Een firewall configureren voor Active Directory-domeinen en vertrouwensrelaties
In dit artikel wordt beschreven hoe u een firewall configureert voor Active Directory-domeinen en vertrouwensrelaties.
Oorspronkelijk KB-nummer: 179442
Notitie
Niet alle poorten die in de tabellen hier worden vermeld, zijn in alle scenario's vereist. Als de firewall bijvoorbeeld leden en DC's scheidt, hoeft u de FRS- of DFSR-poorten niet te openen. Als u weet dat geen enkele client LDAP met SSL/TLS gebruikt, hoeft u de poorten 636 en 3269 niet te openen.
Meer informatie
Notitie
De twee domeincontrollers bevinden zich beide in hetzelfde forest of de twee domeincontrollers bevinden zich beide in een afzonderlijk forest. De vertrouwensrelaties in het forest zijn ook vertrouwensrelaties van Windows Server 2003 of een latere versie.
| Clientpoort(en) | Serverpoort | Service |
|---|---|---|
| 1024-65535/TCP | 135/TCP | RPC-eindpunttoewijzer |
| 1024-65535/TCP | 1024-65535/TCP | RPC voor LSA, SAM, NetLogon (*) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53.1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | MKB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
NetBIOS-poorten zoals vermeld voor Windows NT zijn ook vereist voor Windows 2000 en Windows Server 2003 wanneer vertrouwensrelaties met domeinen zijn geconfigureerd die alleen op NetBIOS gebaseerde communicatie ondersteunen. Voorbeelden zijn op Windows NT gebaseerde besturingssystemen of domeincontrollers van derden die op Samba zijn gebaseerd.
Raadpleeg voor meer informatie over het definiƫren van RPC-serverpoorten die worden gebruikt door de LSA RPC-services:
- Active Directory RPC-verkeer beperken tot een specifieke poort.
- De sectie Domeincontrollers en Active Directory in Serviceoverzicht en netwerkpoortvereisten voor Windows.
Windows Server 2008 en latere versies
Windows Server 2008 en nieuwere versies van Windows Server hebben het bereik van de dynamische clientpoort voor uitgaande verbindingen verhoogd. De nieuwe standaardstartpoort is 49152 en de standaardeindpoort is 65535. Daarom moet u het RPC-poortbereik in uw firewalls verhogen. Deze wijziging is aangebracht om te voldoen aan de aanbevelingen van de Internet Assigned Numbers Authority (IANA) Dit verschilt van een domein met gemengde modus dat bestaat uit Windows Server 2003-domeincontrollers, Windows 2000-servergebaseerde domeincontrollers of oudere clients, waarbij het standaard dynamische poortbereik 1025 tot en met 5000 is.
Raadpleeg voor meer informatie over de wijziging van het dynamische poortbereik in Windows Server 2012 en Windows Server 2012 R2:
- Het standaard dynamische poortbereik voor TCP/IP is gewijzigd.
- Dynamische poorten in Windows Server.
| Clientpoort(en) | Serverpoort | Service |
|---|---|---|
| 49152-65535/UDP | 123/UDP | W32Time |
| 49152-65535/TCP | 135/TCP | RPC-eindpunttoewijzer |
| 49152-65535/TCP | 464/TCP/UDP | Kerberos-wachtwoord wijzigen |
| 49152-65535/TCP | 49152-65535/TCP | RPC voor LSA, SAM, NetLogon (*) |
| 49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152-65535/TCP | 636/TCP | LDAP SSL |
| 49152-65535/TCP | 3268/TCP | LDAP GC |
| 49152-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152-65535/TCP | 49152-65535/TCP | FRS RPC (*) |
| 49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152-65535/TCP/UDP | 445/TCP | SMB (**) |
| 49152-65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
NetBIOS-poorten zoals vermeld voor Windows NT zijn ook vereist voor Windows 2000 en Server 2003 wanneer vertrouwensrelaties met domeinen zijn geconfigureerd die alleen op NetBIOS gebaseerde communicatie ondersteunen. Voorbeelden zijn op Windows NT gebaseerde besturingssystemen of domeincontrollers van derden die op Samba zijn gebaseerd.
(*) Voor informatie over het definiƫren van RPC-serverpoorten die worden gebruikt door de LSA RPC-services, raadpleeg:
- Active Directory RPC-verkeer beperken tot een specifieke poort.
- De sectie Domeincontrollers en Active Directory in Serviceoverzicht en netwerkpoortvereisten voor Windows.
(**) Voor de werking van de vertrouwensrelatie is deze poort niet vereist, deze wordt alleen gebruikt voor het maken van een vertrouwensrelatie.
Notitie
Externe vertrouwensrelatie 123/UDP is alleen nodig als u de Windows Time-service handmatig hebt geconfigureerd om te synchroniseren met een server via de externe vertrouwensrelatie.
Active Directory
De Microsoft LDAP-client gebruikt ICMP-ping wanneer een LDAP-aanvraag langere tijd in behandeling is en wordt gewacht op een antwoord. Er worden pingaanvragen verzonden om te controleren of de server zich nog steeds in het netwerk bevindt. Als er geen pingreacties worden ontvangen, mislukt de LDAP-aanvraag met LDAP_TIMEOUT.
De Windows-redirector gebruikt ook ICMP Ping-berichten om te controleren of een server-IP is omgezet door de DNS-service voordat er verbinding wordt gemaakt en wanneer een server wordt gevonden met behulp van DFS. Als u ICMP-verkeer wilt minimaliseren, kunt u de volgende voorbeeldfirewallregel gebruiken:
<any> ICMP -> DC IP addr = allow
In tegenstelling tot de TCP-protocollaag en de UDP-protocollaag heeft ICMP geen poortnummer. Dit komt doordat ICMP rechtstreeks wordt gehost door de IP-laag.
Standaard gebruiken de DNS-servers van Windows Server 2003 en Windows 2000 Server tijdelijke poorten aan de kant van de client wanneer ze query's uitvoeren op andere DNS-servers. Dit gedrag kan echter worden gewijzigd door een specifieke registerinstelling. Of u kunt een vertrouwensrelatie tot stand brengen via de verplichte tunnel point-to-point tunneling protocol (PPTP). Hiermee beperkt u het aantal poorten dat de firewall moet openen. Voor PPTP moeten de volgende poorten zijn ingeschakeld.
| Clientpoorten | Serverpoort | Protocol |
|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
Daarnaast moet u IP PROTOCOL 47 (GRE) inschakelen.
Notitie
Wanneer u machtigingen toevoegt aan een bron op een vertrouwend domein voor gebruikers in een vertrouwd domein, zijn er enkele verschillen tussen het gedrag van Windows 2000 en Windows NT 4.0. Als de computer geen lijst met de gebruikers van het externe domein kan weergeven, moet u rekening houden met het volgende gedrag:
- Windows NT 4.0 probeert handmatig getypte namen op te lossen door contact op te nemen met de PDC voor het domein van de externe gebruiker (UDP 138). Als deze communicatie mislukt, neemt een Windows op NT 4.0 gebaseerde computer contact op met zijn eigen PDC en vraagt vervolgens om omzetting van de naam.
- Windows 2000 en Windows Server 2003 proberen ook contact op te nemen met de PDC van de externe gebruiker voor omzetting via UDP 138. Ze zijn echter niet afhankelijk van het gebruik van hun eigen PDC. Zorg ervoor dat alle op Windows 2000 gebaseerde lidservers en op Windows Server 2003 gebaseerde lidservers die toegang verlenen tot bronnen, een UDP 138-verbinding hebben met de externe PDC.
Verwijzing
Serviceoverzicht en netwerkpoortvereisten voor Windows is een waardevolle bron waarin de vereiste netwerkpoorten, protocollen en services worden beschreven die worden gebruikt door Microsoft-client- en serverbesturingssystemen, servergebaseerde programma's en hun subcomponenten in de Microsoft Windows Server-systeem. Beheerders en ondersteuningsprofessionals kunnen het artikel gebruiken als een roadmap om te bepalen welke poorten en protocollen Microsoft-besturingssystemen en -programma's nodig hebben voor netwerkconnectiviteit in een gesegmenteerd netwerk.
Gebruik de poortinformatie in Serviceoverzicht en netwerkpoortvereisten voor Windows niet om Windows Firewall te configureren. Raadpleeg Windows Firewall met geavanceerde beveiliging voor informatie over het configureren van Windows Firewall.