Comment configurer un pare-feu pour les domaines et approbations Active Directory
Cet article explique comment configurer un pare-feu pour les domaines et approbations Active Directory.
Numéro de base de connaissances d’origine : 179442
Note
Tous les ports répertoriés dans les tableaux suivants ne sont pas requis dans tous les scénarios. Par exemple, si le pare-feu sépare les membres et les contrôleurs de domaine, vous n’avez pas à ouvrir les ports FRS ou DFSR. En outre, si vous savez qu’aucun client n’utilise LDAP avec SSL/TLS, vous n’avez pas à ouvrir les ports 636 et 3269.
Plus d’informations
Note
Les deux contrôleurs de domaine se trouvent tous les deux dans la même forêt, ou les deux contrôleurs de domaine se trouvent chacun dans une forêt distincte. En outre, les approbations dans la forêt sont des approbations Windows Server 2003 ou des approbations d'une version ultérieure.
Port(s) client(s) | Port serveur | Service |
---|---|---|
1024-65535/TCP | 135/TCP | Mappeur de point de terminaison RPC |
1024-65535/TCP | 1024-65535/TCP | RPC pour LSA, SAM, NetLogon (*) |
1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
1024-65535/TCP | 636/TCP | LDAP SSL |
1024-65535/TCP | 3268/TCP | LDAP GC |
1024-65535/TCP | 3269/TCP | LDAP GC SSL |
53 1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
1024-65535/TCP | 445/TCP | PME |
1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
Les ports NetBIOS répertoriés pour Windows NT sont également requis pour Windows 2000 et Windows Server 2003 lorsque des approbations à des domaines sont configurées pour prendre en charge uniquement les communications basées sur NetBIOS. Par exemple, systèmes d’exploitation Windows NT ou contrôleurs de domaine tiers basés sur Samba.
Pour plus d’informations sur la définition des ports de serveur RPC utilisés par les services RPC LSA, consultez les ressources suivantes :
- Limitation du trafic RPC Active Directory à un port spécifique.
- Section Contrôleurs de domaine et Active Directory dans l’article Vue d’ensemble des services et exigences de ports réseau pour Windows.
Windows Server 2008 et versions ultérieures
Windows Server 2008 et les versions ultérieures de Windows Server ont augmenté la plage de ports clients dynamiques pour les connexions sortantes. Le nouveau port de début par défaut est 49152 et le nouveau port de fin par défaut est 65535. Par conséquent, vous devez augmenter la plage de ports RPC dans vos pare-feu. Cette modification a été apportée pour respecter les recommandations de l’IANA (Internet Assigned Numbers Authority). Cette situation diffère d’un domaine en mode mixte qui se compose de contrôleurs de domaine Windows Server 2003, de contrôleurs de domaine serveur Windows 2000 ou de clients hérités, où la plage de ports dynamiques par défaut est comprise entre 1025 et 5000.
Pour plus d’informations sur la modification de la plage de ports dynamiques dans Windows Server 2012 et dans Windows Server 2012 R2, consultez les ressources suivantes :
Port(s) client(s) | Port serveur | Service |
---|---|---|
49152-65535/UDP | 123/UDP | W32Time |
49152-65535/TCP | 135/TCP | Mappeur de point de terminaison RPC |
49152-65535/TCP | 464/TCP/UDP | Modification de mot de passe Kerberos |
49152-65535/TCP | 49152-65535/TCP | RPC pour LSA, SAM, NetLogon (*) |
49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
49152-65535/TCP | 636/TCP | LDAP SSL |
49152-65535/TCP | 3268/TCP | LDAP GC |
49152-65535/TCP | 3269/TCP | LDAP GC SSL |
53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
49152-65535/TCP | 49152-65535/TCP | FRS RPC (*) |
49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
49152-65535/TCP/UDP | 445/TCP | SMB (**) |
49152-65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
Les ports NetBIOS répertoriés pour Windows NT sont également requis pour Windows 2000 et Server 2003 quand des approbations à des domaines sont configurées pour ne prendre en charge que les communications NetBIOS. Par exemple, systèmes d’exploitation Windows NT ou contrôleurs de domaine tiers basés sur Samba.
(*) Pour plus d’informations sur la définition des ports serveurs RPC utilisés par les services LSA RPC, consultez les ressources suivantes :
- Limitation du trafic RPC Active Directory à un port spécifique.
- Section Contrôleurs de domaine et Active Directory dans l’article Vue d’ensemble des services et exigences de ports réseau pour Windows.
(**) Ce port n’est pas nécessaire pour le fonctionnement de l’approbation. Il n’est utilisé que pour la création d’approbation.
Note
L’approbation externe 123/UDP n’est nécessaire que si vous avez configuré manuellement le service de temps Windows pour qu’il se synchronise avec un serveur sur l’approbation externe.
Active Directory
Le client Microsoft LDAP utilise le test Ping ICMP quand une requête LDAP est en attente pendant une période prolongée et qu’il attend une réponse. Il envoie des demandes ping pour vérifier que le serveur est toujours présent sur le réseau. S’il ne reçoit pas de réponses ping, la demande LDAP échoue avec LDAP_TIMEOUT.
Le redirecteur Windows utilise également des messages Ping ICMP pour vérifier qu’une adresse IP de serveur est résolue par le service DNS avant l’établissement d’une connexion, ainsi que quand un serveur est localisé à l’aide du service DFS. Si vous souhaitez réduire le trafic ICMP, vous pouvez utiliser l’exemple de règle de pare-feu suivant :
<any> ICMP -> DC IP addr = allow
Contrairement aux couches de protocole TCP et UDP, ICMP n’a pas de numéro de port, car il est hébergé directement par la couche IP.
Par défaut, les serveurs DNS Windows Server 2003 et Windows 2000 Server utilisent des ports côté client éphémères quand ils interrogent d’autres serveurs DNS. Toutefois, ce comportement peut être modifié par un paramètre de Registre spécifique. Vous pouvez également établir une approbation via le tunnel obligatoire PPTP (Point-to-Point Tunneling Protocol) pour limiter le nombre de ports que le pare-feu doit ouvrir. Pour PPTP, les ports ci-dessous doivent être activés.
Ports clients | Port serveur | Protocol |
---|---|---|
1024-65535/TCP | 1723/TCP | PPTP |
En outre, vous devez activer IP PROTOCOL 47 (GRE).
Note
Quand vous ajoutez des autorisations à une ressource sur un domaine d’approbation pour les utilisateurs d’un domaine approuvé, il existe des différences entre le comportement dans Windows 2000 et celui dans Windows NT 4.0. Si l’ordinateur ne peut pas afficher la liste des utilisateurs du domaine distant, tenez compte du comportement suivant :
- Windows NT 4.0 tente de résoudre les noms entrés manuellement en contactant le contrôleur de domaine principal (CDP) pour le domaine de l’utilisateur distant (UDP 138). Si cette communication échoue, un ordinateur Windows NT 4.0 contacte son propre CDP, puis demande la résolution du nom.
- Windows 2000 et Windows Server 2003 tentent également de contacter le CDP de l’utilisateur distant pour une résolution sur le port UDP 138. Toutefois, ils n’utilisent pas leur propre CDP. Veillez à ce que tous les serveurs membres Windows 2000 et Windows Server 2003 qui accorderont l’accès aux ressources disposent d’une connectivité UDP 138 au CDP distant.
Référence
L’article Vue d’ensemble des services et exigences de ports réseau pour Windows décrit les ports, protocoles et services réseau obligatoires utilisés par les systèmes d’exploitation client et serveur Microsoft, les programmes serveurs et leurs sous-composants dans le système Microsoft Windows Server. Les administrateurs et les professionnels de support peuvent utiliser cet article comme feuille de route pour déterminer quels ports et protocoles sont nécessaires aux systèmes d’exploitation Microsoft et aux programmes pour la connectivité réseau dans un réseau segmenté.
N’utilisez pas les informations sur les ports fournies dans l’article Vue d’ensemble des services et exigences de ports réseau pour Windows pour configurer le Pare-feu Windows. Pour plus d’informations sur la configuration du Pare-feu Windows, consultez l’article Windows Firewall with Advanced Security (en anglais uniquement).