如何为 Active Directory 域和信任配置防火墙

本文介绍如何为 Active Directory 域和信任配置防火墙。

原始产品版本:   Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 Standard、Windows Server 2012 Standard
原始 KB 编号:   179442

备注

并非所有方案中都需要此处表中列出的所有端口。 例如,如果防火墙将成员和 DCS 分开,则不必打开 FRS 或 DFSR 端口。 此外,如果您知道没有客户端使用带 SSL/TLS 的 LDAP,则不必打开端口 636 和 3269。

更多信息

备注

两个域控制器都在同一个林中,或者两个域控制器都在同一个林中。 此外,林中的信任是 Windows Server 2003 信任或更高版本信任。

客户端端口 () 服务器端口 服务
1024-65535/TCP 135/TCP RPC 终结点映射器
1024-65535/TCP 1024-65535/TCP LSA、SAM、NetLogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS RPC (*)

当对仅支持基于 NETBIOS 的通信的域配置信任时,Windows 2000 和 Windows Server 2003 还需要针对 Windows NT 列出的 NETBIOS 端口。 示例Windows NT基于 S均网的操作系统或第三方域控制器。

若要详细了解如何定义 LSA RPC 服务使用的 RPC 服务器端口,请参阅:

Windows Server 2008 和更高版本

Windows Server 2008 较新版本的 Windows Server 增加了传出连接的动态客户端端口范围。 新的默认开始端口为 49152,默认结束端口为 65535。 因此,必须增加防火墙中的 RPC 端口范围。 进行此更改是符合 Internet 号码分配机构 (IANA) 建议。 这与由 Windows Server 2003 域控制器、基于 Windows 2000 服务器的域控制器或旧版客户端组成的混合模式域不同,默认动态端口范围为 1025 到 5000。

有关 R2 中动态端口范围Windows Server 2012 Windows Server 2012,请参阅:

客户端端口 () 服务器端口 服务
49152 -65535/UDP 123/UDP W32Time
49152 -65535/TCP 135/TCP RPC 终结点映射器
49152 -65535/TCP 464/TCP/UDP Kerberos 密码更改
49152 -65535/TCP 49152-65535/TCP LSA、SAM、NetLogon (*)
49152 -65535/TCP/UDP 389/TCP/UDP LDAP
49152 -65535/TCP 636/TCP LDAP SSL
49152 -65535/TCP 3268/TCP LDAP GC
49152 -65535/TCP 3269/TCP LDAP GC SSL
53、49152 -65535/TCP/UDP 53/TCP/UDP DNS
49152 -65535/TCP 49152 -65535/TCP FRS RPC (*)
49152 -65535/TCP/UDP 88/TCP/UDP Kerberos
49152 -65535/TCP/UDP 445/TCP SMB (**)
49152 -65535/TCP 49152-65535/TCP DFSR RPC (*)

当配置了仅支持基于 NETBIOS 的通信的域信任时,Windows 2000 和 Server 2003 还需要为 Windows NT 列出的 NETBIOS 端口。 示例Windows NT基于 S均网的操作系统或第三方域控制器。

(*) 若要了解如何定义 LSA RPC 服务使用的 RPC 服务器端口,请参阅:

(**) 对于信任操作,此端口不是必需的,它仅用于创建信任。

备注

只有在手动配置 Windows 时间服务以通过外部信任与服务器同步时,才需要外部信任 123/UDP。

Active Directory

在 Windows 2000 和 Windows XP 中,必须允许 Internet 控制消息协议 (ICMP) 通过防火墙从客户端到域控制器,以便 Active Directory 组策略客户端可以通过防火墙正常运行。 ICMP 用于确定链接是慢速链接还是快速链接。

在 Windows Server 2008 和更高版本中,网络位置感知服务基于与网络上其他工作站的流量提供带宽估计值。 没有为估计生成流量。

Windows 重定向程序还使用 ICMP Ping 消息来验证服务器 IP 在建立连接之前是否由 DNS 服务解析,以及服务器何时使用 DFS 找到。 如果要最大程度地减少 ICMP 流量,可以使用以下示例防火墙规则:

<any> ICMP -> DC IP 添加器 = 允许

与 TCP 协议层和 UDP 协议层不同,ICMP 没有端口号。 这是因为 ICMP 直接由 IP 层托管。

默认情况下,Windows Server 2003 和 Windows 2000 服务器 DNS 服务器在查询其他 DNS 服务器时使用临时客户端端口。 但是,此行为可能会由特定的注册表设置更改。 或者,您可以通过 PPTP 通道的点到点隧道协议 (一) 隧道。 这将限制防火墙必须打开的端口数。 对于 PPTP,必须启用以下端口。

客户端端口 服务器端口 协议
1024-65535/TCP 1723/TCP PPTP

此外,您必须启用 IP PROTOCOL 47 (标准) 。

备注

为受信任域中的用户向受信任域中的资源添加权限时,Windows 2000 和 Windows NT 4.0 行为之间存在一些差异。 如果计算机无法显示远程域用户的列表,请考虑以下行为:

  • Windows NT 4.0 尝试通过联系远程用户的域的 PDC 来解析手动键入的名称 (UDP 138) 。 如果该通信失败,Windows NT基于 4.0 的计算机将联系自己的 PDC,然后请求解析该名称。
  • Windows 2000 和 Windows Server 2003 还尝试通过 UDP 138 联系远程用户的 PDC 进行解析。 但是,它们不依赖于使用自己的 PDC。 确保将授予资源访问权限的所有基于 Windows 2000 的成员服务器和基于 Windows Server 2003 的成员服务器具有与远程 PDC 的 UDP 138 连接。

参考

Windows 的服务概述和网络端口要求是一项有价值的资源,概述了 Microsoft 客户端和服务器操作系统、基于服务器的程序及其在 Microsoft Windows Server 系统中使用的子项所需的网络端口、协议和服务。 管理员和支持专业人员可以使用本文作为路线图,以确定 Microsoft 操作系统和程序在分段网络中建立网络连接需要哪些端口和协议。

不应使用 Windows 的服务概述 和网络端口要求中的端口 信息来配置 Windows 防火墙。 若要了解如何配置 Windows 防火墙,请参阅 高级安全 Windows 防火墙