Porte e protocolli di rete Microsoft
La tabella seguente mostra le porte e i protocolli di rete utilizzati dai prodotti server e dai relativi sottocomponenti nel sistema di server Microsoft Windows.
|
Porta
|
Protocollo
|
Protocollo di applicazione
|
Nome servizio di sistema
|
|
n/d
|
GRE
|
GRE (protocollo IP 47)
|
Routing e Accesso remoto
|
|
n/d
|
ESP
|
IPSec ESP (protocollo IP 50)
|
Routing e Accesso remoto
|
|
n/d
|
AH
|
IPSec AH (protocollo IP 51)
|
Routing e Accesso remoto
|
|
7
|
TCP
|
Echo
|
Servizi semplici TCP/IP
|
|
7
|
UDP
|
Echo
|
Servizi semplici TCP/IP
|
|
9
|
TCP
|
Discard
|
Servizi semplici TCP/IP
|
|
9
|
UDP
|
Discard
|
Servizi semplici TCP/IP
|
|
13
|
TCP
|
Daytime
|
Servizi semplici TCP/IP
|
|
13
|
UDP
|
Daytime
|
Servizi semplici TCP/IP
|
|
17
|
TCP
|
Quotd
|
Servizi semplici TCP/IP
|
|
17
|
UDP
|
Quotd
|
Servizi semplici TCP/IP
|
|
19
|
TCP
|
Chargen
|
Servizi semplici TCP/IP
|
|
19
|
UDP
|
Chargen
|
Servizi semplici TCP/IP
|
|
20
|
TCP
|
Dati predefiniti FTP
|
Servizio Pubblicazione FTP
|
|
21
|
TCP
|
Controllo FTP
|
Servizio Pubblicazione FTP
|
|
21
|
TCP
|
Controllo FTP
|
Gateway di livello applicazione
|
|
23
|
TCP
|
Telnet
|
Telnet
|
|
25
|
TCP
|
SMTP
|
Protocollo SMTP
|
|
25
|
UDP
|
SMTP
|
Protocollo SMTP
|
|
25
|
TCP
|
SMTP
|
Exchange Server
|
|
25
|
UDP
|
SMTP
|
Exchange Server
|
|
42
|
TCP
|
Replica WINS
|
Windows Internet Name Service
|
|
42
|
UDP
|
Replica WINS
|
Windows Internet Name Service
|
|
53
|
TCP
|
DNS
|
Server DNS
|
|
53
|
UDP
|
DNS
|
Server DNS
|
|
53
|
TCP
|
DNS
|
Firewall connessione Internet/Condivisione connessione Internet
|
|
53
|
UDP
|
DNS
|
Firewall connessione Internet/Condivisione connessione Internet
|
|
67
|
UDP
|
Server DHCP
|
Server DHCP
|
|
67
|
UDP
|
Server DHCP
|
Firewall connessione Internet/Condivisione connessione Internet
|
|
69
|
UDP
|
TFTP
|
Servizio Trivial FTP Daemon
|
|
80
|
TCP
|
HTTP
|
Servizi Windows Media
|
|
80
|
TCP
|
HTTP
|
Servizio Pubblicazione sul Web
|
|
80
|
TCP
|
HTTP
|
SharePoint Portal Server
|
|
88
|
TCP
|
Kerberos
|
Centro distribuzione chiave Kerberos
|
|
88
|
UDP
|
Kerberos
|
Centro distribuzione chiave Kerberos
|
|
102
|
TCP
|
X.400
|
Microsoft Exchange - Stack Agente di trasferimento messaggi
|
|
110
|
TCP
|
POP3
|
Servizio POP3 Microsoft
|
|
110
|
TCP
|
POP3
|
Exchange Server
|
|
119
|
TCP
|
NNTP
|
Network News Transfer Protocol
|
|
123
|
UDP
|
NTP
|
Ora di Windows
|
|
123
|
UDP
|
SNTP
|
Ora di Windows
|
|
135
|
TCP
|
RPC
|
Accodamento messaggi
|
|
135
|
TCP
|
RPC
|
RPC (Remote Procedure Call)
|
|
135
|
TCP
|
RPC
|
Exchange Server
|
|
135
|
TCP
|
RPC
|
Servizi certificati
|
|
135
|
TCP
|
RPC
|
Servizio cluster
|
|
135
|
TCP
|
RPC
|
File system distribuito
|
|
135
|
TCP
|
RPC
|
Manutenzione collegamenti distribuiti
|
|
135
|
TCP
|
RPC
|
Distributed Transaction Coordinator
|
|
135
|
TCP
|
RPC
|
Registro eventi
|
|
135
|
TCP
|
RPC
|
Servizio fax
|
|
135
|
TCP
|
RPC
|
Replica file
|
|
135
|
TCP
|
RPC
|
Autorità di protezione locale
|
|
135
|
TCP
|
RPC
|
Notifica di Archiviazione remota
|
|
135
|
TCP
|
RPC
|
Server di archiviazione remota
|
|
135
|
TCP
|
RPC
|
Systems Management Server 2.0
|
|
135
|
TCP
|
RPC
|
Licenze Servizi terminal
|
|
135
|
TCP
|
RPC
|
Directory di sessione di Servizi terminal
|
|
137
|
UDP
|
Risoluzione dei nomi NetBIOS
|
Browser di computer
|
|
137
|
UDP
|
Risoluzione dei nomi NetBIOS
|
Server
|
|
137
|
UDP
|
Risoluzione dei nomi NetBIOS
|
Windows Internet Name Service
|
|
137
|
UDP
|
Risoluzione dei nomi NetBIOS
|
Accesso rete
|
|
137
|
UDP
|
Risoluzione dei nomi NetBIOS
|
Systems Management Server 2.0
|
|
138
|
UDP
|
Servizio datagrammi NetBIOS
|
Browser di computer
|
|
138
|
UDP
|
Servizio datagrammi NetBIOS
|
Messenger
|
|
138
|
UDP
|
Servizio datagrammi NetBIOS
|
Server
|
|
138
|
UDP
|
Servizio datagrammi NetBIOS
|
Accesso rete
|
|
138
|
UDP
|
Servizio datagrammi NetBIOS
|
File system distribuito
|
|
138
|
UDP
|
Servizio datagrammi NetBIOS
|
Systems Management Server 2.0
|
|
138
|
UDP
|
Servizio datagrammi NetBIOS
|
Servizio registrazione licenze
|
|
139
|
TCP
|
Servizio sessioni NetBIOS
|
Browser di computer
|
|
139
|
TCP
|
Servizio sessioni NetBIOS
|
Servizio fax
|
|
139
|
TCP
|
Servizio sessioni NetBIOS
|
Avvisi e registri di prestazioni
|
|
139
|
TCP
|
Servizio sessioni NetBIOS
|
Spooler di stampa
|
|
139
|
TCP
|
Servizio sessioni NetBIOS
|
Server
|
|
139
|
TCP
|
Servizio sessioni NetBIOS
|
Accesso rete
|
|
139
|
TCP
|
Servizio sessioni NetBIOS
|
RPC Locator
|
|
139
|
TCP
|
Servizio sessioni NetBIOS
|
File system distribuito
|
|
139
|
TCP
|
Servizio sessioni NetBIOS
|
Systems Management Server 2.0
|
|
139
|
TCP
|
Servizio sessioni NetBIOS
|
Servizio registrazione licenze
|
|
143
|
TCP
|
IMAP
|
Exchange Server
|
|
161
|
UDP
|
SNMP
|
Servizio SNMP
|
|
162
|
UDP
|
SNMP Traps Outbound
|
Servizio Trap SNMP
|
|
389
|
TCP
|
Server LDAP
|
Autorità di protezione locale
|
|
389
|
UDP
|
Server LDAP
|
Autorità di protezione locale
|
|
389
|
TCP
|
Server LDAP
|
File system distribuito
|
|
389
|
UDP
|
Server LDAP
|
File system distribuito
|
|
443
|
TCP
|
HTTPS
|
SSL HTTP
|
|
443
|
TCP
|
HTTPS
|
Servizio Pubblicazione sul Web
|
|
443
|
TCP
|
HTTPS
|
SharePoint Portal Server
|
|
445
|
TCP
|
SMB
|
Servizio fax
|
|
445
|
TCP
|
SMB
|
Spooler di stampa
|
|
445
|
TCP
|
SMB
|
Server
|
|
445
|
TCP
|
SMB
|
RPC Locator
|
|
445
|
TCP
|
SMB
|
File system distribuito
|
|
445
|
TCP
|
SMB
|
Servizio registrazione licenze
|
|
445
|
TCP
|
SMB
|
Accesso rete
|
|
500
|
UDP
|
IPSec ISAKMP
|
Autorità di protezione locale
|
|
515
|
TCP
|
LPD
|
Server di stampa TCP/IP
|
|
548
|
TCP
|
File server per Macintosh
|
File server per Macintosh
|
|
554
|
TCP
|
RTSP
|
Servizi Windows Media
|
|
563
|
TCP
|
NNTP su SSL
|
Network News Transfer Protocol
|
|
593
|
TCP
|
RPC su HTTP
|
RPC (Remote Procedure Call)
|
|
593
|
TCP
|
RPC su HTTP
|
Exchange Server
|
|
636
|
TCP
|
LDAP SSL
|
Autorità di protezione locale
|
|
636
|
UDP
|
LDAP SSL
|
Autorità di protezione locale
|
|
993
|
TCP
|
IMAP su SSL
|
Exchange Server
|
|
995
|
TCP
|
POP3 su SSL
|
Exchange Server
|
|
1270
|
TCP
|
Con crittografia MOM
|
Microsoft Operations Manager 2000
|
|
1433
|
TCP
|
SQL su TCP
|
Microsoft SQL Server
|
|
1433
|
TCP
|
SQL su TCP
|
MSSQL$UDDI
|
|
1434
|
UDP
|
SQL Probe
|
Microsoft SQL Server
|
|
1434
|
UDP
|
SQL Probe
|
MSSQL$UDDI
|
|
1645
|
UDP
|
RADIUS legacy
|
Servizio di autenticazione Internet
|
|
1646
|
UDP
|
RADIUS legacy
|
Servizio di autenticazione Internet
|
|
1701
|
UDP
|
L2TP
|
Routing e Accesso remoto
|
|
1723
|
TCP
|
PPTP
|
Routing e Accesso remoto
|
|
1755
|
TCP
|
MMS
|
Servizi Windows Media
|
|
1755
|
UDP
|
MMS
|
Servizi Windows Media
|
|
1801
|
TCP
|
MSMQ
|
Accodamento messaggi
|
|
1801
|
UDP
|
MSMQ
|
Accodamento messaggi
|
|
1812
|
UDP
|
Autenticazione RADIUS
|
Servizio di autenticazione Internet
|
|
1813
|
UDP
|
Accounting RADIUS
|
Servizio di autenticazione Internet
|
|
1900
|
UDP
|
SSDP
|
Servizio di rilevamento SSDP
|
|
2101
|
TCP
|
MSMQ-DC
|
Accodamento messaggi
|
|
2103
|
TCP
|
MSMQ-RPC
|
Accodamento messaggi
|
|
2105
|
TCP
|
MSMQ-RPC
|
Accodamento messaggi
|
|
2107
|
TCP
|
MSMQ-Mgmt
|
Accodamento messaggi
|
|
2393
|
TCP
|
OLAP Services 7.0
|
SQL Server: Downlevel OLAP Client Support
|
|
2394
|
TCP
|
OLAP Services 7.0
|
SQL Server: Downlevel OLAP Client Support
|
|
2460
|
UDP
|
MS Theater
|
Servizi Windows Media
|
|
2535
|
UDP
|
MADCAP
|
Server DHCP
|
|
2701
|
TCP
|
SMS Remote Control (controllo)
|
Agente SMS di controllo remoto
|
|
2701
|
UDP
|
SMS Remote Control (controllo)
|
Agente SMS di controllo remoto
|
|
2702
|
TCP
|
SMS Remote Control (dati)
|
Agente SMS di controllo remoto
|
|
2702
|
UDP
|
SMS Remote Control (dati)
|
Agente SMS di controllo remoto
|
|
2703
|
TCP
|
SMS Remote Chat
|
Agente SMS di controllo remoto
|
|
2703
|
UDP
|
SMS Remote Chat
|
Agente SMS di controllo remoto
|
|
2704
|
TCP
|
SMS Remote File Transfer
|
Agente SMS di controllo remoto
|
|
2704
|
UDP
|
SMS Remote File Transfer
|
Agente SMS di controllo remoto
|
|
2725
|
TCP
|
SQL Analysis Services
|
SQL Analysis Server
|
|
2869
|
TCP
|
UPNP
|
Host di periferiche Universal Plug and Play
|
|
2869
|
TCP
|
Notifica eventi SSDP
|
Servizio di rilevamento SSDP
|
|
3268
|
TCP
|
Server di catalogo globale
|
Autorità di protezione locale
|
|
3269
|
TCP
|
Server di catalogo globale
|
Autorità di protezione locale
|
|
3343
|
UDP
|
Servizio cluster
|
Servizio cluster
|
|
3389
|
TCP
|
Servizi terminal
|
Condivisione desktop remoto di NetMeeting
|
|
3389
|
TCP
|
Servizi terminal
|
Servizi terminal
|
|
3527
|
UDP
|
MSMQ-Ping
|
Accodamento messaggi
|
|
4011
|
UDP
|
BINL
|
Installazione remota
|
|
4500
|
UDP
|
NAT-T
|
Autorità di protezione locale
|
|
5000
|
TCP
|
Notifica eventi legacy SSDP
|
Servizio di rilevamento SSDP
|
|
5004
|
UDP
|
RTP
|
Servizi Windows Media
|
|
5005
|
UDP
|
RTCP
|
Servizi Windows Media
|
|
42424
|
TCP
|
Stato della sessione in ASP.Net
|
Servizio stato di ASP.NET
|
|
51515
|
TCP
|
MOM-Clear
|
Microsoft Operations Manager 2000
|
Porte e protocolli di rete Microsoft ForeFront Client Security
|
Porta
|
Protocollo
|
Direzione
|
Descrizione
|
|
1433
|
TCP e UDP
|
Server di raccolta -> Database di raccolta
|
Connessione al database MS SQL
|
|
445
|
TCP e UDP
|
Server di gestione -> Server di raccolta
|
L'utilizzo di un firewall tra questi due tipi di server non è supportato
|
|
135
|
TCP
|
Server di gestione -> Server di raccolta
|
L'utilizzo di un firewall tra questi due tipi di server non è supportato
|
|
1433
|
TCP
|
Server di gestione -> Database di raccolta
|
-
|
|
1434
|
UDP
|
Server di gestione -> Database di raccolta
|
-
|
|
80
|
TCP
|
Server di gestione -> Server di report
|
Connessione HTTP
|
|
443
|
TCP
|
Server di gestione -> Server di report
|
Connessione HTTPS
|
|
1433
|
TCP
|
Database di report -> Database di raccolta
|
L'utilizzo di un firewall tra questi due database non è supportato
|
|
1434
|
UDP
|
Database di report -> Database di raccolta
|
L'utilizzo di un firewall tra questi due database non è supportato
|
|
1433
|
TCP
|
Server di report -> Database di raccolta
|
-
|
|
1434
|
UDP
|
Server di report -> Database di raccolta
|
-
|
|
1433
|
TCP
|
Server di report -> Database di report
|
-
|
|
1434
|
UDP
|
Server di report -> Database di report
|
-
|
|
80
|
TCP
|
Server di distribuzione -> Microsoft Update o Upstream Server
|
Microsoft Update necessita di entrambe le porta 80 e 443
|
|
443
|
TCP
|
Server di distribuzione -> Microsoft Update o Upstream Server
|
Microsoft Update necessita di entrambe le porta 80 e 443
|
|
1270
|
TCP e UDP
|
Computer client -> Server di raccolta
|
-
|
|
8530 o 80 o secondo la configurazione personalizzata
|
TCP
|
Computer client -> Server di distribuzione
|
-
|
Porte e protocolli di rete Citrix
La tabella seguente mostra le porte e i protocolli di rete utilizzati dai prodotti Citrix.
|
Porta
|
Protocollo
|
Funzione
|
Configurazione
|
|
80
|
TCP
|
HTTP
|
Gestione Internet Information Services (IIS)
|
|
80
|
TCP
|
STA (IIS)
|
-
|
|
80
|
TCP
|
XML
|
Se i client di Presentation Server utilizzano il protocollo TCP/IP+HTTP, questa porta deve essere aperta in entrata sui firewall
|
|
443
|
TCP
|
SSL
|
Gestione Internet Information Services (IIS)
|
|
443
|
TCP
|
Citrix SSL relay
|
Gestione Internet Information Services (IIS)
|
|
1494
|
TCP
|
Sessione ICA
|
Comando "icaport". Questa porta deve essere aperta in entrata sui firewall
|
|
1604
|
UDP
|
Ricerca ICA
|
Non configurabile se nella farm sono presenti dei server MetaFrame 1.8. Con la console di Presentation Server è
possibile configurare il modo in cui i Presentation Server rispondono al traffico broadcast
|
|
2512
|
TCP
|
IMA
|
Comando "imaport"
|
|
2513
|
TCP
|
Console di Presentation Server
|
Comando "imaport"
|
|
2598
|
TCP
|
Sessione ICA con Session Reliability (affidabilità della sessione)
|
Client di Presentation Server e console di Presentation Server
|
|
8082
|
TCP
|
Citrix License Management Console
|
-
|
|
27000
|
TCP
|
Presentation Server Licensing
|
Console di Presentation Server
|
La tabella in formato PDF è più dettagliata:
Porte e connessioni di rete utilizzate dai prodotti Citrix, formato PDF, 22 KB
Porte e protocolli di rete Symantec
Le tabelle seguenti mostrano le porte ed i protocolli di rete utilizzati da Symantec Antivirus 10.0 e Symantec
Client Security 3.0.
Installazione remota:
|
Porta
|
Protocollo
|
Funzione
|
Dispositivo
|
|
1024-4999
|
TCP
|
Installazione remota client
|
Symantec System Center
|
|
1024-5000
|
TCP
|
Installazione remota client
|
Client remoto
|
|
139
|
TCP
|
Installazione remota client
|
Symantec System Center e client remoto
|
|
1024-5000
|
TCP
|
Installazione remota server
|
Server remoto
|
|
139, 38293
|
TCP
|
Installazione remota server
|
Symantec System Center e server remoto
|
Le utilità di installazione remota ClientRemote e AV Server Rollout utilizzano la porta TCP 139 sui computer remoti per effettuare
l’installazione remota del software.
Comunicazione client/server:
|
Porta
|
Protocollo
|
Funzione
|
Dispositivo
|
|
1024-4999
|
TCP
|
Comunicazione generale
|
Symantec System Center e server
|
|
2967*
|
TCP
|
Comunicazione generale
|
Symantec System Center, server, client
|
|
2968*
|
TCP
|
Comunicazione generale
|
Server NetWare
|
|
1024-5000
|
TCP
|
Comunicazione generale
|
Client
|
Le porte contrassegnate con un asterisco (*) possono essere configurate dall’amministratore.
Rtvscan effettua una richiesta Winsock sulla porta TCP 2967. Questa è la sola porta necessaria per la comunicazione tra server e client.
Questo valore può essere configurato nel registro di configurazione:
HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\AgentIPPort.
Il servizio SAVRoam utilizzato per i client roaming si connette alla porta TCP 2967 del server conn una porta dinamica.
Gestione centralizzata:
|
Porta
|
Protocollo
|
Funzione
|
Dispositivo
|
|
38293
|
UDP
|
Discovery (ricerca)
|
Server
|
|
1024-4999
|
UDP
|
Discovery (ricerca)
|
Symantec System Center
|
Il server che esegue Symantec Antivirus Server esegue anche il servizio Intel PDS. Questo servizio è in ascolto sulla porta 38293 per
la comunicazione con Rtvscan.
Per la comunicazione da server a server devi configurare le porte per il firewall:
TCP: da 2967 a * UDP: da 38293 a * TCP: da * a 2967 UDP: da * a 38293
Componenti specifici:
|
Porta
|
Protocollo
|
Funzione
|
Dispositivo
|
|
2847
|
TCP
|
Quarantena (HTTP)
|
Server Central Quarantine
|
|
2848
|
TCP
|
Quarantena (HTTPS)
|
Server Central Quarantine
|
|
38037, 38292
|
TCP
|
Msgsys (Alert Management System)
|
Server
|
|
2967, 2968
|
UDP
|
Legacy management
|
Server e client con versioni precedenti
|
La tabella seguente mostra le porte utilizzate da Symantec Endpoint Protection:
|
Porta
|
Protocollo
|
Processo
|
Descrizione
|
|
80
|
TCP
|
svchost.exe (IIS)
|
Comunicazione tra Protection Manager e gli agenti ed Enforcer inizializzata dagli agenti.
|
|
443
|
TCP
|
svchost.exe (IIS)
|
Comunicazione crittografata (HTTPS) tra Protection Manager e gli agenti ed Enforcer inizializzata dagli agenti.
|
|
1433
|
TCP
|
sqlservr.exe
|
Comunicazione tra Protection Manager ed il server Microsoft SQL, se la banca dati risiede su un sistema remoto. Comunicazione
inizializzata da Protection Manager.
|
|
1812
|
UDP
|
|
Comunicazione RADIUS tra Protection Manager e client Enforcer per l’autenticazione. Comunicazione inizializzata da
Enforcer.
|
|
2638
|
TCP
|
dbsrv9.exe
|
Comunicazione tra il database integrato e Policy Manager inizializzata da Protection Manager.
|
|
8443
|
TCP
|
SemSvc.exe
|
Comunicazione HTTPS tra Policy Manager ed una console remota di Policy Manager. Comunicazione inizializzata da
java remoto o console web. Tutte le informazioni di accesso e la gestione è trasferita tramite il canale
sicuro.
|
|
9090
|
TCP
|
SemSvc.exe
|
Comunicazione HTTP tra Policy Manager ed una console remota di Policy Manager. Comunicazione inizializzata dalla
console web. Questa connessione non sicura serve solamente per visualizzare la finestra di accesso.
|
|
8005
|
TCP
|
SemSvc.exe
|
Porta predefinita utilizzata dal servizio Tomcat.
|
|
39999
|
UDP
|
|
Comunicazione tra gli agenti e client Enforcer.
|
Porte e protocolli di rete LANDesk
Le tabelle seguenti mostrano le porte ed i protocolli di rete utilizzati da LANDesk Management Suite.
Componenti di LANDesk Management Suite 8.7:
|
Porta
|
Protocollo
|
Direzione
|
Componente
|
|
67
|
UDP
|
Client -> PXE Rep *
|
PXE (Broadcast)
|
|
68
|
UDP
|
PXE Rep -> Client *
|
PXE
|
|
69
|
UDP
|
Client -> PXE Rep *
|
TFTP
|
|
80
|
TCP
|
Client -> Core
|
Vulnerability Scan
|
|
443
|
TCP
|
Console, client -> Core
|
HTTPS Management
|
|
1758
|
UDP
|
PXE Rep -> Client *
|
MTFTP
|
|
1759
|
UDP
|
Client -> PXE Rep
|
MTFTP
|
|
4011
|
UDP
|
Client -> PXE Rep
|
PXE Rep (Unicast)
|
|
5007
|
TCP
|
Client -> Core
|
Inventory
|
|
9535
|
TCP
|
Core -> Client
|
Remote Management
|
|
9535
|
TCP
|
Core -> Client
|
Remote Management SP1 Mac
|
|
9535
|
UDP
|
XDD Client -> XDD Client *
|
Device Discovery
|
|
9593
|
TCP
|
Core -> Client
|
Software Distribution
|
|
9594
|
TCP
|
Core <-> Client
|
Software Distribution
|
|
9595
|
UDP/TCP
|
Core <-> Client
|
Agent Discovery
|
|
9971
|
TCP
|
Core -> Client
|
Agentless AMT Discovery
|
|
9982
|
TCP
|
Client -> Core
|
AMT Discovery (VPro)
|
|
12174
|
TCP
|
Core -> Client
|
Remote Execute
|
|
12175
|
TCP
|
Client -> Core
|
Policy Based Software Distribution
|
|
12176
|
TCP
|
Client -> Core
|
Policy Based Software Distribution
|
|
16992
|
TCP
|
Core <-> Client
|
HTTP AMT Management
|
|
16993
|
TCP
|
Core <-> Client
|
HTTPS AMT Management
|
|
19994
|
TCP
|
Core <-> Client
|
AMT Hello Packets
|
|
33354
|
TCP
|
Client -> Client *
|
Peer Download
|
|
33354
|
UDP/TCP
|
Core -> Subnet Rep
|
Multicast
|
|
33355
|
UDP
|
Subnet Rep -> Client *
|
Multicast
|
* = solo traffico sulla subnet locale.
Altri componenti:
|
Porta
|
Protocollo
|
Direzione
|
Componente
|
|
80
|
TCP
|
Client -> Source
|
URL Download
|
|
80
|
TCP
|
Console -> Core
|
HTTP Management
|
|
389
|
TCP
|
Core -> Directory
|
LDAP Queries
|
|
443
|
TCP
|
Console, client -> Core
|
HTTPS Management
|
|
445
|
TCP
|
Client -> Source
|
UNC Download
|
|
1433 **
|
TCP
|
Console, Core -> Database
|
Microsoft SQL
|
|
1521 **
|
TCP
|
Console, Core -> Database
|
Oracle
|
** = valori predefiniti che possono essere modificati.
Active Directory
Questo paragrafo descrive i gruppi di sicurezza di Microsoft Active Directory.
Gruppi locali del dominio:
i gruppi locali possono contenere gruppi di altri
domini. I gruppi locali possono essere assegnati solamente a risorse locali, cioè
solo nel dominio cui appartengono.
Gruppi universali:
i gruppi universali possono contenere gruppi di altri
domini. I gruppi universali sono salvati nel catalogo globale di Active Directory e
possono essere assegnati sia a risorse locali che a risorse in altri domini.
Gruppi globali del dominio:
i gruppi globali contengono i gruppi del dominio
cui appartengono (locale) e possono essere assegnati sia a risorse locali che a risorse
in altri domini. Citrix raccomanda l’uso di gruppi globali per la configurazione dei
diritti di accesso alle applicazioni e alle stampanti di rete.
Gruppi locali del dominio e gruppi universali sono disponibili solamente nei domini di
Active Directory eseguiti in modo nativo.
Alcuni scenari di implementazione:
-
Se utilizzi i gruppi universali per configurare i diritti di accesso alle applicazioni
pubblicate, i server che eseguono le applicazioni devono essere membri del dominio di Active
Directory (se utilizzi Load Manager).
-
Se utilizzi i gruppi locali per configurare i diritti di accesso alle applicazioni
pubblicate, i server che eseguono le applicazioni e Load Manager devono essere membri dello
stesso dominio. Il gruppo locale assegnato all’applicazione deve appartenere al
controller di dominio primario di tutti i server Load Manager.
Le tabelle seguenti mostrano degli esempi di configurazione di Active Directory con gruppi globali,
locali e universali.
Gruppi globali del dominio:
|
Filtro Program Neighborhood
|
Autenticazione applicazioni pubblicate
|
Autenticazione console di Presentation Server
|
|
Nessun effetto negativo
|
Nessun effetto negativo
|
Nessun effetto negativo
|
Gruppi locali del dominio:
|
Filtro Program Neighborhood
|
Autenticazione applicazioni pubblicate
|
Autenticazione console di Presentation Server
|
|
Raccomandazione: tutti i server della farm devono appartenere allo stesso dominio, affinché il filtro Program
Neighborhood funzioni correttamente.
|
Raccomandazione: tutti i server su cui viene eseguito Load Manager per un’applicazione devono appartenere allo stesso dominio,
se un gruppo locale viene utilizzato per l’accesso all’applicazione.
|
Raccomandazione: se un utente è autorizzato come amministratore MetaFrame solamente tramite un gruppo locale, può
accedere alla console con un server appartenente allo stesso dominio del gruppo locale.
|
|
Motivo: se l’utente è membro del gruppo locale, il gruppo è associato solamente al token di sicurezza dell’utente
quando viene effettuato l’accesso da un computer nello stesso dominio. Il routing basato sui trust non garantisce che la
richiesta di accesso di un utente venga spedita ad un server nello stesso dominio del gruppo locale. Viene solamente garantito
che la richiesta venga elaborata in un dominio che ha delle relazioni di trust con il dominio dell’utente.
|
Motivo: i gruppi locali assegnati ad un’applicazione devono appartenere al dominio primario di tutti i server load manager.
Quando pubblichi le applicazioni, la lista mostra gruppi locali del dominio (se la condizione sopra descritta è vera) e
conti del dominio primario (il dominio primario è contrassegnato con un icona verde). Quando un’applicazione pubblicata
ha utenti da un gruppo locale del dominio e tu inserisci un server di un altro dominio, i gruppi locali vengono rimossi.
|
Motivo: se l’utente utilizza la console con un server in un altro dominio, all’utente verrà negato l’accesso
perché il gruppo locale non è presente nel token sicurezza dell’utente.
|
Gruppi universali:
|
Filtro Program Neighborhood
|
Autenticazione applicazioni pubblicate
|
Autenticazione console di Presentation Server
|
|
Raccomandazione: nessun dominio di ACtive Directory nell’insieme di strutture ha trust espliciti verso domini non-Active Directory.
|
Raccomandazione: tutti i server che amministrano le applicazioni devono appartenere ad un dominio Active Directory.
|
Raccomandazione: quando un utente esegue l’accesso alla console e l’utente è un amministratore MetaFrame solo
tramite il gruppo universale, la console deve effettuare la connessione con un server appartenente ad un dominio Active Directory
nell’insieme di strutture in cui si trova il gruppo universale.
|
|
Motivo: i domini non-Active Directory non conoscono i gruppi universali e i controller di dominio nascondono i gruppi universali
dal token sicurezza degli utenti, per cui le applicazioni non verranno probabilmente elencate in Program Neighborhood.
|
Motivo: un server in un dominio non-Active Directory potrebbe autenticare un utente per l’esecuzione di un’applicazione.
In questo caso i gruppi universali non sono nel toket sicurezza dell’utente e l’accesso all’applicazione viene negato. È
possibile che un server in un dominio Windows NT esegua il load manager per un’applicazione con server in un dominio Active Directory,
se esiste un trust esplicito tra i due domini.
|
Motivo: i controller di dominio dei domini non-Active Directory e domini al di fuori dell’insieme di strutture del gruppo
universale non hanno accesso alle informazioni sul gruppo universale.
|
Modifica dei trust di domini
Quando crei un nuovo trust tra domini, molto probabilmente non potrai selezionare subito i conti
utente basati sul trust.
Ad esempio, quando pubblichi un’applicazione, nella casella per la selezione dei conti
utente, il nuovo dominio del trust è visualizzato solamente quando il servizio IMA riconosce
il trust.
Nel sistema di gestione degli utenti, le informazioni sui trust di domini sono aggiornate
ogni 6 ore e all’avvio dei servizi. Per questo motivo, può durare fino a 6 ore finché
i server riconoscano la relazione di trust.
Per evitare i tempi di attesa puoi riavviare manualmente il servizio IMA su tutti i server
necessari. Citrix raccomanda di riavviare il servizio IMA solamente durante gli orari di minor
utilizzo del sistema.
Links
Requisiti delle porte per il sistema di server Microsoft Windows
Articolo CTX 101810 - Porte e protocolli di rete utilizzati dai prodotti Citrix
Porte assegnate IANA
|
