Comment configurer un pare-feu pour les domaines et approbations Active Directory

Cet article explique comment configurer un pare-feu pour les domaines et approbations Active Directory.

Sʼapplique à :   Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Numéro de l’article d’origine dans la base de connaissances :   179442

Notes

Tous les ports répertoriés dans les tableaux suivants ne sont pas requis dans tous les scénarios. Par exemple, si le pare-feu sépare les membres et les contrôleurs de domaine, vous n’avez pas à ouvrir les ports FRS ou DFSR. En outre, si vous savez qu’aucun client n’utilise LDAP avec SSL/TLS, vous n’avez pas à ouvrir les ports 636 et 3269.

Informations supplémentaires

Notes

Les deux contrôleurs de domaine se trouvent tous les deux dans la même forêt, ou les deux contrôleurs de domaine se trouvent chacun dans une forêt distincte. En outre, les approbations dans la forêt sont des approbations Windows Server 2003 ou des approbations d'une version ultérieure.

Port(s) client(s) Port serveur Service
1024-65535/TCP 135/TCP Mappeur de point de terminaison RPC
1024-65535/TCP 1024-65535/TCP RPC pour LSA, SAM, NetLogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS RPC (*)

Les ports NetBIOS répertoriés pour Windows NT sont également requis pour Windows 2000 et Windows Server 2003 lorsque des approbations à des domaines sont configurées pour prendre en charge uniquement les communications basées sur NetBIOS. Par exemple, systèmes d’exploitation Windows NT ou contrôleurs de domaine tiers basés sur Samba.

Pour plus d’informations sur la définition des ports de serveur RPC utilisés par les services RPC LSA, consultez les ressources suivantes :

Windows Server 2008 et versions ultérieures

Windows Server 2008 et les versions ultérieures de Windows Server ont augmenté la plage de ports clients dynamiques pour les connexions sortantes. Le nouveau port de début par défaut est 49152 et le nouveau port de fin par défaut est 65535. Par conséquent, vous devez augmenter la plage de ports RPC dans vos pare-feu. Cette modification a été apportée pour respecter les recommandations de l’IANA (Internet Assigned Numbers Authority). Cette situation diffère d’un domaine en mode mixte qui se compose de contrôleurs de domaine Windows Server 2003, de contrôleurs de domaine serveur Windows 2000 ou de clients hérités, où la plage de ports dynamiques par défaut est comprise entre 1025 et 5000.

Pour plus d’informations sur la modification de la plage de ports dynamiques dans Windows Server 2012 et dans Windows Server 2012 R2, consultez les ressources suivantes :

Port(s) client(s) Port serveur Service
49152-65535/UDP 123/UDP W32Time
49152-65535/TCP 135/TCP Mappeur de point de terminaison RPC
49152-65535/TCP 464/TCP/UDP Modification de mot de passe Kerberos
49152-65535/TCP 49152-65535/TCP RPC pour LSA, SAM, NetLogon (*)
49152-65535/TCP/UDP 389/TCP/UDP LDAP
49152-65535/TCP 636/TCP LDAP SSL
49152-65535/TCP 3268/TCP LDAP GC
49152-65535/TCP 3269/TCP LDAP GC SSL
53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
49152-65535/TCP 49152-65535/TCP FRS RPC (*)
49152-65535/TCP/UDP 88/TCP/UDP Kerberos
49152-65535/TCP/UDP 445/TCP SMB (**)
49152-65535/TCP 49152-65535/TCP DFSR RPC (*)

Les ports NetBIOS répertoriés pour Windows NT sont également requis pour Windows 2000 et Server 2003 quand des approbations à des domaines sont configurées pour ne prendre en charge que les communications NetBIOS. Par exemple, systèmes d’exploitation Windows NT ou contrôleurs de domaine tiers basés sur Samba.

(*) Pour plus d’informations sur la définition des ports serveurs RPC utilisés par les services LSA RPC, consultez les ressources suivantes :

(**) Ce port n’est pas nécessaire pour le fonctionnement de l’approbation. Il n’est utilisé que pour la création d’approbation.

Notes

L’approbation externe 123/UDP n’est nécessaire que si vous avez configuré manuellement le service de temps Windows pour qu’il se synchronise avec un serveur sur l’approbation externe.

Active Directory

Le client Microsoft LDAP utilise le test Ping ICMP quand une requête LDAP est en attente pendant une période prolongée et qu’il attend une réponse. Il envoie des demandes ping pour vérifier que le serveur est toujours présent sur le réseau. S’il ne reçoit pas de réponses ping, la demande LDAP échoue avec LDAP_TIMEOUT.

Le redirecteur Windows utilise également des messages Ping ICMP pour vérifier qu’une adresse IP de serveur est résolue par le service DNS avant l’établissement d’une connexion, ainsi que quand un serveur est localisé à l’aide du service DFS. Si vous souhaitez réduire le trafic ICMP, vous pouvez utiliser l’exemple de règle de pare-feu suivant :

<any> ICMP -> DC IP addr = allow

Contrairement aux couches de protocole TCP et UDP, ICMP n’a pas de numéro de port, car il est hébergé directement par la couche IP.

Par défaut, les serveurs DNS Windows Server 2003 et Windows 2000 Server utilisent des ports côté client éphémères quand ils interrogent d’autres serveurs DNS. Toutefois, ce comportement peut être modifié par un paramètre de Registre spécifique. Vous pouvez également établir une approbation via le tunnel obligatoire PPTP (Point-to-Point Tunneling Protocol) pour limiter le nombre de ports que le pare-feu doit ouvrir. Pour PPTP, les ports ci-dessous doivent être activés.

Ports clients Port serveur Protocole
1024-65535/TCP 1723/TCP PPTP

En outre, vous devez activer IP PROTOCOL 47 (GRE).

Notes

Quand vous ajoutez des autorisations à une ressource sur un domaine d’approbation pour les utilisateurs d’un domaine approuvé, il existe des différences entre le comportement dans Windows 2000 et celui dans Windows NT 4.0. Si l’ordinateur ne peut pas afficher la liste des utilisateurs du domaine distant, tenez compte du comportement suivant :

  • Windows NT 4.0 tente de résoudre les noms entrés manuellement en contactant le contrôleur de domaine principal (CDP) pour le domaine de l’utilisateur distant (UDP 138). Si cette communication échoue, un ordinateur Windows NT 4.0 contacte son propre CDP, puis demande la résolution du nom.
  • Windows 2000 et Windows Server 2003 tentent également de contacter le CDP de l’utilisateur distant pour une résolution sur le port UDP 138. Toutefois, ils n’utilisent pas leur propre CDP. Veillez à ce que tous les serveurs membres Windows 2000 et Windows Server 2003 qui accorderont l’accès aux ressources disposent d’une connectivité UDP 138 au CDP distant.

Référence

L’article Vue d’ensemble des services et exigences de ports réseau pour Windows décrit les ports, protocoles et services réseau obligatoires utilisés par les systèmes d’exploitation client et serveur Microsoft, les programmes serveurs et leurs sous-composants dans le système Microsoft Windows Server. Les administrateurs et les professionnels de support peuvent utiliser cet article comme feuille de route pour déterminer quels ports et protocoles sont nécessaires aux systèmes d’exploitation Microsoft et aux programmes pour la connectivité réseau dans un réseau segmenté.

N’utilisez pas les informations sur les ports fournies dans l’article Vue d’ensemble des services et exigences de ports réseau pour Windows pour configurer le Pare-feu Windows. Pour plus d’informations sur la configuration du Pare-feu Windows, consultez l’article Windows Firewall with Advanced Security (en anglais uniquement).