Как настроить брандмауэр для управления доменами Active Directory и отношениями доверия

В этой статье описывается настройка брандмауэра для управления доменами Active Directory и отношениями доверия.

Оригинальный номер базы знаний: 179442

Примечание.

Не все порты, перечисленные в таблицах, требуются во всех сценариях. Например, если брандмауэр разделяет членов и контроллеры домена, открывать порты FRS или DFSR не нужно. Кроме того, если известно, что ни один клиент не использует протокол LDAP с SSL/TLS, открывать порты 636 и 3269 не нужно.

Дополнительная информация

Примечание.

Оба контроллера домена находятся в одном лесу, или два контроллера домена находятся в отдельном лесу. Кроме того, отношениями доверия в лесах являются отношения доверия Windows Server 2003 или более поздней версии.

Порты клиента Порт сервера Служба
1024-65535/TCP 135/TCP Сопоставитель конечных точек RPC
1024-65535/TCP 1024-65535/TCP RPC для LSA, SAM, сетевого входа в систему (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos;
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS RPC (*)

Порты NetBIOS, перечисленные для Windows NT, также требуются для Windows 2000 и Windows Server 2003, если настроены отношения доверия с доменами, поддерживающими только связь на основе NetBIOS. Примерами являются операционные системы на основе Windows NT или сторонние контроллеры домена на основе Samba.

Дополнительные сведения о том, как определить порты сервера RPC, используемые службами RPC LSA, см. в следующих статьях:

Windows Server 2008 и более поздние версии

Windows Server 2008 более поздних версий или Windows Server увеличил диапазон динамических портов клиента для исходящих подключений. Новый начальный порт по умолчанию — 49152, а конечный порт по умолчанию — 65535. Поэтому необходимо увеличить диапазон портов RPC в брандмауэрах. Это изменение было внесено в соответствии с рекомендациями Internet Assigned Numbers Authority (IANA). Это отличается от домена смешанного режима, состоящего из контроллеров домена Windows Server 2003, контроллеров домена на основе сервера Windows 2000 или устаревших клиентов, где диапазон динамических портов по умолчанию — от 1025 до 5000.

Дополнительные сведения о динамическом изменении диапазона портов в Windows Server 2012 и Windows Server 2012 R2 см. в следующих статьях:

Порты клиента Порт сервера Служба
49152-65535/UDP 123/UDP W32Time
49152-65535/TCP 135/TCP Сопоставитель конечных точек RPC
49152-65535/TCP 464/TCP/UDP Изменение пароля в Kerberos
49152-65535/TCP 49152-65535/TCP RPC для LSA, SAM, сетевого входа в систему (*)
49152-65535/TCP/UDP 389/TCP/UDP LDAP
49152-65535/TCP 636/TCP LDAP SSL
49152-65535/TCP 3268/TCP LDAP GC
49152-65535/TCP 3269/TCP LDAP GC SSL
53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
49152-65535/TCP 49152-65535/TCP FRS RPC (*)
49152-65535/TCP/UDP 88/TCP/UDP Kerberos;
49152-65535/TCP/UDP 445/TCP SMB (**)
49152-65535/TCP 49152-65535/TCP DFSR RPC (*)

Порты NetBIOS, перечисленные для Windows NT, также необходимы для Windows 2000 и Server 2003, если настроены отношения доверия с доменами, поддерживающими только связь на основе NetBIOS. Примерами являются операционные системы на основе Windows NT или сторонние контроллеры домена на основе Samba.

(*) Сведения о том, как определить порты сервера RPC, используемые службами LSA RPC, см. в следующих статьях:

(**) Для установления отношения доверия этот порт не требуется, он используется только для создания доверия.

Примечание.

Внешнее доверие 123/UDP требуется только в том случае, если вы вручную выполняете настройку службы времени Windows для синхронизации с сервером по внешнему доверию.

Active Directory

Клиент Microsoft LDAP использует проверку связи по протоколу ICMP, когда запрос LDAP ожидается в течение продолжительного времени и ожидает ответа. Он отправляет запросы проверки связи, чтобы убедиться, что сервер по-прежнему находится в сети. Если он не получает ответы проверки связи, запрос LDAP завершается сбоем с LDAP_TIMEOUT.

Перенаправитель Windows также использует сообщения проверки связи по протоколу ICMP для определения того, разрешен ли IP-адрес сервера службой DNS перед установлением подключения и когда сервер размещается с помощью DFS. Чтобы свести к минимуму трафик ICMP, можно использовать следующий пример правила брандмауэра:

<любой> ICMP —> надстройка IP-адреса контроллера домена = allow

В отличие от уровня протокола TCP и протокола UDP, ICMP не имеет номера порта. Это связано с тем, что ICMP напрямую размещается на уровне IP-адресов.

По умолчанию DNS-серверы Windows Server 2003 и Windows 2000 Server используют временные клиентские порты при запросе других DNS-серверов. Однако это поведение может быть изменено определенным параметром реестра. Вы также можете установить доверие через обязательный туннельный протокол точка-точка (PPTP). Это ограничивает количество портов, которые должен открыть брандмауэр. Для PPTP необходимо включить следующие порты.

Порты клиента Порт сервера Протокол
1024-65535/TCP 1723/TCP PPTP

Кроме того, необходимо включить ПРОТОКОЛ IP 47 (GRE).

Примечание.

При добавлении разрешений к ресурсу в доверяющем домене для пользователей в доверенном домене наблюдаются некоторые различия в поведении Windows 2000 и Windows NT 4.0. Если компьютер не может отобразить список пользователей удаленного домена, рассмотрите следующие действия:

  • Windows NT 4.0 пытается разрешить вручную введенные имена, связавшись с PDC для домена удаленного пользователя (UDP 138). В случае сбоя связи компьютер под управлением Windows NT 4.0 обращается к собственному PDC, а затем запрашивает разрешение имени.
  • Windows 2000 и Windows Server 2003 также пытаются связаться с PDC удаленного пользователя для разрешения имен через UDP 138. Однако они не используют собственный PDC. Убедитесь, что все серверы-члены Windows 2000 и серверы-члены Windows Server 2003, которые будут предоставлять доступ к ресурсам, имеют подключение UDP 138 к удаленному PDC.

Справочные материалы

Статья Обзор служб и требования к сетевым портам для Windows представляет собой ценный ресурс, который содержит сведения о необходимых сетевых портах, протоколах и службах, которые используются клиентскими и серверными операционными системами Майкрософт, серверными программами и их субкомпонентами в системе Microsoft Windows Server. Представленные в этой статье сведения предназначены для помощи администраторам и специалистам службы поддержки при определении портов и протоколов, необходимых операционным системам и программам Майкрософт для сетевого подключения в сегментированной сети.

Не следует использовать сведения о портах, представленные в статье Обзор служб и требования к сетевым портам для Windows, для настройки брандмауэра Windows. Сведения о настройке брандмауэра Windows см. в разделе Брандмауэр Windows в режиме повышенной безопасности.