Порты active directory: Настройка брандмауэра для домена и доверия AD — Windows Server

Как я могу программно обнаружить любые изменения, происходящие в Microsoft Active Directory?

Я пытаюсь использовать Azure Active Directory для аутентификации пользователей. Я также хочу, чтобы учетные записи Microsoft (@live.com, @outlook.com, и т. д.) могли входить в мое приложение. Когда…

Я полный новичок в Azure Active Directory login, и я попробовал приложение MVC 5, используя аутентификацию cloud — single organization. В моей учетной записи azure я установил несколько…

Я использую Microsoft Azure Active Directory login для своего приложения MVC 5. Может ли кто-нибудь дать мне идею, как я могу проверить, существует ли имя пользователя уже в Microsoft Azure Active…

Я разработчик salesforce. Я просто знаю основы Dotnet. Теперь у меня есть требование от нашего клиента зарегистрировать пользователей в Microsoft Active Directory через страницу регистрации. Я…

Кто-нибудь знает способ программного добавления учетных записей Microsoft в Azure Active Directory? Не удалось найти никаких Cmdlets в модуле AzureAD PowerShell, кроме создания рабочей учетной…

Когда вы добавляете пользователя в Azure Active Directory через старый портал, вы видите этот экран: он позволяет добавить пользователя с существующей учетной записью microsoft. Мне нужно…

Я использую Microsoft Graph API для доступа к группе и членам группы azure active directory. Есть ли какой-нибудь способ получить AppRole для пользователя с Microsoft Graph API, так как есть один…

Я читаю о расширении двухфакторной аутентификации DUO для Microsoft Azure Active Directory, и документация находится здесь . Однако не похоже, что DUO интегрируется с Azure AD B2C, потому что эти…

Я читаю MS Graph SDK и вижу два пути https://github. com/microsoftgraph/msgraph-sdk-dotnet / Портал регистрации приложений Microsoft : зарегистрируйте новое приложение, которое работает с учетной…

Использование портов, отличных от используемых по умолчанию, для ArcGIS Web Adaptor портала—Portal for ArcGIS

Подавляющее большинство пользователей ArcGIS Enterprise смогут запустить ArcGIS Web Adaptor на портах по умолчанию, 80 и 443. В некоторых редких случаях однако, экземпляр Web Adaptor не сможет использовать эти порты по умолчанию для веб-сервера, на котором он размещен. Например, хост веб-сервер может иметь приложение, запущенное на этих портал, или доступ к порту может быть ограничен для организаций с повышенным уровнем безопасности.

В тех случаях, когда порты 80 и 443 не могут быть использованы, в версии ArcGIS Enterprise 10.6.1 доступен обходной путь, чтобы позволить запуск Web Adaptor для портала на портах, отличных от портов по умолчанию. Необходимо затем настроить обратный прокси-сервер или балансировщик нагрузки, чтобы пользователи могли обращаться к порталу через порты по умолчанию. Использование HTTPS должно поддерживаться для кодировки обмена информацией между ArcGIS Web Adaptor и Portal for ArcGIS.

В версии 10.6.1, файл конфигурации ArcGIS Web Adaptor содержит новое свойство, EnableDefaultPortValidation, которое по умолчанию приводит к использованию портов 80 и 443 при настройке ArcGIS Web Adaptor для портала. При изменении значения этого свойства на false можно избежать проверки, позволяя запускать ArcGIS Web Adaptor на портах, отличных от портов по умолчанию.

Настройка ArcGIS Web Adaptor портала для портов, отличных от портов по умолчанию

Если веб-сервер, на котором вы планировали разместить ArcGIS Web Adaptor вашего портала, должен запускать программное обеспечение на портах, отличных от 80 и 443, вам необходимо выполнить некоторые дополнительные шаги при настройке Web Adaptor с помощью мастеров установки и настройки.

1. Включите HTTPS на веб-сервере, где будет размещен веб-адаптер. Запомните порт, который будет использоваться для обмена данными через HTTPS, поскольку он будет использоваться для доступа к ArcGIS Web Adaptor во время начальной настройки для портала.
2. Установите ArcGIS Web Adaptor на веб-сервер, используя мастер установки Setup.exe в качестве пользователя с правами доступа администратора.
3. На компьютере с установленным ArcGIS Web Adaptor найдите и откройте файл webadaptor.config в текстовом редакторе. По умолчанию он находится в директории C:\inetpub\wwwroot\<web adaptor name> для IIS и в директории C:\Users\<username>\.webadaptor\<web adaptor name> для Java.
4. В файле webadaptor.config найдите свойство EnableDefaultPortValidation, имеющее значение по умолчанию, равное true. Измените значение на false: <EnableDefaultPortValidation>false</EnableDefaultPortValidation>.
5. Перезапустите веб-сервер.
6. Откройте страницу конфигурации ArcGIS Web Adaptor в интернет-браузере на том порте HTTPS, который используется веб-сервером, воспользовавшись URL-форматом https://webadaptorhost.domain.com:<https_port>/webadaptorname/webadaptor/portal. Если с порталом будет использоваться псевдоним DNS, то Web Adaptor вместо этого должен настраиваться на этот псевдоним с использованием URL типа https://dnsalias.domain.com:<https_port>/<webadaptorname>/webadaptor/portal.
7. Для свойства URL портала введите URL того компьютера, на котором установлено ПО Portal for ArcGIS, используя полное доменное имя компьютера в адресе URL, например, https://portal.domain.com:7443.
8. Введите имя пользователя и пароль для учетной записи, которая имеет права администратора в Portal for ArcGIS. Обычно используется основная учетная запись администратора, которую вы определили при создании портала. Если вы ограничили права или удалили основную учетную запись администратора, необходимо указать учетную запись с административным доступом к веб-сайту портала.
9. Щелкните Настройка.
10. Настройте портал, используя обратный прокси-сервер вашей организации или балансировщик нагрузки, чтобы пользователи получали доступ к порталу через порты по умолчанию. Для этого вам понадобится предоставить некоторую информацию для портала об обратном прокси или балансировщике нагрузки. Подробные инструкции см. в разделе Использование обратного прокси-сервера с Portal for ArcGIS.
11. После того, как вы настроили обратный прокси-сервер вашей организации или балансировщик нагрузки, обновите страницу конфигурации ArcGIS Web Adaptor, чтобы обновления были отображены.

После того, как рабочий процесс завершен, ArcGIS Web Adaptor будет настроен на работу с вашим порталом ArcGIS Enterprise. У пользователей есть доступ к порталу и ArcGIS Portal Administrator Directory только через обратный прокси-сервер, с помощью URL в формате https://reverseproxy.domain.com/webadaptorname/home, в отличие от порта 7443.

Настройка ArcGIS Web Adaptor (IIS) портала для портов, отличных от портов по умолчанию в автоматическом режиме

Установка и настройка вашего ArcGIS Web Adaptor (IIS) также может быть произведена из командной строки, с дополнительными шагами для запуска на портах, отличных от портов по умолчанию.

1. Активируйте HTTPS на веб-сервере IIS, где установлен Web Adaptor. Запомните порт, который будет использоваться для обмена данными через HTTPS, поскольку он будет использоваться для доступа к ArcGIS Web Adaptor во время начальной настройки для портала.
2. Установите ArcGIS Web Adaptor (IIS) на веб-сервер, используя утилиту установки в командной строке в качестве пользователя с правами доступа администратора.
3. На компьютере с установленным ArcGIS Web Adaptor найдите и откройте файл webadaptor.config в текстовом редакторе. По умолчанию он находится в папке C:\inetpub\wwwroot\<web adaptor name>.
4. В файле webadaptor.config найдите свойство EnableDefaultPortValidation, имеющее значение по умолчанию, равное true. Измените значение на false: <EnableDefaultPortValidation>false</EnableDefaultPortValidation>.
5. Перезапустите веб-сервер IIS.
6. Настройте ArcGIS Web Adaptor, используя утилиту командной строки ConfigureWebAdaptor.exe, которая находится в папке C:\Program Files (x86)\Common Files\ArcGIS\WebAdaptor\IIS\<current version>\Tools Отправленные. Вы будете использовать синтаксис ConfigureWebAdaptor.exe /m <Mode> /w <WebAdaptorURL> /g <Machine Name|URL> /u <Username> /p <Password>. Следует предоставить следующие параметры:
   • <Mode> – режим продукта, в котором будет настроен ArcGIS Web Adaptor. Установите этот параметр на значение portal, чтобы использовать с Portal for ArcGIS.
   • <WebAdaptorURL> – адрес URL ArcGIS Web Adaptor, который вы хотите настроить с помощью командной строки. Этот тот же URL-адрес, который используется при доступе к странице настройки Web Adaptor с помощью веб-браузера. Вам требуется указать адрес URL для приложения ArcGIS Web Adaptor в формате HTTPS – например, https://webadaptorhost.domain.com:<https_port>/webadaptorname/webadaptor. Если с порталом будет использоваться псевдоним DNS, то Web Adaptor вместо этого должен настраиваться на этот псевдоним с использованием URL типа https://<dnsalias.domain.com>:<https_port>/<webadaptorname>/webadaptor.
   • <URL> – URL компьютера с Portal for ArcGIS. Укажите в URL полное доменное имя компьютера – например, https://portal.domain.com:7443.
   • <Username> – имя пользователя учетной записи, которая имеет права администратора для Portal for ArcGIS. Обычно используется основная учетная запись администратора, которая задается при создании портала.
   • <Password> – пароль учетной записи, которая имеет права администратора для Portal for ArcGIS. Обычно используется основная учетная запись администратора, которая задается при создании портала.

   Пример команды

   ConfigureWebAdaptor.exe /m portal /w https://webadaptorhost.domain.com:https_port/webadaptorname/webadaptor /g portal.domain.com /u initialadmin /p secret123

7. Настройте портал, используя обратный прокси-сервер вашей организации или балансировщик нагрузки, чтобы пользователи получали доступ к порталу через порты по умолчанию. Для этого вам понадобится предоставить некоторую информацию для портала об обратном прокси или балансировщике нагрузки. Подробные инструкции см. в разделе Использование обратного прокси-сервера с Portal for ArcGIS.

После того, как рабочий процесс завершен, ArcGIS Web Adaptor будет настроен на работу с вашим порталом ArcGIS Enterprise. У пользователей есть доступ к порталу и ArcGIS Portal Administrator Directory только через обратный прокси-сервер, с помощью URL в формате https://reverseproxy.domain.com/webadaptorname/home, в отличие от порта 7443.

Настройка ArcGIS Web Adaptor (Java Platform) портала для портов, отличных от портов по умолчанию в автоматическом режиме

Установка и настройка вашего ArcGIS Web Adaptor (Java Platform) также может быть произведена из командной строки, с дополнительными шагами для запуска на портах, отличных от портов по умолчанию.

Для запуска утилиты командной строки необходимо, чтобы на компьютере с ArcGIS Web Adaptor была установлена Java Runtime Environment (JRE). Если JRE не установлена, при запуске утилиты появится сообщение об ошибке. Инструкции по загрузке и установке JRE находятся на сайте Java SE Downloads.

1. Включите HTTPS на веб-сервере, где будет размещен веб-адаптер. Запомните порт, который будет использоваться для обмена данными через HTTPS, поскольку он будет использоваться для доступа к ArcGIS Web Adaptor во время начальной настройки для портала.
2. Установите ArcGIS Web Adaptor на веб-сервер, используя утилиту установки в командной строке в качестве пользователя с правами доступа администратора.
3. На компьютере с установленным ArcGIS Web Adaptor найдите и откройте файл webadaptor.config в текстовом редакторе. По умолчанию он находится в директории C:\Users\<username>\.webadaptor\<web adaptor name>.По умолчанию он находится в директории /root/.webadaptor/<web adaptor name>.
4. В файле webadaptor.config найдите свойство EnableDefaultPortValidation, имеющее значение по умолчанию, равное true. Измените значение на false: <EnableDefaultPortValidation>false</EnableDefaultPortValidation>.
5. Перезапустите веб-сервер.
6. Настройте ArcGIS Web Adaptor, используя утилиту командной строки ConfigureWebAdaptor.bat, которая находится в директории <ArcGIS Web Adaptor installation directory>\Web Adaptor<version>\java\tools. Вы будете использовать синтаксис ConfigureWebAdaptor.bat -m <Mode> -w <WebAdaptorURL> -g <Machine Name|URL> -u <Username> -p <Password>. Следует предоставить следующие параметры:
   • <Mode> – режим продукта, в котором будет настроен ArcGIS Web Adaptor. Установите этот параметр на значение portal, чтобы использовать с Portal for ArcGIS.
   • <WebAdaptorURL> – адрес URL ArcGIS Web Adaptor, который вы хотите настроить с помощью командной строки. Этот тот же URL-адрес, который используется при доступе к странице настройки Web Adaptor с помощью веб-браузера. Вам требуется указать адрес URL для приложения ArcGIS Web Adaptor в формате HTTPS – например, https://webadaptorhost.domain.com:<https_port>/webadaptorname/webadaptor. Если с порталом будет использоваться псевдоним DNS, то Web Adaptor вместо этого должен настраиваться на этот псевдоним с использованием URL типа https://<dnsalias.domain.com>:<https_port>/<webadaptorname>/webadaptor.
   • <URL> – URL компьютера с Portal for ArcGIS. Укажите в URL полное доменное имя компьютера – например, https://portal. domain.com:7443.
   • <Username> – имя пользователя учетной записи, которая имеет права администратора для Portal for ArcGIS. Обычно используется основная учетная запись администратора, которая задается при создании портала.
   • <Password> – пароль учетной записи, которая имеет права администратора для Portal for ArcGIS. Обычно используется основная учетная запись администратора, которая задается при создании портала.

   Пример команды

   ConfigureWebAdaptor.bat -m portal -w https://webadaptorhost.domain.com:https_port/webadaptorname/webadaptor -g portal.domain.com -u initialadmin -p secret123

7. Настройте портал, используя обратный прокси-сервер вашей организации или балансировщик нагрузки, чтобы пользователи получали доступ к порталу через порты по умолчанию. Для этого вам понадобится предоставить некоторую информацию для портала об обратном прокси или балансировщике нагрузки. Подробные инструкции см. в разделе Использование обратного прокси-сервера с Portal for ArcGIS.

После того, как рабочий процесс завершен, ArcGIS Web Adaptor будет настроен на работу с вашим порталом ArcGIS Enterprise. У пользователей есть доступ к порталу и ArcGIS Portal Administrator Directory только через обратный прокси-сервер, с помощью URL в формате https://reverseproxy.domain.com/webadaptorname/home, в отличие от порта 7443.

Отзыв по этому разделу?

Службы и сетевые порты в серверных системах Microsoft Windows. Часть 2

главная — Статьи — Microsoft Windows

Теги: Настройка сервера

Продолжение статьи: Настройка сервера: Службы и сетевые порты в серверных системах Microsoft Windows. Часть 1

В данной статье рассмотрены основные сетевые порты, протоколы и службы, которые используются клиентскими и серверными операционными системами Майкрософт, серверными программами и их компонентами в серверных системах Microsoft Windows. Представленные сведения предназначены для помощи администраторам и специалистам службы поддержки при определении портов и протоколов, необходимых приложениям и операционным системам Майкрософт для функционирования в сегментированной сети.

Содержащиеся в этой статье сведения о портах не следует применять при настройке брандмауэра Windows. Сведения о настройке брандмауэра Windows см. в техническом справочнике параметров брандмауэра Windows (Windows Firewall Settings Technical Reference).

Серверная система Windows располагает интегрированной комплексной инфраструктурой, которая предназначена для удовлетворения потребностей разработчиков программного обеспечения и специалистов в области информационных технологий. Запущенные в такой системе программы и решения позволяют сотрудникам быстро, без дополнительных осложнений получать, анализировать и совместно использовать информацию. Серверы, клиентские компьютеры и серверные приложения Майкрософт используют большое количество сетевых портов и протоколов для обмена данными по сети с клиентскими компьютерами и другими серверными системами. Выделенные брандмауэры, брандмауэры в составе узла, а также фильтры безопасности протокола Интернета (IPSec) служат для обеспечения безопасности сети, но, с другой стороны, если с их помощью блокируются порты и протоколы, которые используются определенным сервером, то сервер не сможет отвечать на запросы клиентских компьютеров.

Порты системных служб

В данном разделе содержится описание каждой системной службы с указанием логического имени, а также используемых портов и протоколов.

Маршрутизация и удаленный доступ

Примечание. Протоколы NAT-T и IPSec ISAKMP необходимы L2TP, но, как правило, контролируются локальным администратором безопасности. Дополнительные сведения см. в разделе «Ссылки» этой статьи.

Имя системной службы: RemoteAccess

Сервер

Имя системной службы: lanmanserver

SharePoint Portal Server

Протокол SMTP (Simple Mail Transfer Protocol)

Имя системной службы: SMTPSVC

Простые службы TCP/IP

Агент удаленного управления SMS

Имя системной службы: Wuser32

Служба SNMP

Имя системной службы: SNMP

Служба ловушек SNMP

Имя системной службы: SNMPTRAP

Сервер анализа SQL

SQL Server: поддержка клиентов OLAP нижнего уровня

Служба обнаружения SSDP

Примечание. На момент написания статьи последним является пакет обновлений 1 (SP1).

Имя системной службы: SSDPRSR

Systems Management Server 2.0

Сервер печати TCP/IP

Имя системной службы: LPDSVC

Telnet

Службы терминалов

Имя системной службы: TermService

Лицензирование служб терминалов

Имя системной службы: TermServLicensing

Каталог сеанса служб терминалов

Имя системной службы: Tssdis

Упрощенный FTP-демон

Имя системной службы: tftpd

Узел универсальных устройств Plug and Play

Имя системной службы: UPNPHost

Windows Internet Name Service (WINS)

Имя системной службы: Служба WINS

Службы Windows Media

Имя системной службы: WMServer

Служба времени Windows

Имя системной службы: W32Time

Служба веб-публикации

Имя системной службы: W3SVC

Порты и протоколы

Порты и протоколы, необходимые для функционирования Active Directory

Ниже представлен неполный перечень служб, портов и протоколов, необходимых рядовым компьютерам и контроллерам домена для взаимодействия друг с другом, а серверам приложений – для получения доступа к Active Directory:

Источник — http://support.microsoft.com/kb/832017/ru

Авторизуйтесь для добавления комментариев!

Настройка учетных данных LDAP или Cisco ACS

Используйте это диалоговое окно для:

• Настроить учетные данные LDAP или Active Directory (AD) и WhatsUp Gold для подключения к серверу Active Directory для импорта информации групп с контроллера доменов Microsoft в WhatsUp Gold.

  — или —

• Настроить учетные данные Cisco ACS и настроить WhatsUp Gold для подключения к серверу Cisco ACS.

Настройка внешней аутентификации Active Directory/LDAP:

1. Введите следующую информацию:
   • . Введите IP-адрес контроллера домена или имя узла для Контроллера домена или Сервера LDAP. При проверке подлинности на домен Active Directory, сервер LDAP для вашего домена — DC (контроллера домена).
   • . Введите порт, который сервер Active Directory использует для прослушивания соединений (по умолчанию: 389).
   • . Выберите этот параметр, если необходимо, чтобы запросы домена Active Directory или LDAP шифровались при помощи SSL (порт по умолчанию: 636).
2. Выберите для включения учетных данных домена Active Directory. Затем введите в Active Directory, на котором необходимо получить доступ и экспортировать группы AD.
   — или —
   Выберите , чтобы включить учетные данные домена Active Directory. Введите путь к контейнеру с пользователями, которые должны получать доступ к веб-интерфейсу WhatsUp Gold в .

   : Ниже приведен пример, как отдельный сервер LDAP может CN=%s, OU=Users, o=yourdomain.net где %s заменены на имя пользователя и его пароль.

3. Щелкните для открывания диалогового окна Тест. Диалоговое окно Тест позволяет проверять правильность настройки учетных данных.
4. Нажмите для открывания диалогового окна Обзор Active Directory. Диалоговое окно «Обзор Active Directory» позволяет выбрать группы AD для сопоставления с существующими группами пользователей WhatsUp Gold. Обратите внимание, что проверка подлинности для вложенных групп Active Directory не поддерживается.
5. В списке групп Active Directory выберите группу WhatsUp Gold, которую нужно сопоставить со всеми группами AD.

   : Перед сопоставлением групп AD и WhatsUp Gold необходимо с помощью диалогового окна добавления группы пользователей создать группы WhatsUp Gold. После добавления групп пользователей WhatsUp Gold с помощью диалогового окна Обзор Active Directory можно выбрать группы AD, которые нужно сопоставить с группами WhatsUp Gold.

   : Когда член группы AD выполнит вход в WhatsUp Gold, используя свои учетные данные домена Windows, они будут добавлены как члены группы WhatsUp Gold, сопоставленной с указанной группой AD.

6. Нажмите кнопку . WhatsUp Gold сохраняет учетные данные Active Directory и диалоговое окно «Учетные данные LDAP» закрывается.

Для настройки WhatsUp Gold на использование Cisco ACS для проверки подлинности:

Для настройки учетных данных Cisco ACS и настройки WhatsUp Gold для подключения к серверу Cisco ACS используйте вкладку Cisco ACS. Перед настройкой в WhatsUp Gold убедитесь, что интерфейс UCP на соответствующем устройстве Cisco ACS включен и устройство использует допустимый сертификат.

1. Введите или выберите необходимую информацию:
   • . Введите имя узла или IP-адрес для сервера Cisco ACS.
   • . Введите порт, который сервер Cisco ACS должен использовать для прослушивания соединений (стандартный: 431).
2. Выберите , чтобы открыть диалоговое окно теста проверки подлинности Cisco ACS. Диалоговое окно Тест позволяет проверять правильность настройки учетных данных.
3. Нажмите для сохранения изменений. WhatsUp Gold сохраняет учетные данные Cisco ACS и диалоговое окно настройки внешней проверки подлинности закрывается.

Настройка брандмауэра для домена AD и доверительных отношений — Windows Server

• 08.09.2020
• 5 минут на чтение

В этой статье

В этой статье описывается, как настроить брандмауэр для доменов Active Directory и доверительных отношений.

Исходная версия продукта: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Оригинальный номер базы знаний: 179442

Примечание

Не все порты, перечисленные в приведенных здесь таблицах, необходимы во всех сценариях.Например, если брандмауэр разделяет участников и контроллеры домена, вам не нужно открывать порты FRS или DFSR. Кроме того, если вы знаете, что никакие клиенты не используют LDAP с SSL / TLS, вам не нужно открывать порты 636 и 3269.

Дополнительная информация

Примечание

Оба контроллера домена находятся в одном лесу или оба контроллера домена находятся в отдельном лесу. Кроме того, доверительные отношения в лесу являются доверительными отношениями Windows Server 2003 или более поздних версий.

Порты NETBIOS, перечисленные для Windows NT, также требуются для Windows 2000 и Windows Server 2003, когда настроены доверительные отношения с доменами, которые поддерживают связь только на основе NETBIOS.Примерами являются операционные системы на базе Windows NT или сторонние контроллеры домена, основанные на Samba.

Дополнительные сведения об определении портов сервера RPC, используемых службами LSA RPC, см .:

Windows Server 2008 и более поздние версии

Windows Server 2008 более новые версии Windows Server увеличили динамический диапазон клиентских портов для исходящих подключений. Новый начальный порт по умолчанию — 49152, а конечный порт по умолчанию — 65535. Следовательно, вы должны увеличить диапазон портов RPC в ваших брандмауэрах.Это изменение было внесено в соответствии с рекомендациями Управления по присвоению номеров в Интернете (IANA). Это отличается от домена смешанного режима, который состоит из контроллеров домена Windows Server 2003, контроллеров домена на базе Windows 2000 или устаревших клиентов, где динамический диапазон портов по умолчанию составляет от 1025 до 5000.

Дополнительные сведения об изменении диапазона динамических портов в Windows Server 2012 и Windows Server 2012 R2 см .:

Порты NETBIOS, перечисленные для Windows NT, также необходимы для Windows 2000 и Server 2003, когда настроены доверительные отношения с доменами, которые поддерживают связь только на основе NETBIOS.Примерами являются операционные системы на базе Windows NT или сторонние контроллеры домена, основанные на Samba.

(*) Для получения информации о том, как определить порты сервера RPC, которые используются службами LSA RPC, см .:

(**) Для работы доверия этот порт не требуется, он используется только для создания доверия.

Примечание

Внешнее доверие 123 / UDP необходимо только в том случае, если вы вручную настроили службу времени Windows для синхронизации с сервером через внешнее доверие.

Active Directory

В Windows 2000 и Windows XP протокол управляющих сообщений Интернета (ICMP) должен быть разрешен через брандмауэр от клиентов к контроллерам домена, чтобы клиент групповой политики Active Directory мог правильно работать через брандмауэр. ICMP используется для определения того, является ли ссылка медленной или быстрой.

В Windows Server 2008 и более поздних версиях служба информации о сетевом расположении предоставляет оценку пропускной способности на основе трафика с другими станциями в сети.Для оценки нет трафика.

Windows Redirector также использует сообщения ICMP Ping для проверки того, что IP-адрес сервера разрешен службой DNS до того, как будет установлено соединение, и когда сервер находится с помощью DFS. Если вы хотите минимизировать трафик ICMP, вы можете использовать следующий пример правила брандмауэра:

<любой> ICMP -> IP-адрес DC = разрешить

В отличие от уровня протокола TCP и уровня протокола UDP, ICMP не имеет номера порта.Это связано с тем, что ICMP размещается непосредственно на уровне IP.

По умолчанию DNS-серверы Windows Server 2003 и Windows 2000 Server используют временные порты на стороне клиента, когда они запрашивают другие DNS-серверы. Однако это поведение может быть изменено определенным параметром реестра. Или вы можете установить доверие через принудительный туннель протокола туннелирования точка-точка (PPTP). Это ограничивает количество портов, которые должен открывать брандмауэр. Для PPTP должны быть включены следующие порты.

Кроме того, вам необходимо включить IP PROTOCOL 47 (GRE).

Примечание

Когда вы добавляете разрешения к ресурсу в доверяющем домене для пользователей в доверенном домене, есть некоторые различия между поведением Windows 2000 и Windows NT 4.0. Если компьютер не может отобразить список пользователей удаленного домена, рассмотрите следующее поведение:

• Windows NT 4.0 пытается разрешить имена, введенные вручную, путем обращения к PDC для домена удаленного пользователя (UDP 138). Если это соединение не удается, компьютер под управлением Windows NT 4.0 связывается со своим собственным PDC, а затем запрашивает разрешение имени.
• Windows 2000 и Windows Server 2003 также пытаются связаться с PDC удаленного пользователя для разрешения через UDP 138. Однако они не полагаются на использование своего собственного PDC. Убедитесь, что все рядовые серверы под управлением Windows 2000 и рядовые серверы под управлением Windows Server 2003, которые будут предоставлять доступ к ресурсам, имеют возможность подключения к удаленному PDC по протоколу UDP 138.

Номер ссылки

Обзор служб и требования к сетевым портам для Windows — ценный ресурс, в котором описаны необходимые сетевые порты, протоколы и службы, которые используются клиентскими и серверными операционными системами Microsoft, серверными программами и их подкомпонентами в системе Microsoft Windows Server.Администраторы и специалисты службы поддержки могут использовать эту статью в качестве плана действий, чтобы определить, какие порты и протоколы требуются операционным системам и программам Microsoft для сетевого подключения в сегментированной сети.

Не следует использовать информацию о порте в обзоре служб и требованиях к сетевому порту для Windows для настройки брандмауэра Windows. Для получения информации о настройке брандмауэра Windows см. Брандмауэр Windows в режиме повышенной безопасности.

портов межсетевого экрана, необходимых для присоединения к домену AD

См. Приведенную ниже лабораторную работу по тестированию, проведенному для проверки портов брандмауэра, необходимых для присоединения к домену AD

Компоненты в этой лаборатории

• Windows 10 Machine — 172.16.1.200
• Контроллер домена Windows 2019 AD — 10.10.10.200
• Политика межсетевого экрана в PfSense

1. Блокировать доступ с 172.16.1.0/24 по 10.10.10.0/24
2. Блокировать доступ с 10.10.10.0/24 до 172.16.1.0/24

Порты межсетевого экрана будут открываться один за другим с 172.16.1.0/24 по 10.10.10.0/24 для проверки фактических требуемых портов

Порты межсетевого экрана, необходимые для присоединения к домену AD (минимум)

Клиент Windows 10 может присоединиться к домену AD Windows 2019 со следующими портами, разрешенными в брандмауэре

• TCP 88 (Центр распространения ключей Kerberos)
• TCP 135 (Удаленный вызов процедур)
• TCP 139 (Служба сеансов NetBIOS)
• TCP 389 (LDAP)
• TCP 445 (SMB, Net Logon)
• UDP 53 ( DNS)
• UDP 389 (LDAP, DC Locator, Net Logon)
• TCP 49152-65535 (произвольно назначенные высокие TCP-порты)

Без TCP Открыты высокие порты

Следующее сообщение появляется даже при успешном подключении к домену, и в брандмауэре заблокировано много высоких портов TCP.

• Не удается применить групповую политику
• Для запуска компьютера и успешного входа в домен требуется очень много времени

Дополнительные порты

• UDP 123 (NTP)
• TCP 53 (DNS)
• TCP 464 (пароль Kerberos V5 — используется, когда пользователь меняет свой пароль с рабочего стола)
• UDP 137 (разрешение имени NetBIOS)
• UDP 138 (служба датаграмм NetBIOS)
• TCP 636 (LDAP SSL)
• UDP 636 (LDAP SSL)
• TCP 3268 (Глобальный каталог)

Без TCP 464 Открыть

Пользователь все еще может успешно изменить свой пароль, даже если TCP 464 заблокирован в брандмауэре

Правила брандмауэра в брандмауэре pfesense

Создано следующее правило брандмауэра

1. Трафик из WIN10 (172.16.1.200) к контроллеру домена AD (10.10.10.200)

2. Трафик от контроллера домена AD (10.10.10.200) до WIN10 (172.16.1.200) — весь блок

Active Directory — MSNoob

Если вы включаете брандмауэр Windows или если есть внешний брандмауэр для ваших доменных служб Active Directory (ADDS), в этом случае сервер контроллера домена, вам необходимо правильно настроить разрешенный порт для контроллера домена. В таблице ниже показаны все порты, необходимые для контроллера домена.

Если вы также развертываете службу DHCP на контроллере домена, вам также необходимо разрешить порты, необходимые для службы DHCP.

Для получения более подробной информации о портах, необходимых на сервере Windows, вы можете попробовать следующую ссылку https://support.microsoft.com/en-in/help/832017/service-overview-and-network-port-requirements-for -окна

Нравится:

Нравится Загрузка …

Ошибка

Ой! Мы не можем найти нужную страницу.

А может вы искали одну из этих страниц?

Подготовка инфраструктуры

Начать мониторинг

Включить полную видимость

Использование возможностей API интеграции

Ищете руководства по быстрому запуску?

Перейти на страницу документации.

Какие порты на брандмауэре должны быть открыты между контроллерами домена и рядовыми серверами? «KiloRoot

Если вы находитесь в достаточно защищенной сети, ваши контроллеры домена Active Directory изолированы от всех ваших рабочих станций и рядовых серверов. Это хорошо, однако, если ваши внутренние брандмауэры не настроены должным образом, это может вызвать всевозможные проблемы при повседневных операциях с доменом.

Обновление: Вы также можете проверить эту статью о совместном использовании файлов Windows — какие порты используются и почему? Он отвечает на множество основных вопросов о технологии совместного использования файлов Windows и разоблачает множество дезинформации (во многие из которых вы, вероятно, поверите, если вы какое-то время были администратором Windows, как и я…): Общий доступ к файлам Windows: перед лицом тайны

Итак, к этому моменту я составил краткий список портов, которые должны быть открыты в обоих направлениях, чтобы ваш домен функционировал должным образом ( Это было обновлено 3-27-2017, чтобы добавить TCP 5722 … Как-то я пропустил этот порт для давно… ):

• Порт TCP и UDP 88 — Проверка подлинности Kerberos
• TCP и UDP-порт 135 — операции между контроллерами домена и контроллером домена и клиент-контроллер домена.
• TCP-порт 139 и UDP 138 — Служба репликации файлов между контроллерами домена.
• UDP-порт 389 — LDAP для обработки обычных запросов от клиентских компьютеров к контроллерам домена.
• TCP и UDP-порт 445 — Служба репликации файлов
• TCP и UDP-порт 464 — изменение пароля Kerberos
• TCP-порт 3268 и 3269 — Глобальный каталог от клиента к контроллеру домена.
• TCP и UDP-порт 53 — DNS от клиента к контроллеру домена и от контроллера домена к контроллеру домена.
• TCP-порт 5722 — DFSR / RPC — Репликация Sysvol между контроллерами домена.

Это был список, который я нашел в моем первом указанном URL. Однако по опыту я обнаружил, что вам понадобится один или, возможно, оба из следующих диапазонов портов:

• Диапазон портов TCP 1025-5000 — Если в вашей сети есть контроллеры домена Server 2003 R2 или более старые. Это динамический диапазон по умолчанию для подключений RPC.
• Диапазон портов TCP 49152-65535 — Если в вашей сети есть контроллеры домена Server 2008 или новее.Это новый динамический диапазон портов для подключений RPC.

Наконец, в дополнение к этому, мне показалось странным, что на большинстве веб-сайтов не упоминалось, что вам, вероятно, следует открыть порт для NTP (Network Time Protocol) в качестве наилучшей практики (и я считаю, что поведение по умолчанию для рядовых серверов) синхронизировать их часы через контроллер домена. Если вы пропустите это, вы столкнетесь со всеми видами странного поведения в сети, поскольку часы вашего устройства будут медленно выходить из синхронизации. Итак…

• Порт UDP 123 — Протокол сетевого времени

Обновление 2: Если у вас возникли проблемы с правильной синхронизацией времени на контроллерах домена или рядовых серверах, вы можете ознакомиться с некоторыми из этих статей:
Проблема с циклической синхронизацией времени NTP — Hyper-V
Force Контроллер домена для синхронизации своих часов с внешним сервером времени

Последнее примечание стороны; если вы используете более старый диапазон динамических портов TCP для RPC от 1025 до 5000, это также приводит к открытию протокола удаленного рабочего стола (RDP) на TCP 3389.Если вы заботитесь о безопасности, это может быть непреднамеренным последствием, и в этом случае вам нужно добавить явное правило запрета на ваш брандмауэр или устройство маршрутизации, чтобы заблокировать это.

Вот и все! Надеюсь, это поможет всем вам, другим администраторам Windows и сетевым администраторам, которым приходится иметь дело с этим каждый день.

Ура!

http://www.windowsnetworking.com/kbase/WindowsTips/WindowsServer2008/AdminTips/ActiveDirectory/WhatAllPortsAreRrequiredByDomainControllersAndClientComputers.html
https://technet.microsoft.com/en-us/library/Dd772723(v=WS.10).aspx
https://technet.microsoft.com/en-us/library/Cc959828.aspx

135,137,138,139,389,445,464,636,3268,3269,3343,5722,5985,5986,49152-65535

Требуемые порты и протоколы — Руководство администратора каталогов и ресурсов

Как Active Directory взаимодействует?

Active Directory (AD) использует несколько служб связи для связи с клиентскими компьютерами и между контроллерами домена. Разнообразие используемых протоколов связи отражает сложную природу как AD, так и стандартных отраслевых протоколов, которые реализует AD, таких как Kerberos и Lightweight Directory Access Protocol (LDAP).Понимание того, как AD взаимодействует, может иметь решающее значение при работе с контроллерами домена или клиентами, которые отделены от контроллеров домена брандмауэрами или другими устройствами фильтрации портов (например, маршрутизаторами).

Базовые коммуникации

AD требуется только несколько базовых сервисов, чтобы быть доступными для нормальной работы:

• Порт 88 протокола пользовательских дейтаграмм (UDP) используется для аутентификации Kerberos. Порт 88 протокола управления передачей (TCP) также можно использовать, хотя он встречается реже.
• TCP и UDP-порты 135 необходимы для отображения конечных точек удаленного вызова процедур (RPC). RPC используются для ряда операций «контроллер домена — контроллер домена» и «клиент — контроллер домена». К сожалению, не вся связь осуществляется через порт 135, о чем я расскажу позже.
• TCP-порт 139 и UDP-порт 138 необходимы для репликации файлов между контроллерами домена. Эта комбинация портов является стандартным набором портов службы сеанса NetBIOS.
• UDP-порт 389 обрабатывает запросы LDAP и используется для обычных операций контроллера домена.
• Порты TCP и UDP 445 используются для репликации файлов и являются стандартными портами общего доступа к файлам Windows.
• Порты TCP и UDP 464 — это порты протокола смены пароля Kerberos.
• TCP-порт 593 используется транспортом RPC через HTTP. Хотя вам технически не нужен этот порт для нормальной работы, позже я расскажу, как эта функция может немного упростить работу с контроллерами домена через брандмауэры.
• TCP-порт 636 предназначен для LDAP через Secure Sockets Layer (SSL), который является методологией LDAP по умолчанию для Windows Server 2003 и более поздних версий.
• TCP-порт 3268 и 3269 обрабатывают запросы глобального каталога (GC). Порт 3269 обрабатывает защищенные запросы. Любой контроллер домена, которому нужен доступ к GC или который действует как GC-сервер, будет использовать эти порты.
• TCP и UDP-порты 53 используются для связи с системой доменных имен (DNS), которая является важной частью связи AD.

Обычно открытие этих портов между клиентами и контроллерами домена или между контроллерами домена позволяет AD нормально функционировать.Единственным исключением является трафик RPC.

Сопоставление конечных точек RPC

Большинство соединений RPC сначала запускаются через TCP-порт 135. Однако это просто служба сопоставления конечных точек RPC. Его функция — выбрать новый порт назначения для дальнейших коммуникаций в этом сеансе RPC. Exchange Server является основным пользователем сопоставления конечных точек RPC, и в результате получить трафик Exchange через брандмауэр очень сложно. Диапазон потенциальных адресов конечных точек, используемых для связи RPC, огромен, по существу, требуется, чтобы был открыт весь брандмауэр, чтобы обеспечить все возможности.Порты, выбранные сопоставителем конечных точек, могут варьироваться от TCP 1024 до TCP 65535.

К счастью, вы можете заставить AD всегда сопоставлять конечные точки с определенными портами. Управление по присвоению номеров в Интернете (IANA) выделило порты с 49152 по 65535 для назначения частных портов, поэтому выберите порты из этого диапазона и заставьте AD всегда использовать их. После этого вы сможете открыть гораздо меньший диапазон портов в своих брандмауэрах.

Чтобы принудительно выбрать порт, измените раздел реестра HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NTDS \ Parameters.Вам нужно будет создать или изменить значение DWORD с именем TCP / IP Port и установить для него любой порт, который вы собираетесь использовать. Однако у этой модификации есть и недостатки:

• Вам нужно будет изменить каждый контроллер домена в вашей сети; в противном случае они не смогут нормально общаться. Вы фактически отключаете сопоставление конечных точек, поэтому всем контроллерам домена придется вручную указать, какой порт использовать.
• Контроллерам домена придется работать немного сложнее, чтобы обрабатывать такое же количество подключений.Серверы обмениваются данными менее эффективно, когда они вынуждены использовать один порт для всех коммуникаций, потому что они не могут полагаться на номер порта для идентификации отдельных «разговоров».

RPC через HTTP

Windows Server 2003 предлагает новый захватывающий протокол связи: пакеты RPC, встроенные в легко транспортируемые пакеты HTTP. Этот протокол называется RPC через HTTP, и он обрабатывается DLL прокси RPC, которая устанавливается как дополнительный компонент IIS 6.0.

К сожалению, компьютер, инициирующий диалог, должен выбрать использование RPC через HTTP, а Windows в настоящее время не предназначена для этого для связи в домене.Единственное практическое применение RPC через HTTP на данный момент — это связь Outlook 2003 с Exchange Server 2003; RPC over HTTP здесь бесценен, потому что он позволяет клиенту с тяжелым RPC, такому как Outlook, взаимодействовать через простые в управлении порты HTTP. Надеюсь, что в будущем RPC over HTTP станет более распространенным средством связи.

Выбор боя

Если вы находитесь в ситуации, когда вам нужно, чтобы AD-коммуникации проходили через брандмауэр, попробуйте выбрать путь наименьшего сопротивления.