Настройка брандмауэра для установления доверительных отношений между доменами

Переводы статьи Переводы статьи
Код статьи: 179442 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В статье описывается, как настроить межсетевой экран, чтобы он не препятствовал установлению доверительных отношений между доменами.

Дополнительная информация

Чтобы межсетевой экран не препятствовал установлению безопасных каналов и доверительных отношений между доменами, на нем должны быть открыты перечисленные ниже порты. Поскольку по обе стороны межсетевого экрана могут находиться компьютеры, одновременно являющиеся как клиентом, так и сервером, необходимо, чтобы соответствующие порты были открыты в обе стороны.

Windows NT

Свернуть эту таблицуРазвернуть эту таблицу
Порты клиентовПорт сервераСлужба
1024-65535/TCP135/TCPRPC *
137/UDP137/UDPСлужба имен NetBIOS
138/UDP138/UDPВход в сеть и обзор сети NetBIOS
1024-65535/TCP139/TCPСеанс NetBIOS
1024-65535/TCP42/TCPРепликация WINS

Windows 2003 и Windows 2000 Server

Если домен Windows 2000 работает в смешанном режиме и в домене присутствуют контроллеры домена Windows NT или клиентские компьютеры, работающие под управлением устаревших версий операционных систем или если у этого домена установлены доверительные отношения с доменом Windows Server 2003 или Windows 2000 Server, расположенным в другом лесу, то в дополнение к перечисленным ниже портам следует открыть порты, указанные в предыдущей таблице.
Свернуть эту таблицуРазвернуть эту таблицу
Порты клиентовПорт сервераСлужба
1024-65535/TCP135/TCPRPC *
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP GC SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
Чтобы служба каталогов Active Directory надлежащим образом работала в сети, содержащей межсетевые экраны, они должны пропускать пакеты протокола ICMP (Internet Control Message Protocol) от клиентских компьютеров к контроллерам домена. Это необходимо для получения клиентами сведений групповой политики. С помощью протокола ICMP определяется, является ли подключение быстрым или медленным. Протокол ICMP – это стандартный протокол, используемый службой каталогов Active Directory для определения максимального размера передаваемого блока данных (MTU) и определения доступности сервера, с которого должна загружаться групповая политика.

Чтобы свести к минимуму объем данных, передаваемых по протоколу ICMP, создайте на межсетевом экране правила, аналогичные приведенному ниже.
<any> ICMP -> IP-адрес_контроллера_домена = allow

В отличие от протоколов, принадлежащих уровням TCP и UDP, в протоколе ICMP отсутствует номер порта, поскольку протокол ICMP расположен на уровне IP.

Примечание. Для обмена данными по протоколу RPC необходимо соблюдение дополнительных требований, не указанных в таблице. Дополнительные сведения по настройке системы для обмена данными по протоколу RPC в сети, использующей межсетевые экраны, см. в следующей статье базы знаний Майкрософт:
154596 Настройка динамического назначения портов удаленного вызова процедур для взаимодействия с брандмауэром.
По умолчанию DNS-серверы под управлением Windows Server 2003 и Windows 2000 Server используют динамические номера портов при отправке запросов другим DNS-серверам. Чтобы изменить это поведение, необходимо изменить параметр реестра, описанный в следующей статье базы знаний Майкрософт:
260186 Параметр реестра SendPort работает ненадлежащим образом (Эта ссылка может указывать на содержимое полностью или частично на английском языке.)

Подробнее о настройке службы каталогов Active Directory и брандмауэра можно прочитать в документе White Paper Майкрософт:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en
Кроме того, для установки доверительных отношений можно использовать туннель, созданный с использованием протокола PPTP (Point-to-Point Tunneling Protocol). Это позволит уменьшить число портов, которые должны быть открыты на межсетевом экране. Чтобы компьютеры могли создать туннель PPTP, на межсетевом экране должны быть открыты следующие порты:

Свернуть эту таблицуРазвернуть эту таблицу
Порты клиентаПорт сервераПротокол
1024-65535/TCP1723/TCPPPTP

Необходимо также разрешить прохождение пакетов протокола IP с полем типа протокола, равным 47 (GRE).

Примечание. Windows 2000 и Windows NT 4.0 по-разному ведут себя при предоставлении пользователю из доверенного домена прав доступа к ресурсам доверяющего домена. Если компьютеру не удается получить список пользователей удаленного домена, выполняются следующие действия.
  • Компьютер под управлением Windows NT 4.0 пытается выполнить разрешение имен, указанных вручную. Для этого он обращается к основному контроллеру удаленного домена пользователя. При этом используется порт 138 протокола UDP. Если выполнить данное подключение не удается, Windows NT 4.0 обращается к основному контроллеру своего домена и пытается выполнить разрешение имен.
  • Windows 2000 и Windows Server 2003 также обращаются к основному контроллеру домена пользователя, используя порт 138 протокола UDP. Однако, если выполнить данное подключение не удается, Windows 2000 и Windows Server 2003 не обращаются к основному контроллеру своего домена. Поэтому необходимо удостовериться, что все рядовые серверы под управлением Windows 2000 и Windows Server 2003, которые будут предоставлять доступ к общим ресурсам, могут подключиться по протоколу UDP к порту 138 основного контроллера домена пользователя.

Свойства

Код статьи: 179442 - Последний отзыв: 16 июля 2013 г. - Revision: 8.6
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Ключевые слова: 
kbenv kbhowto kbnetwork KB179442

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com