Vous êtes sur la page 1sur 4

20/03/12

Commen fai e po

config e

n pa e-fe po

le domaine e app oba ion

Numro d'article: 179442 - Dernire mise jour: lundi 19 mars 2012 - Version: 1.0

Comment faire pour configurer un pare-feu pour les domaines et approbations


Cliquez ici si vous souhaitez afficher en cte cte l article anglais et sa traduction automatique en franais ATTENTION : Cet article est issu du systme de traduction automatique
A no er
C et artic le s 'applique une vers ion de Windows diff rente de c elle que vous utilis ez s ur votre ordinateur. I l es t donc probable que le c ontenu fourni dans c et artic le ne s oit pas pertinent dans votre c as .V is itez la page d'A ide et Support d di e Windows 7

Rsum Cet article explique comment configurer un pare-feu pour les domaines et approbations. Notez que tous les ports rpertoris dans les tableaux ci-dessous sont requis dans tous les scnarios. Par exemple, si le pare-feu spare les membres et contrleurs de domaine, vous n'avez pas besoin d'ouvrir les ports FRS et/ou DFSR. galement si vous connaissez qu'aucuns les clients n'utilisent le protocole LDAP avec SSL/TLS, vous n'avez pas besoin d'ouvrir des ports 3 268 et 636. Plus d'informations Pour tablir une approbation de domaine ou un canal de scurit travers un pare-feu, les ports suivants doivent tre ouverts. Sachez qu'il existe peuttre des htes qui fonctionnent avec les rles des deux cts du pare-feu client et serveur. Par consquent, les rgles de ports peuvent avoir mettre en miroir.

Windows NT
Dans cet environnement, un ct de la confiance est un Windows NT 4.0 approbation ou l'approbation a t cr en utilisant les noms NetBIOS. Port (s) client 137/UDP UDP/138 Port du serveur Service 137/UDP UDP/138 Nom NetBIOS NetBIOS Netlogon et Navigation Session NetBIOS Rplication WINS

1024-65535/TCP TCP/139 1024-65535/TCP 42/TCP

Windows Server 2003 et Windows 2000 Server


Pour un domaine en mode mixte qui utilise des contrleurs de domaine Windows NT ou legacy clients, les relations d'approbation entre Domaine Windows Server 2003 contrleurs et domaine Windows 2000 Server contrleurs peuvent ncessiter que tre tous les ports pour Windows NT qui sont rpertoris dans le tableau prcdent ouverts en plus les ports suivants. Remarque : Deux contrleurs de domaine sont tous deux dans la mme fort, ou les deux contrleurs de domaine sont tous deux dans une fort distincte. En outre, les approbations de la fort sont Les approbations Windows Server 2003 ou des approbations d'une version ultrieure. Port (s) client 1024-65535/TCP 1024-65535/TCP 1024-65535/TCP/UDP
ppo .mic o of .com/kb/179442

Port du serveur Service 135/TCP RPC

1024-65535/TCP LSA RPC Services (*) TCP/389/UDP 636/TCP LDAP LDAP SSL
1/4

1024-65535/TCP

20/03/12

Commen fai e po config e 1024-65535/TCP

n pa e-fe po 636/TCP

le domaine e app oba ion LDAP SSL

1024-65535/TCP 1024-65535/TCP

3268/TCP 3269/TCP

LDAP GC LDAP GC SUR SSL DNS Kerberos PME/PMI

53,1024-65535/TCP/UDP 53/TCP/UDP 1024-65535/TCP/UDP 1024-65535/TCP 1024-65535/TCP 88/TCP/UDP 445/TCP

1024-65535/TCP FRS RPC (*)

(*) Pour dfinir les ports du serveur RPC qui sont utiliss par les services LSA RPC, consultez l'article 224196 ou la section contrleurs de domaine et Active Directory dans l'article suivant de la Base de connaissances Microsoft : 832017 (http://support.microsoft.com/kb/832017/ ) Vue d'ensemble des services et rseau configuration requise pour le systme Windows Server

Windows Server 2008/Windows Server 2008 R2


Dans un domaine en mode mixte qui se compose des contrleurs de domaine Windows Server 2003, les contrleurs de domaine Windows 2000 Server ou des clients hrits, la plage de ports dynamiques par dfaut est 1025 5000. Windows Server 2008 et Windows Server 2008 R2, dans le respect des recommandations Internet IANA Assigned Numbers Authority (), a augment la plage de ports dynamiques client pour les connexions sortantes. Le nouveau port de dmarrage par dfaut est 49152 et le port de fin par dfaut est 65 535. Par consquent, vous devez augmenter la plage de ports RPC dans votre pare-feu. Port (s) client 49152 -65535/UDP 49152 -65535/TCP 49152 -65535/TCP 49152 -65535/TCP 49152 -65535/TCP/UDP 49152 -65535/TCP 49152 -65535/TCP 49152 -65535/TCP Port du serveur 123/UDP 135/TCP UDP/138 49152-65535/TCP TCP/389/UDP 636/TCP 3268/TCP 3269/TCP Service W32Time RPC-EPMAP NetBIOS RPC (*) LDAP LDAP SSL LDAP GC LDAP GC SUR SSL DNS

53, 49152 -65535/TCP/UDP 53/TCP/UDP 49152 -65535/TCP 49152 -65535/TCP/UDP 49152 -65535/TCP/UDP 49152 -65535/TCP

49152 -65535/TCP FRS RPC (*) 88/TCP/UDP 445/TCP 5722/TCP Kerberos PME/PMI DFSR RPC (*)

Pour plus d'informations sur la modification de la plage de ports dynamiques dans Windows Server 2008, cliquez sur le numro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft : 929851 (http://support.microsoft.com/kb/929851/ ) La plage de ports dynamiques par dfaut pour le protocole TCP/IP a chang dans Windows Vista et Windows Server 2008 Pour plus d'informations sur cette modification, visitez le blog de l'quipe des Services de rpertoire Ask et lisez l'article suivant : Les Ports clients dynamiques dans Windows Server 2008 et Windows Vista (http://blogs.technet.com/askds/archive/2007/08/24/dynamic-client-ports-inw indow s-server-2008-and-w indow s-vista-or-how -i-learned-to-stop-w orrying-and-lovethe-iana.aspx)

ppo .mic o of .com/kb/179442

2/4

20/03/12

Commen fai e po

config e

n pa e-fe po

le domaine e app oba ion

(*) Pour dfinir les ports du serveur RPC qui sont utiliss par les services LSA RPC, consultez l'article 224196 ou la section contrleurs de domaine et Active Directory dans l'article suivant de la Base de connaissances Microsoft : 832017 (http://support.microsoft.com/kb/832017/ ) Vue d'ensemble des services et rseau configuration requise pour le systme Windows Server

Active Directory
Dans Windows 2000 et XP, pour le client de stratgie de groupe Active Directory fonctionne correctement travers un pare-feu, le protocole ICMP Internet Control Message Protocol () doit tre autoris traverser le pare-feu partir des clients pour les contrleurs de domaine. ICMP est utilis pour dterminer si le lien est lent ou rapide. Dans Windows Server 2008 et les versions plus rcentes, le Service de prise de conscience d'emplacement rseau fournit l'estimation de la bande passante en fonction du trafic avec d'autres stations sur le rseau. Aucun trafic n'est gnr pour l'estimation. Le redirecteur Windows utilise galement le protocole ICMP pour vrifier qu'une adresse IP du serveur est rsolue par le service DNS avant qu'une connexion est effectue, et lorsqu'un serveur est localis l'aide de DFS. Cela s'applique l'accs par les membres de domaine SYSVOL.

Si vous souhaitez rduire le trafic ICMP, vous pouvez utiliser les lments suivants exemple de rgle de pare-feu : <n IM - D I ad =alw ay CP C P dr lo

Contrairement la couche du protocole TCP et l'UDP couche de protocole ICMP n'a pas un numro de port. C'est parce que le protocole ICMP est hberg directement par la couche IP. Par dfaut, Windows Server 2003 et Windows 2000 Serveurs DNS utilisent des ports phmres ct client lorsqu'ils interrogent d'autres serveurs DNS serveurs. Toutefois, ce comportement peut tre modifi avec un Registre spcifique la dfinition qui est dcrite dans l'article suivant dans la base de connaissances Microsoft Base : 260186 (http://support.microsoft.com/kb/260186/ ) La cl de Registre DNS SendPort ne fonctionne pas comme prvu

Pour plus d'informations sur Active Directory et configuration du pare-feu, consultez Active Directory dans les rseaux segment par Livre blanc de Microsoft pare-feu". Pour ce faire, visitez le site Web suivant : adresse http://www.Microsoft.com/downloads/details.aspx ?FamilyID = c2ef3846-43f0-4caf-9767-a9166368434e & displaylang = fr
(http://w w w .microsoft.com/dow nloads/details.aspx?FamilyID=c2ef3846-43f04caf-9767-a9166368434e&displaylang=en)

Vous pouvez galement dfinir une relation d'approbation par le biais de la Tunnel obligatoire point point Tunneling Protocol (PPTP) et cela limitera le nombre de ports que le pare-feu devra ouvrir. Pour le protocole PPTP, le suivant les ports doit tre activ. Les Ports du client Port du serveur Protocole 1024-65535/TCP TCP/1723 PPTP

En outre, vous devez activer le protocole IP 47 (GRE). Remarque : Lorsque vous ajoutez des autorisations une ressource sur un domaine autoris approuver pour les utilisateurs dans un domaine
ppo .mic o of .com/kb/179442 3/4

20/03/12

Commen fai e po

config e

n pa e-fe po

le domaine e app oba ion

approuv, il existe certaines diffrences entre Windows 2000 et le comportement de Windows NT 4.0. Si l'ordinateur ne peut pas afficher une liste de la tlcommande utilisateurs du domaine : Windows NT 4.0 essaie de rsoudre les noms taps manuellement par contacter le contrleur principal de domaine de l'utilisateur distant (UDP 138). Si ce communication choue, un ordinateur fonctionnant sous Windows NT 4.0 contacte son propre contrleur principal de domaine, et puis demande la rsolution du nom. Windows 2000 et Windows Server 2003 tentent galement de contacter PDC l'utilisateur distant pour la rsolution sur UDP 138, mais ils ne reposent pas sur l'aide de leur propre contrleur principal de domaine. Assurez-vous que tous les serveurs membres Windows 2000 et Windows serveurs membre Server 2003 qui accorderont l'accs les ressources ont le port UDP 138 connectivit au contrleur principal de domaine distant.

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s): Mots-cl s : kbenv kbhowto kbnetwork kbmt KB179442 KbMtfr
Traduction automatique IMPORTANT : Cet article est issu du systme de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d articles obtenus par traduction automatique sont en effet mis votre disposition en complment des articles traduits en langue franaise par des traducteurs professionnels. Cela vous permet d avoir accs, dans votre propre langue, l ensemble des articles de la base de connaissances rdigs originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne trangre s exprimant dans votre langue !). Nanmoins, mis part ces imperfections, ces articles devraient suffire vous orienter et vous aider rsoudre votre problme. Microsoft s efforce aussi continuellement de faire voluer son systme de traduction automatique. La version anglaise de cet article est la suivante: 179442
(http://support.microsoft.com/kb/179442/en-us/ )

L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

ppo .mic o of .com/kb/179442

4/4