บทความนี้อธิบายวิธีการกำหนดค่าไฟร์วอลล์สำหรับโดเมนและ trusts
ยุบรูปภาพนี้ขยายรูปภาพนี้
จำเป็นต้องใช้พอร์ตที่ระบุไว้ในตารางไม่ใช่ทั้งหมดในทุก ๆ กรณี ตัวอย่างเช่น ถ้าไฟร์วอลล์แยกสมาชิกและ DCs คุณไม่จำเป็นต้องเปิดพอร์ตที่ FRS หรือ DFSR นอกจากนี้ ถ้าคุณทราบว่า ไม่มีไคลเอนต์ใช้ LDAP ด้วย SSL/TLS คุณไม่จำเป็นต้องเปิดพอร์ต 636 และ 3269
เมื่อต้องสร้างความน่าเชื่อถือกับโดเมนหรือช่องสัญญาณการรักษาความปลอดภัยผ่านไฟร์วอลล์ พอร์ตต่าง ๆ ต่อไปนี้ต้องสามารถเปิด คุณควรตระหนักว่า อาจมีโฮสต์ที่ทำงานกับบทบาททั้งไคลเอ็นต์และเซิร์ฟเวอร์ทั้งสองด้านของไฟร์วอลล์ ดังนั้น กฎของพอร์ตอาจมีการทำมิเรอร์
Windows NT
Click here to show/hide solution
ในสภาพแวดล้อมนี้ ด้านหนึ่งของความน่าเชื่อถือไม่น่าเชื่อถือของ Windows NT 4.0 หรือความน่าเชื่อถือถูกสร้างขึ้น โดยใช้ชื่อ NetBIOS
ยุบตารางนี้ขยายตารางนี้
| พอร์ตที่ไคลเอนต์ | พอร์ตของเซิร์ฟเวอร์ | บริการ |
|---|
| 137/UDP | 137/UDP | ชื่อ NetBIOS |
| 138/UDP | 138/UDP | NetBIOS Netlogon และ
เรียกดู |
| 1024-65535/TCP | 139/TCP | เซสชัน NetBIOS |
| 1024-65535/TCP | 42/TCP | การจำลองแบบ WINS |
Windows Server 2003 และ Windows 2000 Server
Click here to show/hide solution
สำหรับโดเมนผสมโหมดที่ใช้เป็นตัวควบคุมโดเมนของ Windows NT หรือไคลเอนต์แบบดั้งเดิม เชื่อถือความสัมพันธ์ระหว่างตัวควบคุมโดเมนที่ใช้ Windows Server 2003 และโดเมนที่ใช้ Windows 2000 Server คอนโทรลเลอร์อาจต้องการให้เปิดพอร์ตต่าง ๆ ทั้งหมดสำหรับ Windows NT ที่ระบุไว้ในตารางก่อนหน้านี้นอกเหนือจากการพอร์ตต่าง ๆ ต่อไปนี้
ยุบรูปภาพนี้ขยายรูปภาพนี้
ตัวควบคุมโดเมนที่สองอยู่ในที่เดียวกัน
ฟอเรสต์ หรือตัวควบคุมโดเมนที่สองอยู่ในฟอเรสต์แยกต่างหาก นอกจากนี้ มี trusts ที่อยู่ในฟอเรสต์
Windows Server 2003 trusts หรือ trusts รุ่นที่ใหม่กว่า
ยุบตารางนี้ขยายตารางนี้
| พอร์ตที่ไคลเอนต์ | พอร์ตของเซิร์ฟเวอร์ | บริการ |
|---|
| 1024-65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 1024-65535/TCP | 1024-65535/TCP | RPC สำหรับ LSA, SAM, netlogon จะ (*) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | RPC FRS (*) |
พอร์ต NETBIOS ตามที่แสดงรายการสำหรับ Windows NT ใดที่จำเป็นสำหรับ Windows 2000 และ Windows Server 2003 นอกจากนี้เมื่อ trusts กับโดเมนมีการกำหนดค่าที่สนับสนุนการสื่อสารที่ใช้ NETBIOS งานเท่านั้น ตัวอย่างคือ ระบบปฏิบัติการที่ใช้ Windows NT หรือตัวควบคุมโดเมนของบริษัทอื่นที่ขึ้นอยู่กับ Samba
(*) สำหรับข้อมูลเกี่ยวกับวิธีการกำหนดค่าพอร์ตเซิร์ฟเวอร์ RPC ที่ใช้ โดยบริการ LSA RPC ดูบทความฐานความรู้ของ Microsoft ต่อไปนี้:
Windows Server 2008 และ Windows Server 2008 R2
Click here to show/hide solution
Windows Server 2008 และ Windows Server 2008 R2 ได้เพิ่มช่วงพอร์ตไคลเอนต์แบบไดนามิกสำหรับการเชื่อมต่อขาออก พอร์ตเริ่มต้นใหม่เป็น 49152 และพอร์ตสิ้นสุดเริ่มต้นคือ 65535 ดังนั้น คุณต้องเพิ่มช่วงพอร์ต RPC ในไฟร์วอลล์ของคุณ การเปลี่ยนแปลงนี้ถูกทำให้สอดคล้องกับคำแนะนำของอินเทอร์เน็ตกำหนดหมายเลขหน่วยงานจัดเก็บ (เข้า) ซึ่งแตกต่างจากโหมดผสมโดที่ประกอบด้วยตัวควบคุมโดเมน Windows Server 2003 ตัวควบคุมโดเมนที่ใช้ Windows 2000 Server หรือไคล เอนต์แบบดั้งเดิม ที่ช่วงพอร์ตแบบไดนามิกเริ่มต้นคือ 1025 ถึง 5000
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปลี่ยนแปลงช่วงพอร์ตแบบไดนามิกใน Windows Server 2008 และ Windows Server 2008 R2 ดูทรัพยากรดังต่อไปนี้:
ยุบตารางนี้ขยายตารางนี้
| พอร์ตที่ไคลเอนต์ | พอร์ตของเซิร์ฟเวอร์ | บริการ |
|---|
| 49152-65535/UDP | 123/UDP | พร |
| 49152-65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 49152-65535/TCP | 464/TCP/UDP | การเปลี่ยนรหัสผ่าน Kerberos |
| 49152-65535/TCP | 49152-65535/TCP | RPC สำหรับ LSA, SAM, netlogon จะ (*) |
| 49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152-65535/TCP | 636/TCP | LDAP SSL |
| 49152-65535/TCP | 3268/TCP | LDAP GC |
| 49152-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152-65535/TCP | 49152-65535/TCP | RPC FRS (*) |
| 49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152-65535/TCP/UDP | 445/TCP | SMB |
| 49152-65535/TCP | 49152-65535/TCP | RPC DFSR (*) |
พอร์ต NETBIOS ตามที่แสดงรายการสำหรับ Windows NT ใดที่จำเป็นสำหรับ Windows 2000 และเซิร์ฟเวอร์ 2003 นอกจากนี้เมื่อ trusts กับโดเมนมีการกำหนดค่าที่สนับสนุนการสื่อสารที่ใช้ NETBIOS งานเท่านั้น ตัวอย่างคือ ระบบปฏิบัติการที่ใช้ Windows NT หรือตัวควบคุมโดเมนของบริษัทอื่นที่ขึ้นอยู่กับ Samba
(*) สำหรับข้อมูลเกี่ยวกับวิธีการกำหนดค่าพอร์ตเซิร์ฟเวอร์ RPC ที่ใช้ โดยบริการ LSA RPC ดูบทความฐานความรู้ของ Microsoft ต่อไปนี้:
ยุบรูปภาพนี้ขยายรูปภาพนี้
123/UDP ของความน่าเชื่อถือที่ภายนอกเท่านั้นจำเป็นถ้าคุณได้กำหนดด้วยตนเองค่าเซอร์วิส Windows Time เพื่อซิงค์กับเซิร์ฟเวอร์ผ่านความน่าเชื่อถือภายนอก
ไดเรกทอรีที่ใช้งานอยู่
Click here to show/hide solution
ใน Windows 2000 และ Windows XP การอินเทอร์เน็ตควบคุมข้อความโพรโทคอล (ICMP) ต้องได้รับอนุญาตผ่านไฟร์วอลล์จากไคลเอนต์กับตัวควบคุมโดเมนเพื่อให้ไคลเอ็นต์ของนโยบายกลุ่มของไดเรกทอรีที่ใช้งานอยู่สามารถทำงานได้อย่างถูกต้องผ่านไฟร์วอลล์ ICMP ถูกใช้เพื่อตรวจสอบว่า การเชื่อมโยง การเชื่อมโยงที่ช้าหรือการเชื่อมโยงอย่างรวดเร็ว
บริการการรับรู้ตำแหน่งที่ตั้งเครือข่ายมีการประเมินแบนด์วิดท์ที่ขึ้นอยู่กับปริมาณการใช้งานกับสถานีอื่นบนเครือข่ายใน Windows Server 2008 และรุ่นที่ใหม่กว่า ไม่มีปริมาณการใช้งานไม่ถูกสร้างขึ้นสำหรับการประเมิน
ตัวเปลี่ยนเส้นทาง Windows ยังใช้ ICMP เพื่อตรวจสอบว่า IP ของเซิร์ฟเวอร์ที่จะแก้ไขปัญหาได้ โดยบริการ DNS ก่อนทำการเชื่อมต่อ และ เมื่อเซิร์ฟเวอร์ที่อยู่ โดยใช้ DFS ดำเนินการนี้ใช้ในการเข้าถึง SYSVOL โดยสมาชิกของโดเมน
ถ้าคุณต้องการจะย่อทราฟฟิค ICMP คุณสามารถใช้ต่อไปนี้
กฎของไฟร์วอลล์ตัวอย่าง:
<any> ICMP -> DC IP addr = allow
ซึ่งแตกต่างจากชั้นโพรโทคอล TCP และ UDP
เลเยอร์โพรโทคอล ICMP ไม่มีหมายเลขพอร์ต เนื่องจากเป็น ICMP
โฮสต์ โดยชั้น IP โดยตรง
โดยค่าเริ่มต้น เซิร์ฟเวอร์ Windows Server 2003 และ DNS เซิร์ฟเวอร์ของ Windows 2000 ใช้พอร์ตฝั่งไคลเอ็นต์ข้อมูลแบบชั่วคราวจะทำการสอบถามเซิร์ฟเวอร์ DNS อื่น ๆ อย่างไรก็ตาม ลักษณะการทำงานนี้อาจเปลี่ยนแปลงได้ โดยการตั้งค่ารีจิสทรีที่ระบุ สำหรับข้อมูลเพิ่มเติม ให้ดูการบทความฐานความรู้ของ Microsoft
260186: คีย์รีจิสทรี SendPort DNS ไม่ทำงานตามที่คาดไว้
(http://support.microsoft.com/kb/260186)
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ Active Directory และกำหนดค่าไฟร์วอลล์ ให้ดู
ไดเรกทอรีที่ใช้งานอยู่ในเครือข่ายที่ถูกแบ่งเป็นช่วง โดยไฟร์วอลล์
(http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en)
เอกสารทางเทคนิคของ Microsoftหรือ คุณสามารถสร้างผ่านทางทันเนล compulsory ของจุดต่อจุด Tunneling Protocol (PPTP) น่าเชื่อถือ วิธีนี้ช่วยจำกัดจำนวนของพอร์ตที่ไฟร์วอลล์ที่มีการเปิด สำหรับ PPTP พอร์ตต่าง ๆ ต่อไปนี้ใช้
ยุบตารางนี้ขยายตารางนี้
| พอร์ตไคลเอนต์ | พอร์ตของเซิร์ฟเวอร์ | โพรโทคอล |
|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
นอกจากนี้ คุณจะต้องมีการเปิดใช้งาน 47 โพรโทคอล IP
(GRE)
ยุบรูปภาพนี้ขยายรูปภาพนี้
เมื่อคุณได้เพิ่มสิทธิ์ให้กับทรัพยากรที่อยู่บนโดเมน trusting สำหรับผู้ใช้ในโดเมนที่เชื่อถือได้ มีความแตกต่างระหว่าง Windows 2000 และลักษณะการทำงานของ Windows NT 4.0 ถ้าคอมพิวเตอร์ไม่สามารถแสดงรายการของผู้ใช้ของโดเมนระยะไกล พิจารณาลักษณะการทำงานต่อไปนี้:
- Windows NT 4.0 พยายามแก้ไขชื่อที่พิมพ์ด้วยตนเองโดย
ติดต่อ PDC สำหรับโดเมนของผู้ใช้ระยะไกล (UDP 138) ถ้าต้องการ
ล้มเหลวในการสื่อสาร เครื่องคอมพิวเตอร์ที่ใช้ Windows NT 4.0 ที่ติดต่อ PDC ของตนเอง และ
จากนั้น ถามสำหรับการแก้ปัญหาชื่อ
- Windows 2000 และ Windows Server 2003 นอกจากนี้ลองติดต่อ PDC ของผู้ใช้ระยะไกลสำหรับการแก้ปัญหาผ่านทาง UDP 138 ครั้ง อย่างไรก็ตาม พวกเขาไม่อาศัยใช้ PDC ของตนเอง ตรวจสอบให้แน่ใจว่า เซิร์ฟเวอร์ของสมาชิกที่ใช้ Windows 2000 และเซิร์ฟเวอร์สมาชิกที่ใช้ Windows Server 2003 ที่จะสามารถให้สิทธิการเข้าถึงทรัพยากรทั้งหมดที่มี pdc ไประยะไกลเชื่อมต่อ UDP 138
หมายเลขบทความ (Article ID): 179442 - รีวิวครั้งสุดท้าย: 10 สิงหาคม 2555 - Revision: 8.0
ใช้กับ
- Windows Server 2008 Datacenter
- Windows Server 2008 Enterprise
- Windows Server 2008 Standard
- Windows Server 2008 R2 Datacenter
- Windows Server 2008 R2 Enterprise
- Windows Server 2008 R2 Standard
- Microsoft Windows Server 2003 Standard Edition
- Microsoft Windows Server 2003 Enterprise Edition
- Microsoft Windows Server 2003 Datacenter Edition
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Professional Edition
- Microsoft Windows NT Server 4.0 Standard Edition
- Windows Server 2008 Datacenter without Hyper-V
- Windows Server 2008 Enterprise without Hyper-V
- Windows Server 2008 for Itanium-Based Systems
- Windows Server 2008 Foundation
- Windows Web Server 2008 R2
| kbenv kbhowto kbnetwork kbmt KB179442 KbMtth |
แปลโดยคอมพิวเตอร์ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:
179442
(http://support.microsoft.com/kb/179442/en-us/
)
กลับไปด้านบน
