Artikel ini menjelaskan cara mengkonfigurasi firewall untuk domain dan Trust.
Perkecil gambar iniPerbesar gambar ini
Tidak semua port yang didaftar di dalam Daftar Tabel berikut diperlukan dalam semua skenario. Sebagai contoh, jika firewall memisahkan anggota dan DC, Anda tidak perlu membuka port FRS atau DFSR. Juga, jika Anda tahu bahwa tidak ada klien menggunakan LDAP dengan SSL/TLS, Anda tidak perlu membuka port 636 dan 3269.
Untuk menetapkan domain kepercayaan atau saluran keamanan di firewall, port berikut harus dibuka. Sadarilah bahwa mungkin ada host yang berfungsi dengan baik klien dan server peran pada kedua sisi dari firewall. Oleh karena itu, pelabuhan aturan harus tercermin.
Windows NT
Click here to show/hide solution
Dalam lingkungan ini, satu sisi kepercayaan adalah kepercayaan Windows NT 4.0, atau kepercayaan diciptakan dengan menggunakan nama NetBIOS.
Perkecil tabel iniPerbesar tabel ini
| Klien Port(s) | Server Port | Layanan |
|---|
| 137/UDP | 137/UDP | Nama NetBIOS |
| 138/UDP | 138/UDP | NetBIOS Netlogon dan
Browsing |
| 1024-65535/TCP | 139/TCP | NetBIOS Session |
| 1024-65535/TCP | 42/TCP | MENANG replikasi |
Windows Server 2003 dan Windows 2000 Server
Click here to show/hide solution
Untuk modus campuran domain yang menggunakan pengontrol domain Windows NT atau klien warisan, percaya hubungan antara pengendali domain berbasis Windows Server 2003 dan domain berbasis Windows 2000 Server controller mengharuskan bahwa semua port untuk Windows NT yang tercantum di dalam Daftar Tabel sebelumnya dapat dibuka selain pelabuhan berikut.
Perkecil gambar iniPerbesar gambar ini
pengendali domain dua keduanya sama dalam satu
hutan, atau pengendali domain dua keduanya di hutan terpisah. Juga, yang percaya di hutan
Windows Server 2003 Trust atau kemudian versi Trust.
Perkecil tabel iniPerbesar tabel ini
| Klien Port(s) | Server Port | Layanan |
|---|
| 1024-65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 1024-65535/TCP | 1024-65535/TCP | RPC untuk LSA, SAM, Netlogon (**) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (**) |
NETBIOS pelabuhan seperti yang tercantum untuk Windows NT juga diperlukan untuk Windows 2000 dan Windows Server 2003 ketika Trust untuk domain dikonfigurasi yang mendukung hanya berbasis NETBIOS komunikasi. Contoh adalah sistem operasi berbasis Windows NT atau pihak ketiga pengontrol Domain yang didasarkan pada Samba.
(*) Untuk informasi tentang cara untuk menentukan RPC server port yang digunakan oleh layanan LSA RPC, lihat artikel Pangkalan Pengetahuan Microsoft berikut:
Windows Server 2008 dan Windows Server 2008 R2
Click here to show/hide solution
Windows Server 2008 dan Windows Server 2008 R2 telah meningkatkan berbagai pelabuhan dinamis klien untuk koneksi keluar. Baru mulai port default adalah 49152, dan port default akhir 65535. Oleh karena itu, Anda harus meningkatkan jangkauan RPC port dalam firewall Anda. Perubahan ini dibuat untuk mematuhi Internet Assigned Numbers Authority (IANA) rekomendasi. Ini berbeda dari modus campuran domain yang terdiri dari pengontrol domain Windows Server 2003, pengendali domain berbasis Windows 2000 Server, atau klien warisan, di mana rentang dinamis port default adalah 1025 melalui 5000.
Untuk informasi lebih lanjut tentang perubahan rentang dinamis port di Windows Server 2008 dan Windows Server 2008 R2, tampilan sumber daya daya berikut:
Perkecil tabel iniPerbesar tabel ini
| Klien Port(s) | Server Port | Layanan |
|---|
| 49152-65535/UDP | 123/UDP | W32Time |
| 49152-65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 49152-65535/TCP | 464/TCP/UDP | Ubah sandi Kerberos |
| 49152-65535/TCP | 49152-65535/TCP | RPC untuk LSA, SAM, Netlogon (**) |
| 49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152-65535/TCP | 636/TCP | LDAP SSL |
| 49152-65535/TCP | 3268/TCP | LDAP GC |
| 49152-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152-65535/TCP | 49152-65535/TCP | FRS RPC (**) |
| 49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152-65535/TCP/UDP | 445/TCP | SMB |
| 49152-65535/TCP | 49152-65535/TCP | DFSR RPC (**) |
NETBIOS pelabuhan seperti yang tercantum untuk Windows NT juga diperlukan untuk Windows 2000 dan Server 2003 ketika Trust untuk domain dikonfigurasi yang mendukung hanya berbasis NETBIOS komunikasi. Contoh adalah sistem operasi berbasis Windows NT atau pihak ketiga pengontrol Domain yang didasarkan pada Samba.
(*) Untuk informasi tentang cara untuk menentukan RPC server port yang digunakan oleh layanan LSA RPC, lihat artikel Pangkalan Pengetahuan Microsoft berikut:
Perkecil gambar iniPerbesar gambar ini
Kepercayaan eksternal 123/UDP hanya diperlukan jika Anda secara manual mengkonfigurasi Windows waktu layanan untuk sinkronisasi dengan server di luar kepercayaan.
Active Directory
Click here to show/hide solution
Dalam Windows 2000 dan Windows XP, protokol pesan kontrol Internet (ICMP) harus diperbolehkan melalui firewall dari klien ke pengendali domain sehingga klien Kebijakan Grup direktori aktif dapat berfungsi dengan baik melalui firewall. ICMP digunakan untuk menentukan apakah link link lambat atau link cepat.
Pada Windows Server 2008 dan versi yang lebih baru, kesadaran lokasi jaringan menyediakan perkiraan bandwidth berdasarkan lalu lintas dengan stasiun lain pada jaringan. Ada tidak ada lalu lintas yang dihasilkan untuk perkiraan.
Windows Redirector juga menggunakan ICMP untuk memverifikasi bahwa server IP diatasi dengan layanan DNS sebelum sambungan dibuat, dan ketika server terletak dengan menggunakan DFS. Hal ini berlaku untuk SYSVOL akses oleh anggota domain.
Jika Anda ingin meminimalkan ICMP lalu lintas, Anda dapat menggunakan berikut
sampel firewall aturan:
<any> ICMP -> DC IP addr = allow
Tidak seperti lapisan protokol TCP dan UDP
Protokol lapisan, ICMP tidak memiliki nomor port. Hal ini karena ICMP
langsung diselenggarakan oleh lapisan IP.
secara asali, Windows Server 2003 dan Windows 2000 Server DNS server menggunakan fana sisi klien port ketika mereka server pertanyaan DNS lain. Namun, perilaku ini mungkin berubah oleh pengaturan registri khusus. Untuk informasi lebih lanjut, lihat artikel Pangkalan Pengetahuan Microsoft
260186: bukti kunci registri SendPort DNS tidak bekerja seperti yang diharapkan
(http://support.microsoft.com/kb/260186)
Untuk informasi lebih lanjut tentang Active Directory dan konfigurasi firewall, lihat
Direktori aktif dalam jaringan dibagi oleh firewall
(http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en)
Kertas putih Microsoft.Atau, Anda dapat membangun kepercayaan melalui terowongan wajib protokol Penerobosan titik (PPTP). Hal ini membatasi jumlah port yang firewall untuk membuka. Untuk PPTP, port berikut harus diaktifkan.
Perkecil tabel iniPerbesar tabel ini
| Port klien | Server Port | Protokol |
|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
Selain itu, Anda harus mengaktifkan protokol 47 IP
(GRE).
Perkecil gambar iniPerbesar gambar ini
Ketika Anda menambahkan hak akses ke sumber daya pada domain percaya untuk pengguna di domain yang terpercaya, ada beberapa perbedaan antara Windows 2000 dan Windows NT 4.0 perilaku. Jika komputer tidak dapat menampilkan daftar domain jauh pengguna, mempertimbangkan perilaku berikut:
- Windows NT 4.0 mencoba menetapkan nama secara manual diketik oleh
menghubungi PDC untuk pengguna remote domain (UDP 138). Jika itu
komunikasi gagal, komputer berbasis Windows NT 4.0 kontak PDC tersendiri, dan
kemudian meminta resolusi nama.
- Windows 2000 dan Windows Server 2003 juga mencoba untuk menghubungi pengguna remote PDC penyelesaian atas UDP 138. Namun, mereka tidak bergantung pada menggunakan PDC mereka sendiri. Pastikan bahwa semua anggota berbasis Windows 2000 Server dan server berbasis Windows Server 2003 anggota yang akan memberikan akses ke sumber daya telah UDP 138 konektivitas ke PDC terpencil.
ID Artikel: 179442 - Kajian Terakhir: 10 Agustus 2012 - Revisi: 6.0
Berlaku bagi:
- Windows Server 2008 Datacenter
- Windows Server 2008 Enterprise
- Windows Server 2008 Standard
- Windows Server 2008 R2 Datacenter
- Windows Server 2008 R2 Enterprise
- Windows Server 2008 R2 Standard
- Microsoft Windows Server 2003, Standard Edition (32-bit x86)
- Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
- Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Professional Edition
- Microsoft Windows NT Server 4.0 Standard Edition
- Windows Server 2008 Datacenter without Hyper-V
- Windows Server 2008 Enterprise without Hyper-V
- Windows Server 2008 for Itanium-Based Systems
- Windows Server 2008 Foundation
- Windows Web Server 2008 R2
| kbenv kbhowto kbnetwork kbmt KB179442 KbMtid |
Penerjemahan MesinPENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:
179442
(http://support.microsoft.com/kb/179442/en-us/
)
Kembali ke atas
