Τρόπος ρύθμισης παραμέτρων τείχους προστασίας για τομείς και σχέσεις αξιοπιστίας

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 179442 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Το άρθρο αυτό περιγράφει τον τρόπο ρύθμισης παραμέτρων ενός τείχους προστασίας για τομείς και σχέσεις αξιοπιστίας.

Περισσότερες πληροφορίες

Για τη δημιουργία ενός τομέα αξιοπιστίας ή καναλιού ασφάλειας σε ένα τείχος προστασίας, πρέπει να είναι ανοικτές οι ακόλουθες θύρες. Έχετε υπόψη ότι ενδέχεται να υπάρχουν κεντρικοί υπολογιστές που λειτουργούν τόσο με το ρόλο πελάτη όσο και με το ρόλο διακομιστή και στις δύο πλευρές του τείχους προστασίας. Κατά συνέπεια, οι κανόνες θυρών ενδέχεται να χρειαστεί να αντικατοπτριστούν.

Windows NT

Σε αυτό το περιβάλλον, η μία πλευρά της σχέσης αξιοπιστίας είναι μια σχέση αξιοπιστίας των Windows NT 4.0 ή η σχέση αξιοπιστίας δημιουργήθηκε χρησιμοποιώντας τα ονόματα NetBIOS.
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
Θύρες υπολογιστή-πελάτηΘύρα διακομιστήΥπηρεσία:
137/UDP137/UDPΌνομα NetBIOS
138/UDP138/UDPNetlogon και αναζήτηση NetBIOS
1024-65535/TCP139/TCPΠερίοδοι λειτουργίας NetBIOS
1024-65535/TCP42/TCPΑναπαραγωγή WINS

Windows Server 2003 and Windows 2000 Server

Για έναν τομέα μικτής κατάστασης που χρησιμοποιεί ελεγκτές τομέα Windows NT ή υπολογιστές-πελάτες παλαιού τύπου ή σχέση αξιοπιστίας μεταξύ δύο ελεγκτών τομέα με Windows Server 2003 ή Windows 2000 Server, οι οποίοι δεν βρίσκονται στο ίδιο σύμπλεγμα δομών, εκτός από τις ακόλουθες θύρες, ενδέχεται να χρειαστεί να ανοιχτούν όλες οι θύρες για τα Windows NT, οι οποίες παρατίθενται στον προηγούμενο πίνακα:
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
Θύρες υπολογιστή-πελάτηΘύρα διακομιστήΥπηρεσία:
1024-65535/TCP135/TCPRPC
1024-65535/TCP1024-65535/TCPLSA RPC Services (*)
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP GC SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
(*) Για να προσδιορίσετε τις θύρες διακομιστή RPC που χρησιμοποιούνται από τις υπηρεσίες LSA RPC, ανατρέξτε στην ενότητα "Ελεγκτές τομέα και υπηρεσία καταλόγου Active Directory" στο ακόλουθο άρθρο της Γνωσιακής βάσης της Microsoft (Knowledge Base):
832017 Επισκόπηση υπηρεσιών και απαιτήσεις θύρας δικτύου για το σύστημα του Windows Server
Για να λειτουργήσει σωστά η υπηρεσία καταλόγου Active Directory μέσω τείχους προστασίας, πρέπει να επιτραπεί η διέλευση του πρωτοκόλλου ICMP (Internet Control Message Protocol) μέσω του τείχους προστασίας, από υπολογιστές-πελάτες σε ελεγκτές τομέα, έτσι ώστε οι υπολογιστές-πελάτες να αποκτήσουν τη δυνατότητα λήψης πληροφοριών σχετικά με την "Πολιτική ομάδας" (Group Policy).

Το ICMP χρησιμοποιείται για να προσδιοριστεί αν πρόκειται για αργή ή γρήγορη σύνδεση. Το ICMP είναι ένα αξιόπιστο πρωτόκολλο, το οποίο χρησιμοποιεί την υπηρεσία καταλόγου Active Directory για τον εντοπισμό της πολιτικής ομάδας (Group Policy) και τον εντοπισμό της μονάδας MTU (Maximum Transfer Unit). Η δυνατότητα "Ανακατεύθυνση των Windows" (Windows Redirector) χρησιμοποιεί επίσης το ICMP για να επιβεβαιώσει ότι ο διακομιστής IP έχει επιλυθεί από την υπηρεσία DNS πριν από τη δημιουργία μιας σύνδεσης.

Εάν θέλετε να ελαχιστοποιήσετε την κυκλοφορία ICMP, μπορείτε να χρησιμοποιήσετε το ακόλουθο δείγμα κανόνα τείχους προστασίας:
<any> ICMP -> DC IP addr = allow

Αντίθετα με το επίπεδο πρωτοκόλλου TCP και το επίπεδο πρωτοκόλλου UDP, το ICMP δεν διαθέτει αριθμό θύρας. Αυτό συμβαίνει επειδή το ICMP συμπεριλαμβάνεται απευθείας στο επίπεδο IP.

Σημείωση Υπάρχουν συγκεκριμένες απαιτήσεις για την επικοινωνία RPC, εκτός από αυτές που παρατίθενται παρακάτω.

Για περισσότερες πληροφορίες σχετικά με τον τρόπο χρήσης περισσότερων από τις ρυθμίσεις μητρώου των διακομιστών RPC για τη ρύθμιση των επικοινωνιών RPC για ένα τείχος προστασίας, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
154596 Τρόπος ρύθμισης των παραμέτρων εκχώρησης δυναμικής θύρας RPC για λειτουργία με τείχος προστασίας
Από προεπιλογή, οι διακομιστές DNS των Windows Server 2003 και Windows 2000 Server χρησιμοποιούν προσωρινές θύρες υπολογιστή-πελάτη κατά την υποβολή ερωτημάτων σε άλλους διακομιστές DNS. Ωστόσο, η συμπεριφορά αυτή ενδέχεται να τροποποιηθεί με μια συγκεκριμένη ρύθμιση του μητρώου, η οποία περιγράφεται στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
260186 Το κλειδί μητρώου SendPort DNS δεν λειτουργεί όπως αναμένεται

Για περισσότερες πληροφορίες σχετικά με τις ρυθμίσεις παραμέτρων τείχους προστασίας και της υπηρεσίας καταλόγου Active Directory, προβάλετε τη Λευκή βίβλο της Microsoft "Υπηρεσία καταλόγου Active Directory σε δίκτυα που έχουν κατακερματιστεί από τείχος προστασίας". Για να το κάνετε αυτό, επισκεφθείτε την ακόλουθη τοποθεσία Web (στα αγγλικά):
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en
Εναλλακτικά, μπορείτε να δημιουργήσετε μια σχέση αξιοπιστίας μέσω της υποχρεωτικής διοχέτευσης του πρωτοκόλλου Point-to-Point Tunneling Protocol (PPTP) και αυτό θα περιορίσει των αριθμό των θυρών που θα χρειαστεί να ανοίξει το τείχος προστασίας. Για PPTP, πρέπει να ενεργοποιηθούν οι ακόλουθες θύρες.
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
Θύρες υπολογιστή-πελάτηΘύρα διακομιστήΠρωτόκολλο
1024-65535/TCP1723/TCPPPTP
Επιπλέον, θα πρέπει να ενεργοποιήσετε το ΠΡΩΤΟΚΟΛΛΟ 47 IP (GRE).

Σημείωση Όταν κάνετε προσθήκη δικαιωμάτων σε έναν πόρο ενός αξιόπιστου τομέα για χρήστες σε έναν αξιόπιστο τομέα, υπάρχουν ορισμένες διαφορές μεταξύ της συμπεριφοράς των Windows 2000 και Windows NT 4.0. Εάν ο υπολογιστής δεν είναι δυνατό να εμφανίσει μια λίστα των χρηστών του απομακρυσμένου τομέα:
  • Τα Windows NT 4.0 επιχειρούν να επιλύσουν τα ονόματα που πληκτρολογήθηκαν με μη αυτόματο τρόπο, επικοινωνώντας με τον PDC για τον τομέα των απομακρυσμένων χρηστών (UDP 138). Εάν εκείνος ο τύπος επικοινωνίας αποτύχει, ένας υπολογιστής που βασίζεται στα Windows NT 4.0 επικοινωνεί με το δικό του PDC και στη συνέχεια ζητά ανάλυση του ονόματος.
  • Τα Windows 2000 και Windows Server 2003 επιχειρούν επίσης να επικοινωνήσουν με τον PDC του απομακρυσμένου χρήστη για ανάλυση μέσω της θύρας UDP 138, αλλά δεν βασίζονται στη χρήση του δικού τους PDC. Βεβαιωθείτε ότι όλοι οι διακομιστές μέλους που βασίζονται στα Windows 2000 και Windows Server 2003 που θα εκχωρήσουν πρόσβαση σε πόρους, έχουν σύνδεση UDP 138 στον απομακρυσμένο PDC.

Ιδιότητες

Αναγν. άρθρου: 179442 - Τελευταία αναθεώρηση: Πέμπτη, 26 Απριλίου 2007 - Αναθεώρηση: 10.1
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Λέξεις-κλειδιά: 
kbhowto kbenv kbnetwork KB179442

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com