Condividi tramite


Come configurare un firewall per i domini e i trust di Active Directory

Questo articolo descrive come configurare un firewall per i domini e i trust di Active Directory.

Numero KB originale: 179442

Note

Non tutte le porte elencate nelle tabelle sono necessarie in tutti gli scenari. Ad esempio, se il firewall separa membri e controller di dominio, non è necessario aprire le porte FRS o DFSR. Inoltre, se si sa che nessun client utilizza LDAP con SSL/TLS, non è necessario aprire le porte 636 e 3269.

Ulteriori informazioni

Note

I due controller di dominio si trovano entrambi nella stessa foresta, oppure i due controller di dominio si trovano entrambi in una foresta separata. Inoltre, i trust nella foresta sono trust di Windows Server 2003 o versioni successive.

Porte client Porta server Service
1024-65535/TCP 135/TCP Agente mapping endpoint RPC
1024-65535/TCP 1024-65535/TCP RPC per LSA, SAM, NetLogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP GC LDAP
1024-65535/TCP 3269/TCP SSL per GC LDAP
53.1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS RPC (*)

Le porte NetBIOS elencate per Windows NT sono necessarie anche per Windows 2000 e Windows Server 2003 quando vengono configurati i trust ai domini che supportano solo le comunicazioni basate su NetBIOS. Ad esempio, i sistemi operativi Windows basati su NT oppure i controller di dominio di terze parti basati su Samba.

Per ulteriori informazioni su come definire le porte del server RPC utilizzate dai servizi RPC LSA, consultare:

Windows Server 2008 e versioni successive

Le versioni più recenti Windows Server 2008 di Windows Server hanno aumentato l'intervallo di porte client dinamiche per le connessioni in uscita. La nuova porta iniziale predefinita è 49152 e la porta finale predefinita è 65535. Pertanto, è necessario aumentare l'intervallo di porte RPC nei firewall. Questa modifica è stata apportata per rispettare le raccomandazioni IANA (Internet Assigned Numbers Authority). Ciò differisce da un dominio in modalità mista costituito da controller di dominio Windows Server 2003, controller di dominio basato su server Windows 2000, oppure client legacy, in cui l'intervallo di porte dinamiche predefinito è compreso tra 1025 e 5000.

Per maggiori informazioni sulla modifica dell'intervallo di porte dinamico in Windows Server 2012 e Windows Server 2012 R2, consultare:

Porte client Porta server Service
49152-65535/UDP 123/UDP W32Time
49152-65535/TCP 135/TCP Agente mapping endpoint RPC
49152-65535/TCP 464/TCP/UDP Modifica password Kerberos
49152-65535/TCP 49152-65535/TCP RPC per LSA, SAM, NetLogon (*)
49152-65535/TCP/UDP 389/TCP/UDP LDAP
49152-65535/TCP 636/TCP LDAP SSL
49152-65535/TCP 3268/TCP GC LDAP
49152-65535/TCP 3269/TCP SSL per GC LDAP
53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
49152-65535/TCP 49152-65535/TCP FRS RPC (*)
49152-65535/TCP/UDP 88/TCP/UDP Kerberos
49152-65535/TCP/UDP 445/TCP SMB (**)
49152-65535/TCP 49152-65535/TCP DFSR RPC (*)

Le porte NetBIOS elencate per Windows NT sono necessarie anche per Windows 2000 e Server 2003 quando vengono configurati i trust per i domini che supportano solo le comunicazioni basate su NetBIOS. Ad esempio, i sistemi operativi Windows basati su NT oppure i controller di dominio di terze parti basati su Samba.

(*) Per informazioni su come definire le porte server RPC utilizzate dai servizi RPC LSA, consultare:

(**) Per il funzionamento di trust, questa porta non è necessaria, viene utilizzata solo per la creazione di trust.

Note

Il trust esterno 123/UDP è necessario solo se il Servizio Ora di Windows è stato configurato manualmente per la sincronizzazione con un server attraverso il trust esterno.

Active Directory

Il client Microsoft LDAP usa il ping ICMP quando una richiesta LDAP è in sospeso per un periodo di tempo prolungato e attende una risposta. Invia richieste ping per verificare che il server sia ancora in rete. Se non riceve risposte ping, la richiesta LDAP non riesce con LDAP_TIMEOUT.

Anche il Redirector di Windows utilizza i messaggi ping ICMP per verificare che un indirizzo IP del server venga risolto dal servizio DNS prima che venga stabilita una connessione e quando un server viene localizzato tramite DFS. Se si vuole ridurre al minimo il traffico ICMP, è possibile utilizzare la regola del firewall di esempio seguente:

<any> ICMP -> DC IP addr = allow

A differenza del livello del protocollo TCP e del livello del protocollo UDP, ICMP non dispone di un numero di porta. Questo perché ICMP è ospitato direttamente dal livello IP.

Per impostazione predefinita, Windows server 2003 e Windows server DNS 2000 utilizzano porte temporanee sul lato client quando eseguono query su altri server DNS. Tuttavia, questo comportamento può essere modificato da un'impostazione specifica del Registro di sistema. In alternativa, è possibile stabilire un trust tramite il Protocollo di tunneling point-to-point (Point-to-Point Tunneling Protocol). Questo limita il numero di porte che il firewall deve aprire. Per il PPTP, è necessario abilitare le porte seguenti.

Porte client Porta server Protocollo
1024-65535/TCP 1723/TCP PPTP

Inoltre, è necessario abilitare IP PROTOCOL 47 (GRE).

Note

Quando si aggiungono autorizzazioni a una risorsa in un dominio di trusting per gli utenti in un dominio attendibile, esistono alcune differenze di comportamento tra Windows 2000 e Windows NT 4.0. Se il computer non può visualizzare un elenco degli utenti del dominio remoto, prendere in considerazione il comportamento seguente:

  • Windows NT 4.0 tenta di risolvere i nomi manualmente contattando il PDC per il dominio dell'utente remoto (UDP 138). Se la comunicazione non riesce, un computer basato su Windows NT 4.0 contatta il proprio PDC e quindi richiede la risoluzione del nome.
  • Windows 2000 e Windows Server 2003 tentano anche di contattare il PDC dell'utente remoto per la risoluzione su UDP 138. Tuttavia, non si basano sull'utilizzo del proprio PDC. Assicurarsi che tutti i server membri basati su Windows 2000 e i server membri basati su Windows Server 2003 che concederanno l'accesso alle risorse dispongano della connettività UDP 138 al PDC remoto.

Riferimenti

L'articolo Panoramica del servizio e requisiti delle porte di rete Windows costituisce una valida risorsa che illustra le porte di rete, i protocolli e i servizi necessari utilizzati dai sistemi operativi client e server Microsoft, dai programmi basati su server e dai relativi sottocomponenti nel sistema Microsoft Windows Server. Gli amministratori e gli esperti del supporto possono utilizzare questo articolo come guida di orientamento per determinare quali sono le porte e i protocolli richiesti dai sistemi operativi e dai programmi Microsoft per la connettività di rete in una rete segmentata.

Per configurare Windows Firewall, non è consigliabile utilizzare le informazioni sulla porta che si trovano in Panoramica del servizio e i requisiti delle porte di rete per Windows. Per informazioni su come configurare Windows firewall, vedere Windows Firewall con sicurezza avanzata.