Como configurar um firewall para domínios e relações de confiança do Active Directory
Este artigo descreve como configurar um firewall para domínios e relações de confiança do Active Directory.
Número original do KB: 179442
Observação
Nem todas as portas listadas nestas tabelas são necessárias em todos os cenários. Por exemplo, se o firewall separar membros e DCs, você não precisará abrir as portas FRS ou DFSR. Além disso, se você souber que nenhum cliente usa LDAP com SSL/TLS, não precisará abrir as portas 636 e 3269.
Mais informações
Observação
Os dois controladores de domínio estão na mesma floresta ou os dois controladores de domínio estão em uma floresta separada. Além disso, as relações de confiança na floresta são relações de confiança do Windows Server 2003 ou versões posteriores.
Porta(s) do Cliente | Porta do Servidor | Serviço |
---|---|---|
1024-65535/TCP | 135/TCP | Mapeador de ponto de extremidade RPC |
1024-65535/TCP | 1024-65535/TCP | RPC para LSA, SAM, NetLogon (*) |
1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
1024-65535/TCP | 636/TCP | LDAP SSL |
1024-65535/TCP | 3268/TCP | LDAP GC |
1024-65535/TCP | 3269/TCP | LDAP GC SSL |
53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
1024-65535/TCP | 445/TCP | PME |
1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
As portas NetBIOS listadas para Windows NT também são necessárias para o Windows 2000 e o Windows Server 2003 quando as relações de confiança com domínios são configuradas de modo a dar suporte apenas à comunicação baseada em NetBIOS. Exemplos incluem sistemas operacionais baseados em Windows NT ou Controladores de Domínio de terceiros baseados no Samba.
Para obter mais informações sobre como definir portas de servidor RPC que são usadas pelos serviços LSA RPC, consulte:
- Restringir o tráfego RPC do Active Directory em uma porta específica.
- A seção Controladores de Domínio e Active Directory na Visão geral do serviço e os requisitos de porta de rede para Windows.
Windows Server 2008 e versões posteriores
Windows Server 2008 e versões mais recentes do Windows Server aumentaram o intervalo de portas do cliente dinâmico para conexões de saída. A nova porta inicial padrão é 49152, e a porta final padrão é 65535. Portanto, você deve aumentar o intervalo de portas RPC em seus firewalls. Essa alteração foi feita para atender às recomendações da IANA (Internet Assigned Numbers Authority). Isso difere de um domínio de modo misto que consiste em controladores de domínio do Windows Server 2003, controladores de domínio baseados em servidor do Windows 2000 ou clientes herdados, em que o intervalo de portas dinâmicas padrão é de 1025 a 5000.
Para obter mais informações sobre a alteração do intervalo de portas dinâmicas do Windows Server 2012 e Windows Server 2012 R2, consulte:
Porta(s) do Cliente | Porta do Servidor | Serviço |
---|---|---|
49152-65535/UDP | 123/UDP | W32Time |
49152-65535/TCP | 135/TCP | Mapeador de ponto de extremidade RPC |
49152-65535/TCP | 464/TCP/UDP | Alteração de senha do Kerberos |
49152-65535/TCP | 49152-65535/TCP | RPC para LSA, SAM, NetLogon (*) |
49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
49152-65535/TCP | 636/TCP | LDAP SSL |
49152-65535/TCP | 3268/TCP | LDAP GC |
49152-65535/TCP | 3269/TCP | LDAP GC SSL |
53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
49152-65535/TCP | 49152-65535/TCP | FRS RPC (*) |
49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
49152-65535/TCP/UDP | 445/TCP | SMB (**) |
49152-65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
As portas NetBIOS conforme listadas para Windows NT também são necessárias para o Windows 2000 e o Server 2003 quando as relações de confiança com domínios são configuradas de modo a dar suporte apenas à comunicação baseada em NetBIOS. Exemplos incluem sistemas operacionais baseados em Windows NT ou Controladores de Domínio de terceiros baseados no Samba.
(*) Para obter informações sobre como definir portas de servidor RPC usadas pelos serviços LSA RPC, consulte:
- Restringir o tráfego RPC do Active Directory em uma porta específica.
- A seção Controladores de Domínio e Active Directory na Visão geral do serviço e os requisitos de porta de rede para Windows.
(**) Para a operação da relação de confiança, essa porta não é necessária, ela é usada somente para criação de confiança.
Observação
A relação de confiança externa 123/UDP só será necessária se você tiver configurado manualmente o Serviço de Tempo do Windows para Sincronizar com um servidor na relação de confiança externa.
Active Directory
O cliente LDAP da Microsoft usa ping ICMP quando uma solicitação LDAP está pendente por tempo estendido e aguarda uma resposta. Ele envia solicitações de ping para verificar se o servidor ainda está na rede. Se ele não receber respostas de ping, haverá falha na solicitação LDAP com LDAP_TIMEOUT.
O Redirecionador do Windows também usa mensagens de Ping ICMP para verificar se um IP do servidor é resolvido pelo serviço DNS antes de uma conexão ser feita e quando um servidor é localizado usando DFS. Se você quiser minimizar o tráfego ICMP, poderá usar a seguinte regra de firewall de exemplo:
<qualquer> ICMP -> endereço IP DC = permitir
Ao contrário da camada de protocolo TCP e da camada de protocolo UDP, o ICMP não tem um número de porta. Isso ocorre porque o ICMP é hospedado diretamente pela camada de IP.
Por padrão, os servidores DNS do Servidor do Windows Server 2003 e do Windows 2000 usam portas efêmeras do lado do cliente quando consultam outros servidores DNS. No entanto, esse comportamento pode ser alterado por uma configuração específica do Registro. Ou você pode estabelecer uma relação de confiança por meio do túnel obrigatório PPTP (Protocolo de Túneis Ponto a Ponto). Isso limita o número de portas que o firewall precisa abrir. Para PPTP, as portas a seguir devem ser habilitadas.
Portas do Cliente | Porta do Servidor | Protocolo |
---|---|---|
1024-65535/TCP | 1723/TCP | PPTP |
Além disso, você precisaria habilitar o PROTOCOLO IP 47 (GRE).
Observação
Quando você adiciona permissões a um recurso em um domínio confiável para usuários em um domínio confiável, há algumas diferenças entre o comportamento do Windows 2000 e Windows NT 4.0. Se o computador não puder exibir uma lista de usuários do domínio remoto, considere o seguinte comportamento:
- O Windows NT 4.0 tenta resolver nomes digitados manualmente contatando o PDC para o domínio do usuário remoto (UDP 138). Se essa comunicação falhar, o computador baseado em Windows NT 4.0 contatará seu próprio PDC e solicitará a resolução do nome.
- O Windows 2000 e o Windows Server 2003 também tentam entrar em contato com o PDC do usuário remoto para resolução sobre o UDP 138. No entanto, eles não dependem de usar seu próprio PDC. Verifique se todos os servidores membros baseados em Windows 2000 e servidores membros baseados no Windows Server 2003 que concederão acesso aos recursos têm conectividade UDP 138 com o PDC remoto.
Referências
Visão geral do serviço e requisitos da porta de rede para Windows é um recurso valioso que estrutura as portas de rede, os protocolos e os serviços necessários usados pelo cliente Microsoft e pelos sistemas operacionais de servidor, pelos programas com base em servidor e seus subcomponentes no sistema Microsoft Windows Server. Administradores e profissionais de suporte podem usar o artigo como um mapa para determinar quais são as portas e os protocolos que os sistemas operacionais e programas da Microsoft exigem para uma conectividade de rede em uma rede segmentada.
Você não deve usar as informações de porta na Visão geral do serviço e os requisitos de porta de rede para Windows para configurar o Firewall do Windows. Para obter informações sobre como configurar o Firewall do Windows, consulte Firewall do Windows e segurança avançada.