如何設定 Active Directory 網域及信任的防火牆
本文說明如何設定 Active Directory 網域及信任的防火牆。
原始 KB 編號: 179442
注意
並非所有案例都需要此處資料表列出的所有連接埠。 例如,如果防火牆分隔成員及 DC,您無需開啟 FRS 或 DFSR 埠。 此外,如果您知道沒有用戶端使用 LDAP 搭配 SSL/TLS,則無需開啟 636 埠及 3269 埠。
其他相關資訊
注意
這兩個網域控制站位於相同的樹系,或者這兩個網域控制站位於獨立的樹系。 此外,樹系的信任採用 Windows Server 2003 信任或更新版本信任。
| 用戶端連接埠 (一個或多個) | 伺服器連接埠 | 服務 |
|---|---|---|
| 1024-65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 1024-65535/TCP | 1024-65535/TCP | RPC for LSA、SAM、NetLogon (*) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
當網域信任設定為僅支援 NetBIOS 通訊時,Windows 2000 及 Windows Server 2003 也必須使用 Windows NT所列的 NetBIOS 埠。 例如:Windows NT 作業系統或以 Samba 為基礎的第三方網域控制器。
如需詳細資訊了解如何定義 LSA RPC 服務所使用之 RPC 伺服器埠,請參閱:
- 限制特定埠的 Active Directory RPC 流量。
- Windows 服務概述與網路連接埠要求 中的 [網域控制站與 Active Directory] 部分。
Windows Server 2008 及更新版本
Windows Server 2008 及較新版本的 Windows Server 已增加動態用戶端連接埠範圍以傳出連線。 新的預設啟動連接埠為 49152,預設終止連接埠為 65535。 因此,您必須增加防火牆的 RPC 埠範圍。 這項變更是為了符合網際網路指派號碼授權單位 (IANA) 的建議。 這不同於混合模式網域,此模式由 Windows Server 2003 網域控制器、Windows 2000 伺服器型網域控制器或舊版用戶端組成,其預設動態連接埠範圍是 1025 到 5000。
如需詳細資訊了解 Windows Server 2012 與 Windows Server 2012 R2 的動態連接埠範圍變更,請參閱:
| 用戶端連接埠 (一個或多個) | 伺服器連接埠 | 服務 |
|---|---|---|
| 49152-65535/UDP | 123/UDP | W32Time |
| 49152-65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 49152-65535/TCP | 464/TCP/UDP | Kerberos 密碼變更 |
| 49152-65535/TCP | 49152-65535/TCP | RPC for LSA、SAM、NetLogon (*) |
| 49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152-65535/TCP | 636/TCP | LDAP SSL |
| 49152-65535/TCP | 3268/TCP | LDAP GC |
| 49152-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152-65535/TCP | 49152-65535/TCP | FRS RPC (*) |
| 49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152-65535/TCP/UDP | 445/TCP | SMB (**) |
| 49152-65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
當網域的信任設定為僅支援 NetBIOS 通訊時,Windows 2000 及 Windows Server 2003 也必須使用 Windows NT 所列的 NetBIOS 埠。 例如:Windows NT 作業系統或以 Samba 為基礎的第三方網域控制器。
(*) 如需詳細資訊了解如何定義 LSA RPC 服務使用之 RPC 伺服器連接埠,請參閱:
- 限制特定埠的 Active Directory RPC 流量。
- Windows 服務概述與網路連接埠要求 中的 [網域控制站與 Active Directory] 部分。
(**) 信任作業無需使用的連接埠僅用於建立信任。
注意
只有當您將 Windows 時間服務與跨外部信任伺服器手動設定為同步時,才需要外部信任 123/UDP。
Active Directory
在 LDAP 請求遭長時間擱置並等候回應時,Microsoft LDAP 用戶端會使用 ICMP Ping。 它會傳送 ping 請求以確認伺服器仍在網路上。 若未收到 ping 回應,LDAP 請求會因 LDAP_TIMEOUT 而失敗。
在建立連線前及 DFS 找到伺服器位置時,Windows 重新導向器也會透過 ICMP Ping 訊息確認 DNS 服務已解析伺服器 IP。 如果您想要最小化 ICMP 流量,您可以使用下列防火牆規則範例:
<任何> ICMP -> DC IP addr = allow
不同於 TCP 通訊協定層及 UDP 通訊協定層,ICMP 沒有連接埠號碼。 這是因為 ICMP 直接由 IP 層裝載。
根據預設,在查詢其他 DNS 伺服器時,Windows Server 2003 及 Windows 2000 Server DNS 伺服器會使用暫時的用戶端連接埠。 不過,特定登錄設定可能會變更此行為。 或者,透過點對點通道通訊協定 (PPTP) 強制通道,您也可以建立信任。 這會限制防火牆可開啟的連接埠數量。 針對 PPTP,必須啟用下列連接埠。
| 用戶端連接埠 | 伺服器連接埠 | 通訊協定 |
|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
此外,您必須啟用 IP PROTOCOL 47 (GRE)。
注意
當您在信任網域為受信任網域的使用者新增資源許可權時,Windows 2000 及 Windows NT 4.0 的行為有部分差異。 如果電腦無法顯示遠端網域使用者清單,請考慮下列行為:
- 藉由連絡遠端使用者網域 (UDP 138) 的 PDC,Windows NT 4.0 會嘗試解析手動輸入的名稱。 如果該通訊失敗,Windows NT 4.0 電腦會連絡自己的 PDC,要求解析名稱。
- Windows 2000 及 Windows Server 2003 也會透過 UDP 138 嘗試連絡遠端使用者的 PDC 以進行解析。 不過,它們並不依賴使用自己的 PDC。 在授與資源存取權前,請確定所有 Windows 2000 成員伺服器及 Windows Server 2003 成員伺服器都具有遠端 PDC 的 UDP 138 連線能力。
參考
Windows 服務概述及網路連接埠要求 為實用資源,介紹所需網路連接埠、通訊協定以及各項服務,適用於 Microsoft 用戶端以及 Microsoft Windows 伺服器系統之伺服器作業系統、伺服器型程式與子元件。 管理人員與支援專業人員可以使用本文作為路線圖,在分段網路執行網路連線時,判斷 Microsoft 作業系統與程式所需的連接埠及通訊協定。
Windows 服務概述及網路連接埠要求 的連接埠資訊不應用於設定 Windows 防火牆。 有關如何設定 Windows 防火牆的詳細資訊,請參閱Windows 具有高級安全性的防火牆。