt, die der Firewall öffnen muss. Für PPTP müssen die folgenden Ports aktiviert sein.
Clientports | Serverport | Protokoll |
---|---|---|
1024-65535/TCP | 1723/TCP | PPTP |
Darüber hinaus müssten Sie IP PROTOCOL 47 (GRE) aktivieren.
Notiz
Wenn Sie zu einer Ressource in einer vertrauenswürdigen Domäne Berechtigungen für Benutzer in einer vertrauenswürdigen Domäne hinzufügen, gibt es einige Unterschiede zwischen dem Verhalten von Windows 2000 und Windows NT 4.0. Wenn der Computer keine Liste der Benutzer der Remotedomäne anzeigen kann, sollten Sie folgendes Verhalten berücksichtigen:
- Windows NT 4.0 versucht, manuell eingegebene Namen aufzulösen, indem die PDC für die Domäne des Remotebenutzers (UDP 138) kontaktiert wird. Wenn diese Kommunikation fehlschlägt, kontaktiert ein Windows NT 4.0-basierter Computer seine eigene PDC und fordert dann die Auflösung des Namens an.
- Windows 2000 und Windows Server 2003 versuchen außerdem, die PDC des Remotebenutzers zur Auflösung über UDP 138 zu kontaktieren. Sie verlassen sich jedoch nicht auf die Verwendung ihrer eigenen PDC. Stellen Sie sicher, dass alle Windows 2000-basierten Mitgliedsserver und Windows Server 2003-basierten Mitgliedsserver, die Zugriff auf Ressourcen gewähren, über UDP 138-Verbindungen mit der Remote-PDC verfügen.
Verweis
Dienste-Übersicht und Netzwerkport-Anforderungen für Windows In diesem Artikel werden die erforderlichen Netzwerkports, -protokolle und -dienste beschrieben, die von Microsoft-Client- und Serverbetriebssystemen, serverbasierten Programmen und deren Unterkomponenten im Microsoft Windows-Serversystem verwendet werden. Administratoren und Supportmitarbeiter können sich in diesem Artikel einen Überblick darüber verschaffen, welche Ports und Protokolle Microsoft-Betriebssysteme und Programme für die Netzwerkkonnektivität in einem segmentierten Netzwerk benötigen.
Sie sollten die Portinformationen in Dienstübersicht und den Netzwerkportanforderungen für Windows nicht verwenden, um Windows Firewall zu konfigurieren. Weitere Informationen zum Konfigurieren von Windows-Firewall finden Sie auf Windows Firewall mit erweiterter Sicherheit.