Active Directory etki alanları ve güvenler için güvenlik duvarı yapılandırma
Bu makalede Active Directory etki alanları ve güvenleri için güvenlik duvarının nasıl yapılandırıldığı açıklanır.
Orijinal KB numarası: 179442
Not
Buradaki tablolarda listelenen bağlantı noktalarının hepsi tüm senaryolarda gerekli değildir. Örneğin, güvenlik duvarı üyeleri ve DC'leri ayırıyorsa, FRS veya DFSR bağlantı noktalarını açmanız gerekmez. Ayrıca, hiçbir istemcinin SSL/TLS ile LDAP kullanmadığını biliyorsanız 636 ve 3269 bağlantı noktalarını açmanız gerekmez.
Daha fazla bilgi
Not
İki etki alanı denetleyicisinin her ikisi de aynı ormanda veya iki etki alanı denetleyicisinin her biri farklı bir ormanda yer alır. Ayrıca, ormandaki güvenler Windows Server 2003 güvenleri veya sonraki sürümlerdeki güvenlerdir.
| İstemci Bağlantı Noktası/Noktaları | Sunucu Bağlantı Noktası | Hizmet |
|---|---|---|
| 1024-65535/TCP | 135/TCP | RPC Bitiş Noktası Eşleştiricisi |
| 1024-65535/TCP | 1024-65535/TCP | LSA, SAM, NetLogon (*) için RPC |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
Güvenler etki alanlarına yalnızca NetBIOS tabanlı iletişimi destekleyecek şekilde yapılandırıldığında, Windows NT için listelenen NetBIOS bağlantı noktaları, Windows 2000 ve Windows Server 2003 için de gereklidir. Örnek olarak Windows NT tabanlı işletim sistemleri veya Samba tabanlı üçüncü taraf Etki Alanı Denetleyicileri verilebilir.
LSA RPC hizmetleri tarafından kullanılan RPC sunucu bağlantı noktalarını tanımlama hakkında daha fazla bilgi için bkz:
- Active Directory RPC trafiğini belirli bir bağlantı noktasıyla kısıtlama.
- Windows için hizmete genel bakış ve ağ bağlantı noktası gereksinimleri bölümündeki Etki alanı denetleyicileri ve Active Directory bölümü.
Windows Server 2008 ve sonraki sürümler
Windows Server 2008 ve Windows Server'ın daha yeni sürümleri, giden bağlantılar için dinamik istemci bağlantı noktası aralığını artırdı. Yeni varsayılan başlangıç bağlantı noktası 49152 ve varsayılan bitiş bağlantı noktası 65535'tir. Bu nedenle, güvenlik duvarlarınızdaki RPC bağlantı noktası aralığını artırmanız gerekir. Bu değişiklik, İnternet Atanmış Numaralar Yetkilisi (IANA) önerileriyle uyumlu olması için yapılmıştır. Bu, Windows Server 2003 etki alanı denetleyicilerinden, Windows 2000 sunucu tabanlı etki alanı denetleyicilerinden veya varsayılan dinamik bağlantı noktası aralığının 1025 ile 5000 arasında olduğu eski istemcilerden oluşan karma modlu bir etki alanından farklıdır.
Windows Server 2012 ve Windows Server 2012 R2'deki dinamik bağlantı noktası aralığı değişikliği hakkında daha fazla bilgi için bkz:
- TCP/IP için varsayılan dinamik bağlantı noktası aralığı değişti.
- Windows Server'daki Dinamik Bağlantı Noktaları.
| İstemci Bağlantı Noktası/Noktaları | Sunucu Bağlantı Noktası | Hizmet |
|---|---|---|
| 49152-65535/UDP | 123/UDP | W32Time |
| 49152-65535/TCP | 135/TCP | RPC Bitiş Noktası Eşleştiricisi |
| 49152-65535/TCP | 464/TCP/UDP | Kerberos parola değişikliği |
| 49152-65535/TCP | 49152-65535/TCP | LSA, SAM, NetLogon (*) için RPC |
| 49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152-65535/TCP | 636/TCP | LDAP SSL |
| 49152-65535/TCP | 3268/TCP | LDAP GC |
| 49152-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152-65535/TCP | 49152-65535/TCP | FRS RPC (*) |
| 49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152-65535/TCP/UDP | 445/TCP | SMB (**) |
| 49152-65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
Güvenler etki alanlarına yalnızca NetBIOS tabanlı iletişimi destekleyecek şekilde yapılandırıldığında, Windows NT için listelenen NetBIOS bağlantı noktaları Windows 2000 ve Server 2003 için de gereklidir. Örnek olarak Windows NT tabanlı işletim sistemleri veya Samba tabanlı üçüncü taraf Etki Alanı Denetleyicileri verilebilir.
(*) LSA RPC hizmetleri tarafından kullanılan RPC sunucu bağlantı noktalarını tanımlama hakkında bilgi için bkz:
- Active Directory RPC trafiğini belirli bir bağlantı noktasıyla kısıtlama.
- Windows için hizmete genel bakış ve ağ bağlantı noktası gereksinimleri bölümündeki Etki alanı denetleyicileri ve Active Directory bölümü.
(**) Güvenin işlemi için bu bağlantı noktası gerekli değildir, yalnızca güven oluşturmak için kullanılır.
Not
Dış güven 123/UDP, yalnızca Windows Zaman Hizmeti'ni dış güven genelinde bir sunucuyla eşitlenecek şekilde el ile yapılandırdıysanız gereklidir.
Active Directory
Bir LDAP isteği uzun süre beklemede olduğunda ve yanıt beklerken Microsoft LDAP istemcisi ICMP ping'ini kullanır. Sunucunun hala ağda olduğunu doğrulamak için ping istekleri gönderir. Ping yanıtı almazsa LDAP isteğini LDAP_TIMEOUT ile reddeder.
Windows Yeniden Yönlendiricisi ayrıca, bir bağlantı yapılmadan önce sunucu IP'sinin DNS hizmeti tarafından çözümlendiğini doğrulamak için ve bir sunucu DFS kullanılarak bulunduğunda, ICMP Ping iletilerini kullanır. ICMP trafiğini en aza indirmek istiyorsanız aşağıdaki örnek güvenlik duvarı kuralını kullanabilirsiniz:
<herhangi bir> ICMP -> DC IP eklentisi = allow
TCP protokol katmanından ve UDP protokol katmanından farklı olarak, ICMP'nin bağlantı noktası numarası yoktur. Bunun nedeni ICMP'nin doğrudan IP katmanı tarafından barındırılıyor olmasıdır.
Varsayılan olarak, Windows Server 2003 ve Windows 2000 Server DNS sunucuları, diğer DNS sunucularını sorgularken kısa ömürlü istemci tarafı bağlantı noktalarını kullanır. Ancak, bu davranış belirli bir kayıt defteri ayarıyla değiştirilebilir. Veya Noktadan Noktaya Tünel Protokolü (PPTP) zorunlu tüneli aracılığıyla bir güven oluşturabilirsiniz. Bu, güvenlik duvarının açması gereken bağlantı noktası sayısını sınırlar. PPTP için aşağıdaki bağlantı noktalarının etkinleştirilmesi gerekir.
| İstemci Bağlantı Noktaları | Sunucu Bağlantı Noktası | Protokol |
|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
Ayrıca, IP PROTOCOL 47 (GRE)'yi etkinleştirmeniz gerekir.
Not
Güvenilen bir etki alanındaki kullanıcılar için güvenen bir etki alanındaki kaynağa izinler eklediğinizde, Windows 2000 ile Windows NT 4.0 davranışı arasında bazı farklar vardır. Bilgisayar uzak etki alanının kullanıcılarının listesini görüntüleyemiyorsa aşağıdaki davranışı göz önünde bulundurun:
- Windows NT 4.0, uzak kullanıcının etki alanının PDC'si (UDP 138) ile bağlantı kurarak el ile yazılan adları çözümlemeye çalışır. Bu iletişim başarısız olursa, Windows NT 4.0 tabanlı bir bilgisayar kendi PDC'siyle bağlantı kurar ve ardından adın çözümlenmesini ister.
- Windows 2000 ve Windows Server 2003 ayrıca, UDP 138 üzerinden çözümleme için uzak kullanıcının PDC'sine bağlanmayı dener. Ancak, kendi PDC'lerini kullanmaya bağımlı değillerdir. Kaynaklara erişim izni verecek tüm Windows 2000 tabanlı üye sunucuların ve Windows Server 2003 tabanlı üye sunucuların uzak PDC'ye UDP 138 bağlantısı olduğundan emin olun.
Başvuru
Hizmete genel bakış ve Windows için ağ bağlantı noktası gereksinimleri, Microsoft istemci ve sunucu işletim sistemleri tarafından kullanılan gerekli ağ bağlantı noktaları, protokoller ve hizmetler, sunucu tabanlı programlar ve bunların Microsoft Windows Server sistemindeki alt bileşenlerinin listesini veren değerli bir kaynaktır. Yöneticiler ve destek uzmanları, Microsoft işletim sistemleri ve programlarının bölümlere ayrılmış bir ağda ağ bağlantısı için hangi bağlantı noktalarına ve protokollere ihtiyaç duyduğunu belirlemek üzere bir yol haritası olarak bu makaleyi kullanabilirler.
Windows için Hizmete genel bakış ve ağ bağlantı noktası gereksinimleri'ndeki bağlantı noktası bilgilerini Windows Güvenlik Duvarı'nı yapılandırmak için kullanmamalısınız. Windows Güvenlik Duvarı'nı yapılandırılması hakkında bilgi için bkz. Gelişmiş Güvenlikli Windows Güvenlik Duvarı.