Konfigurieren einer Firewall für Active Directory-Domänen und -Vertrauensstellungen

In diesem Artikel wird beschrieben, wie Sie eine Firewall für Active Directory-Domänen und -Vertrauensstellungen konfigurieren.

Ursprüngliche Produktversion:   Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Ursprüngliche KB-Nummer:   179442

Hinweis

Nicht alle Ports, die in den hier aufgeführten Tabellen aufgeführt sind, sind in allen Szenarien erforderlich. Wenn die Firewall beispielsweise Mitglieder und DCs trennt, müssen Sie die FRS- oder DFSR-Ports nicht öffnen. Wenn Sie außerdem wissen, dass keine Clients LDAP mit SSL/TLS verwenden, müssen Sie die Ports 636 und 3269 nicht öffnen.

Weitere Informationen

Hinweis

Die beiden Domänencontroller befinden sich beide in derselben Gesamtstruktur, oder die beiden Domänencontroller befinden sich beide in einer separaten Gesamtstruktur. Außerdem sind die Vertrauensstellungen in der Gesamtstruktur Windows Server 2003-Vertrauensstellungen oder neuere Versionsvertrauensstellungen.

Clientports Serverport Dienst
1024-65535/TCP 135/TCP RPC Endpoint Mapper
1024-65535/TCP 1024-65535/TCP RPC für LSA, SAM, NetLogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS RPC (*)

FÜR Windows NT aufgeführte NETBIOS-Ports sind auch für Windows 2000 und Windows Server 2003 erforderlich, wenn Vertrauensstellungen für Domänen konfiguriert sind, die nur NETBIOS-basierte Kommunikation unterstützen. Beispiele hierfür sind Windows NT-basierte Betriebssysteme oder Domänencontroller von Drittanbietern, die auf Samba basieren.

Weitere Informationen zum Definieren von RPC-Serverports, die von den LSA-RPC-Diensten verwendet werden, finden Sie unter:

Windows Server 2008 und höher

Windows Server 2008 neuere Versionen von Windows Server haben den dynamischen Clientportbereich für ausgehende Verbindungen erhöht. Der neue Standardstartport ist 49152, und der Standardendport ist 65535. Daher müssen Sie den Bereich der RPC-Ports in Ihren Firewalls erhöhen. Diese Änderung wurde vorgenommen, um den Empfehlungen der Internet Assigned Numbers Authority (IANA) zu entsprechen. Dies unterscheidet sich von einer Domäne im gemischten Modus, die aus Windows Server 2003-Domänencontrollern, serverbasierten Windows 2000-Domänencontrollern oder Legacyclients besteht, deren standardmäßiger dynamischer Portbereich 1025 bis 5000 ist.

Weitere Informationen zur Änderung des dynamischen Portbereichs in Windows Server 2012 und Windows Server 2012 R2 finden Sie unter:

Clientports Serverport Dienst
49152 -65535/UDP 123/UDP W32Time
49152 -65535/TCP 135/TCP RPC Endpoint Mapper
49152 -65535/TCP 464/TCP/UDP Änderung des Kerberos-Kennworts
49152 -65535/TCP 49152-65535/TCP RPC für LSA, SAM, NetLogon (*)
49152 -65535/TCP/UDP 389/TCP/UDP LDAP
49152 -65535/TCP 636/TCP LDAP SSL
49152 -65535/TCP 3268/TCP LDAP GC
49152 -65535/TCP 3269/TCP LDAP GC SSL
53, 49152 -65535/TCP/UDP 53/TCP/UDP DNS
49152 -65535/TCP 49152 -65535/TCP FRS RPC (*)
49152 -65535/TCP/UDP 88/TCP/UDP Kerberos
49152 -65535/TCP/UDP 445/TCP SMB (**)
49152 -65535/TCP 49152-65535/TCP DFSR RPC (*)

FÜR Windows NT aufgeführte NETBIOS-Ports sind auch für Windows 2000 und Server 2003 erforderlich, wenn Vertrauensstellungen für Domänen konfiguriert sind, die nur NETBIOS-basierte Kommunikation unterstützen. Beispiele hierfür sind Windows NT-basierte Betriebssysteme oder Domänencontroller von Drittanbietern, die auf Samba basieren.

(*) Informationen zum Definieren von RPC-Serverports, die von den LSA-RPC-Diensten verwendet werden, finden Sie unter:

(**) Für den Betrieb der Vertrauensstellung ist dieser Port nicht erforderlich, sondern wird nur für die Erstellung von Vertrauensstellungen verwendet.

Hinweis

Externe Vertrauensstellung 123/UDP ist nur erforderlich, wenn Sie den Windows-Zeitdienst für die Synchronisierung mit einem Server über die externe Vertrauensstellung manuell konfiguriert haben.

Active Directory

In Windows 2000 und Windows XP muss das Internet Control Message Protocol (ICMP) über die Firewall von den Clients zu den Domänencontrollern zugelassen werden, damit der Active Directory-Gruppenrichtlinienclient über eine Firewall ordnungsgemäß funktionieren kann. ICMP wird verwendet, um zu bestimmen, ob es sich bei der Verknüpfung um eine langsame oder eine schnelle Verbindung handelt.

In Windows Server 2008 und höher stellt der Netzwerkstandort-Sensibilisierungsdienst die Bandbreitenschätzung basierend auf dem Datenverkehr mit anderen Station im Netzwerk zur Verfügung. Für die Schätzung wird kein Datenverkehr generiert.

Die Windows-Umleitung verwendet auch ICMP-Ping-Nachrichten, um zu überprüfen, ob eine Server-IP vom DNS-Dienst aufgelöst wird, bevor eine Verbindung hergestellt wird, und wenn sich ein Server mithilfe von DFS befindet. Wenn Sie den Datenverkehr mit ICMP minimieren möchten, können Sie die folgende Beispielfirewallregel verwenden:

<any> ICMP -> DC IP addr = allow

Im Gegensatz zur TCP- und der UDP-Protokollschicht verfügt ICMP nicht über eine Portnummer. Dies liegt daran, dass ICMP direkt von der IP-Ebene gehostet wird.

Standardmäßig verwenden Windows Server 2003- und Windows 2000 Server-DNS-Server kurzlebige clientseitige Ports, wenn sie andere DNS-Server abfragen. Dieses Verhalten kann jedoch durch eine bestimmte Registrierungseinstellung geändert werden. Sie können auch eine Vertrauensstellung über den ppTP(Point-to-Point Tunneling Protocol)-Tunnel einrichten. Dadurch wird die Anzahl der Ports beschränkt, die die Firewall öffnen muss. Für PPTP müssen die folgenden Ports aktiviert sein.

Clientports Serverport Protokoll
1024-65535/TCP 1723/TCP PPTP

Darüber hinaus müssen Sie IP PROTOCOL 47 (GRE) aktivieren.

Hinweis

Wenn Sie einer Ressource berechtigungen für eine vertrauenswürdige Domäne für Benutzer in einer vertrauenswürdigen Domäne hinzufügen, gibt es einige Unterschiede zwischen dem Verhalten von Windows 2000 und Windows NT 4.0. Wenn auf dem Computer keine Liste der Benutzer der Remotedomäne angezeigt werden kann, berücksichtigen Sie das folgende Verhalten:

  • Windows NT 4.0 versucht, manuell eingegebene Namen zu beheben, indem das PDC für die Domäne des Remotebenutzers (UDP 138) kontaktiert wird. Wenn bei dieser Kommunikation ein Fehler auftritt, kontaktiert ein Windows NT 4.0-basierter Computer seine eigene PDC und fordert dann die Namensauflösung an.
  • Windows 2000 und Windows Server 2003 versuchen außerdem, den PDC des Remotebenutzers zur Lösung über UDP 138 zu kontaktieren. Sie verlassen sich jedoch nicht auf die Verwendung ihrer eigenen PDC. Stellen Sie sicher, dass alle Windows 2000-basierten Mitgliedsserver und Windows Server 2003-basierten Mitgliedsserver, die Zugriff auf Ressourcen gewähren, über UDP 138-Verbindungen mit der Remote-PDC verfügen.

Referenz

Dienstübersicht und Netzwerkportanforderungen für Windows sind eine wertvolle Ressource, die die erforderlichen Netzwerkports, Protokolle und Dienste aufzeiert, die von Client- und Serverbetriebssystemen von Microsoft, serverbasierten Programmen und deren Unterkomponenten im Microsoft Windows Server System verwendet werden. Administratoren und Supportmitarbeiter können den Artikel als Roadmap verwenden, um zu bestimmen, welche Ports und Protokolle von Microsoft-Betriebssystemen und -Programmen für die Netzwerkkonnektivität in einem segmentierten Netzwerk erforderlich sind.

Sie sollten die Portinformationen in der Dienstübersicht und die Netzwerkportanforderungen für Windows nicht zum Konfigurieren der Windows-Firewall verwenden. Informationen zum Konfigurieren der Windows-Firewall finden Sie unter "Windows-Firewall mit erweiterter Sicherheit".