Cikk azonosítója: 179442 - Utolsó ellenőrzés: 2007. április 18. - Verziószám: 10.3

Tűzfal beállítása tartományokhoz és bizalmi kapcsolatokhoz

A cikkben érintett termékek listájának megtekintése.
RendszertippA jelen cikk az Ön által használttól eltérő operációs rendszerre vonatkozik. A cikk azon tartalmait, amelyek nem relevánsak Önnek, letiltjuk.

A lap tartalma

Az összes kibontása | Az összes összecsukása

Összefoglaló

Ez a cikk azt ismerteti, hogy miként állíthat be tűzfalat tartományokhoz és bizalmi kapcsolatokhoz.
A lap tetejére

További információ

Ha a tűzfalon keresztül tartományi bizalmi kapcsolatot vagy biztonsági csatornát szeretne létesíteni, az alábbi portokat kell megnyitnia. Vegye figyelembe, hogy a tűzfal mindkét oldalán lehetnek ügyfél- és kiszolgálói szerepkört betöltő állomások. Emiatt a portokra vonatkozó szabályokat esetleg tükrözni kell.
A lap tetejére

Windows NT

Ebben a környezetben a bizalmi kapcsolat egyik fele egy Windows NT 4.0 bizalmi kapcsolat, vagy a bizalmi kapcsolatot NetBIOS-nevek használatával hozták létre.
A táblázat összecsukásaA táblázat kibontása
Ügyfélport(ok)KiszolgálóportSzolgáltatás
137/UDP137/UDPNetBIOS névszolgáltatás
138/UDP138/UDPNetBIOS hálózati bejelentkezés és böngészés
1024-65535/TCP139/TCPNetBIOS munkamenet-szolgáltatás
1024-65535/TCP42/TCPWINS-replikáció
A lap tetejére

Windows Server 2003 és Windows 2000 Server

Olyan kevert módú tartományokban, amelyekben Windows NT-alapú tartományvezérlők vagy régi típusú ügyfelek működnek, illetve bizalmi kapcsolat áll fenn két, különböző erdőben lévő Windows Server 2003- vagy Windows 2000 Server-alapú tartományvezérlő között, a fenti táblázatban szereplő összes Windows NT portot meg kell nyitni az alábbiak mellett:
A táblázat összecsukásaA táblázat kibontása
Ügyfélport(ok)KiszolgálóportSzolgáltatás
1024-65535/TCP135/TCPRPC
1024-65535/TCP1024-65535/TCPLSA RPC szolgáltatások (*)
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP GC SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
(*) Az LSA RPC szolgáltatások által használt RPC-kiszolgálóportok definiálásáról a Microsoft Tudásbázis alábbi cikkének „A tartományvezérlők és az Active Directory szolgáltatás” szakaszában tájékozódhat:
832017  (http://support.microsoft.com/kb/832017/ ) A Windows Server rendszer szolgáltatásainak áttekintése és a rendszer hálózatiport-követelményei
Ahhoz, hogy az Active Directory megfelelően működjön a tűzfalon keresztül, az Internet Control Message Protocol (ICMP) protokollt engedélyezni kell a tűzfalon keresztül az ügyfelek és a tartományvezérlők között, mivel az ügyfelek csak így juthatnak hozzá a csoportházirend-információkhoz.

Az ICMP protokollt annak megállapítására használja a rendszer, hogy egy kapcsolat gyors vagy lassú. Az ICMP szabályos protokoll, amelyet az Active Directory a csoportházirend-információk és a maximális adatátviteli egység (MTU) felderítésére használ. A Windows átirányító ICMP protokollal ellenőrzi, hogy a kapcsolat létrehozását megelőzően a DNS szolgáltatás feloldotta-e a kiszolgáló IP-címét.

Ha a lehető legalacsonyabb szinten szeretné tartani az ICMP-alapú forgalmat, alkalmazza a következő tűzfalszabálymintát: 
<any> ICMP -> DC IP addr = allow

A TCP és az UDP protokollrétegtől eltérően az ICMP protokollhoz nincs portszám rendelve. Ennek az az oka, hogy az IP-réteg közvetlenül magába foglalja az ICMP protokollt.

Megjegyzés: A táblázatban felsoroltakon kívül a távoli eljáráshívási kommunikációra speciális követelmények vonatkoznak.

A távoli eljáráshívási kommunikáció tűzfal használata esetén, az RPC-kiszolgáló rendszerbeállításain kívüli egyéb beállításokkal történő konfigurálásáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
154596  (http://support.microsoft.com/kb/154596/ ) A távoli eljáráshívás szolgáltatás dinamikus porthozzárendelésének beállítása tűzfallal
Alapértelmezés szerint a Windows Server 2003- és a Windows 2000 Server-alapú DNS-kiszolgálók időszakos ügyféloldali portokat használnak a többi DNS-kiszolgáló lekérdezésekor. Ez a viselkedés azonban egy speciális rendszerbeállítási bejegyzés segítségével módosítható; a bejegyzés ismertetését a Microsoft Tudásbázis következő cikke tartalmazza:
260186  (http://support.microsoft.com/kb/260186/ ) A DNS szolgáltatás SendPort rendszerleíró azonosítója nem a várt módon működik (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Az Active Directory és a tűzfal együttes használatra való konfigurálásáról a Microsoft azon tanulmányában olvashat, amelyben az Active Directory használatát mutatja be a tűzfalak által szegmentált hálózatokban. Ehhez látogasson el a következő webhelyre:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en)
Létesíthet bizalmi kapcsolatot a PPTP-alagúton keresztül is, ezzel a módszerrel korlátozhatja azon portok számát, amelyeket a tűzfalnak nyitva kell tartania. A PPTP alkalmazása esetén az alábbi portokat kell engedélyezni:
A táblázat összecsukásaA táblázat kibontása
ÜgyfélportokKiszolgálóportProtokoll
1024-65535/TCP1723/TCPPPTP
Emellett engedélyeznie kell az IP PROTOCOL 47 (GRE) protokollt is.

Megjegyzés: Amikor egy megbízó tartományban lévő erőforráshoz engedélyeket biztosít egy megbízhatónak minősített tartomány felhasználói részére, a Windows 2000- és a Windows NT 4.0-alapú rendszerek működése némi különbséget mutat. Ha a számítógép nem tudja előállítani a távoli tartomány felhasználóinak listáját:
  • A Windows NT 4.0 a manuálisan beírt neveket úgy kísérli meg feloldani, hogy kapcsolatba lép a távoli felhasználó tartományában működő elsődleges tartományvezérlővel (az UDP 138-as porton keresztül). Ha ez a kapcsolatfelvétel nem sikerül, a Windows NT 4.0-alapú számítógép saját elsődleges tartományvezérlőjével létesít kapcsolatot, és kéri a név feloldását.
  • A Windows 2000- és a Windows Server 2003-alapú számítógépek a névfeloldás érdekében szintén megkísérelnek kapcsolatba lépni a távoli felhasználó tartományában működő elsődleges tartományvezérlővel az UDP 138-as porton keresztül, de sikertelenség esetén nem használják saját elsődleges tartományvezérlőjüket. Biztosítsa, hogy az erőforrásokhoz hozzáférést engedélyező összes Windows 2000- és Windows Server 2003-alapú tagkiszolgáló kapcsolatba léphessen az UDP 138-as porton keresztül a távoli elsődleges tartományvezérlővel.
A lap tetejére
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
A lap tetejére
Kulcsszavak: 
kbhowto kbenv kbnetwork KB179442
A lap tetejére
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.