Tűzfal beállítása tartományokhoz és bizalmi kapcsolatokhoz

A cikk fordítása A cikk fordítása
Cikk azonosítója: 179442 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

Ez a cikk azt ismerteti, hogy miként állíthat be tűzfalat tartományokhoz és bizalmi kapcsolatokhoz.

További információ

Ha a tűzfalon keresztül tartományi bizalmi kapcsolatot vagy biztonsági csatornát szeretne létesíteni, az alábbi portokat kell megnyitnia. Vegye figyelembe, hogy a tűzfal mindkét oldalán lehetnek ügyfél- és kiszolgálói szerepkört betöltő állomások. Emiatt a portokra vonatkozó szabályokat esetleg tükrözni kell.

Windows NT

Ebben a környezetben a bizalmi kapcsolat egyik fele egy Windows NT 4.0 bizalmi kapcsolat, vagy a bizalmi kapcsolatot NetBIOS-nevek használatával hozták létre.
A táblázat összecsukásaA táblázat kibontása
Ügyfélport(ok)KiszolgálóportSzolgáltatás
137/UDP137/UDPNetBIOS névszolgáltatás
138/UDP138/UDPNetBIOS hálózati bejelentkezés és böngészés
1024-65535/TCP139/TCPNetBIOS munkamenet-szolgáltatás
1024-65535/TCP42/TCPWINS-replikáció

Windows Server 2003 és Windows 2000 Server

Olyan kevert módú tartományokban, amelyekben Windows NT-alapú tartományvezérlők vagy régi típusú ügyfelek működnek, illetve bizalmi kapcsolat áll fenn két, különböző erdőben lévő Windows Server 2003- vagy Windows 2000 Server-alapú tartományvezérlő között, a fenti táblázatban szereplő összes Windows NT portot meg kell nyitni az alábbiak mellett:
A táblázat összecsukásaA táblázat kibontása
Ügyfélport(ok)KiszolgálóportSzolgáltatás
1024-65535/TCP135/TCPRPC
1024-65535/TCP1024-65535/TCPLSA RPC szolgáltatások (*)
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP GC SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
(*) Az LSA RPC szolgáltatások által használt RPC-kiszolgálóportok definiálásáról a Microsoft Tudásbázis alábbi cikkének „A tartományvezérlők és az Active Directory szolgáltatás” szakaszában tájékozódhat:
832017 A Windows Server rendszer szolgáltatásainak áttekintése és a rendszer hálózatiport-követelményei
Ahhoz, hogy az Active Directory megfelelően működjön a tűzfalon keresztül, az Internet Control Message Protocol (ICMP) protokollt engedélyezni kell a tűzfalon keresztül az ügyfelek és a tartományvezérlők között, mivel az ügyfelek csak így juthatnak hozzá a csoportházirend-információkhoz.

Az ICMP protokollt annak megállapítására használja a rendszer, hogy egy kapcsolat gyors vagy lassú. Az ICMP szabályos protokoll, amelyet az Active Directory a csoportházirend-információk és a maximális adatátviteli egység (MTU) felderítésére használ. A Windows átirányító ICMP protokollal ellenőrzi, hogy a kapcsolat létrehozását megelőzően a DNS szolgáltatás feloldotta-e a kiszolgáló IP-címét.

Ha a lehető legalacsonyabb szinten szeretné tartani az ICMP-alapú forgalmat, alkalmazza a következő tűzfalszabálymintát:
<any> ICMP -> DC IP addr = allow

A TCP és az UDP protokollrétegtől eltérően az ICMP protokollhoz nincs portszám rendelve. Ennek az az oka, hogy az IP-réteg közvetlenül magába foglalja az ICMP protokollt.

Megjegyzés: A táblázatban felsoroltakon kívül a távoli eljáráshívási kommunikációra speciális követelmények vonatkoznak.

A távoli eljáráshívási kommunikáció tűzfal használata esetén, az RPC-kiszolgáló rendszerbeállításain kívüli egyéb beállításokkal történő konfigurálásáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
154596 A távoli eljáráshívás szolgáltatás dinamikus porthozzárendelésének beállítása tűzfallal
Alapértelmezés szerint a Windows Server 2003- és a Windows 2000 Server-alapú DNS-kiszolgálók időszakos ügyféloldali portokat használnak a többi DNS-kiszolgáló lekérdezésekor. Ez a viselkedés azonban egy speciális rendszerbeállítási bejegyzés segítségével módosítható; a bejegyzés ismertetését a Microsoft Tudásbázis következő cikke tartalmazza:
260186 A DNS szolgáltatás SendPort rendszerleíró azonosítója nem a várt módon működik (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Az Active Directory és a tűzfal együttes használatra való konfigurálásáról a Microsoft azon tanulmányában olvashat, amelyben az Active Directory használatát mutatja be a tűzfalak által szegmentált hálózatokban. Ehhez látogasson el a következő webhelyre:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en
Létesíthet bizalmi kapcsolatot a PPTP-alagúton keresztül is, ezzel a módszerrel korlátozhatja azon portok számát, amelyeket a tűzfalnak nyitva kell tartania. A PPTP alkalmazása esetén az alábbi portokat kell engedélyezni:
A táblázat összecsukásaA táblázat kibontása
ÜgyfélportokKiszolgálóportProtokoll
1024-65535/TCP1723/TCPPPTP
Emellett engedélyeznie kell az IP PROTOCOL 47 (GRE) protokollt is.

Megjegyzés: Amikor egy megbízó tartományban lévő erőforráshoz engedélyeket biztosít egy megbízhatónak minősített tartomány felhasználói részére, a Windows 2000- és a Windows NT 4.0-alapú rendszerek működése némi különbséget mutat. Ha a számítógép nem tudja előállítani a távoli tartomány felhasználóinak listáját:
  • A Windows NT 4.0 a manuálisan beírt neveket úgy kísérli meg feloldani, hogy kapcsolatba lép a távoli felhasználó tartományában működő elsődleges tartományvezérlővel (az UDP 138-as porton keresztül). Ha ez a kapcsolatfelvétel nem sikerül, a Windows NT 4.0-alapú számítógép saját elsődleges tartományvezérlőjével létesít kapcsolatot, és kéri a név feloldását.
  • A Windows 2000- és a Windows Server 2003-alapú számítógépek a névfeloldás érdekében szintén megkísérelnek kapcsolatba lépni a távoli felhasználó tartományában működő elsődleges tartományvezérlővel az UDP 138-as porton keresztül, de sikertelenség esetén nem használják saját elsődleges tartományvezérlőjüket. Biztosítsa, hogy az erőforrásokhoz hozzáférést engedélyező összes Windows 2000- és Windows Server 2003-alapú tagkiszolgáló kapcsolatba léphessen az UDP 138-as porton keresztül a távoli elsődleges tartományvezérlővel.

Tulajdonságok

Cikk azonosítója: 179442 - Utolsó ellenőrzés: 2007. április 18. - Verziószám: 10.3
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Kulcsszavak: 
kbhowto kbenv kbnetwork KB179442
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com