Bir güvenlik duvarý etki alanlarý ve Güvenleri'ni yapýlandýrma

Bu makalede, bir güvenlik duvarý etki alanlarý ve Güvenleri'ni yapýlandýrma.

Tüm tablolarda listelenen baðlantý noktasý tüm senaryolarda gerekli olduðunu unutmayýn. Örneðin, güvenlik duvarý üyeleri ve DCs ayýrýr, frs ve/veya dfsr baðlantý noktalarýný açmanýz gerekmez. Ayrýca hiçbir istemci ldap ssl/tls kullanan biliyorsanýz, 636 ve 3269 numaralý baðlantý noktalarýný açmanýz gerekmez.

Güvenlik Duvarý üzerinden bir etki alaný güven iliþkisi veya güvenlik kanalý kurmak için aþaðýdaki baðlantý noktalarýnýn açýk olmasý gerekir. Güvenlik duvarýnýn her iki tarafýnda hem istemci hem de sunucu rolleriyle çalýþan ana bilgisayarlar olabileceðini dikkate alýn. Bu nedenle, baðlantý noktasý kurallarýnýn yansýtýlmasý gerekebilir.

Windows NT

Bu ortamda bir Windows NT 4.0 güveni bir tarafý olduðu NetBIOS adlarý kullanýlarak, güven ya da güven oluþturuldu.

Windows Server 2003 ve Windows 2000 Server

Ýçin Windows NT etki alaný denetleyicilerini veya eski kullandýðý karma mod etki alaný istemciler, güven iliþkileri arasýnda Windows Server 2003 tabanlý etki alaný denetleyicileri ve Windows 2000 Server tabanlý etki alaný denetleyicileri almayý Yukarýdaki tabloda listelenen tüm baðlantý noktalarýný Windows NT olmasý Aþaðýdaki baðlantý noktalarýnýn yaný sýra açýldý.

Not Ýki etki alaný denetleyicisi her ikisi de ayný olan her ikisi de ayrý bir ormanda orman veya etki alaný denetleyicileri olan. Ayrýca, orman güvenleri olan Güvenleri Windows Server 2003 veya sonraki sürümü güvenleri.(*) lsa rpc Hizmetleri tarafýndan kullanýlan rpc sunucu baðlantý noktalarýný tanýmlamak için 224196 kb makalesine bakýn veya aþaðýdaki Microsoft Bilgi Bankasý makalesinde "etki alaný denetleyicileri ve Active Directory" bölümünde:

Windows Server 2008/Windows Server 2008 R2

Windows Server 2003 etki alaný denetleyicileri, Windows 2000 Server tabanlý etki alaný denetleyicileri veya eski istemcileri oluþan bir karma mod etki alanýnda, 1025-5000 varsayýlan dinamik baðlantý noktasý aralýðý deðil. Windows Server 2008 ve Windows Server 2008 R2, Internet Atanmýþ Numaralar Yetkilisi (IANA) önerileri ile uyumlu giden baðlantýlarý için istemci dinamik baðlantý noktasý aralýðý artar. 49152 Yeni varsayýlan baþlangýç baðlantý noktasýdýr ve varsayýlan bitiþ baðlantý noktasý-65535'tir. Bu nedenle, güvenlik duvarlarý rpc baðlantý noktasý aralýðý artýrmanýz gerekir.Windows Server 2008 dinamik baðlantý noktasý aralýðýndaki deðiþtirme hakkýnda daha fazla bilgi için Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:Bu deðiþiklik hakkýnda daha fazla bilgi için Dizin Hizmetleri ekibi blog Ask ziyaret edin ve aþaðýdaki makaleyi okuyun:

Windows Server 2008 ve Windows Vista Dinamik Ýstemci baðlantý noktalarý (http://blogs.technet.com/askds/archive/2007/08/24/dynamic-client-ports-in-windows-server-2008-and-windows-vista-or-how-i-learned-to-stop-worrying-and-love-the-iana.aspx)

(*) lsa rpc Hizmetleri tarafýndan kullanýlan rpc sunucu baðlantý noktalarýný tanýmlamak için 224196 kb makalesine bakýn veya aþaðýdaki Microsoft Bilgi Bankasý makalesinde "etki alaný denetleyicileri ve Active Directory" bölümünde:

832017  (http://support.microsoft.com/kb/832017/ ) Windows Server system Service genel bakýþ ve að baðlantý noktasý gereksinimleri

Active Directory

Windows 2000 ve xp için bir güvenlik duvarý üzerinden düzgün çalýþmasý için Active Directory Grup Ýlkesi istemci, Internet Denetim Ýletisi Protokolü (ICMP) Protokolü güvenlik duvarý üzerinden istemcilerden etki alaný denetleyicilerine izin verilmelidir. ICMP baðlantý yavaþ veya hýzlý bir baðlantý olup olmadýðýný belirlemek için kullanýlýr.

Að konumu tanýma hizmeti, Windows Server 2008 ve yeni sürümleri, aðdaki diðer istasyonlar ile trafiðe göre bant geniþliði tahmin saðlar. Tahmin için oluþturulan bir trafik vardýr.

Windows yeniden yönlendiricisi ICMP sunucu IP baðlantý oluþturulmadan önce ve dfs kullanarak bir sunucuda bulunduðunda, dns hizmeti tarafýndan çözümlendiðini doðrulamak için de kullanýr. sysvol eriþiminin etki alaný üyeleri için geçerlidir.


ICMP trafiðini en aza indirmek istiyorsanýz, aþaðýdaki kullanabilirsiniz Örnek güvenlik duvarý kuralý:
tcp ve udp iletiþim kuralý katmanýna ICMP baðlantý noktasý numarasý yok. Bunun nedeni, ICMP doðrudan IP Katmaný tarafýndan barýndýrýlan.

Varsayýlan olarak, Windows Server 2003 ve Windows 2000 Diðer dns sorguladýðýnýzda server dns sunucularý, kýsa ömürlü istemci tarafý baðlantý noktalarý kullanýr. sunucular. Ancak, bu davranýþ belirli kayýt defteri ile deðiþtirilebilir. ayarý aþaðýdaki Microsoft Knowledge makalesinde açýklanan Base:
Active Directory hakkýnda daha fazla bilgi ve güvenlik duvarý yapýlandýrmasý, "Active Directory'de Networks Segmented göre görüntüleme Güvenlik duvarlarý"Microsoft teknik incelemesi. Bunu yapmak için aþaðýdaki Web sitesini ziyaret edin: Alternatif olarak, üzerinden bir güven iliþkisi kurabilirsiniz. Noktadan Noktaya Tünel Protokolü (pptp) zorunlu tüneli ve bu sýnýrlar güvenlik duvarýnýn açmasý gereken baðlantý noktasý sayýsý. pptp için Aþaðýdaki baðlantý noktalarýný etkinleþtirilmiþ olmasý gerekir. Ayrýca, IP protokolü 47 etkinleþtirmek zorunda (GRE).

Not Ýzinler için güvenen etki alanýndaki bir kaynak eklediðinizde Kullanýcýlarýn güvenilen bir etki alanýnda Windows 2000 arasýnda bazý farklar vardýr ve Windows NT 4.0 davranýþýnda. Bilgisayar görüntüleyemezse uzaktan etki alaný kullanýcýlarý:

• Windows NT 4.0 tarafýndan el ile yazýlmýþ adlarý çözümlemeye pdc, uzak kullanýcýnýn etki alaný (udp 138) baðlantý kuruluyor. Bu, iletiþim baþarýsýz Windows NT 4.0 tabanlý bir bilgisayar kendi PDC'sine baþvurur ve Daha sonra ad çözünürlüðü için sorar.
• Windows 2000 ve Windows Server 2003 de kurmaya uzak kullanýcýnýn pdc udp 138 üzerinden çözümlenmek ancak güvenir. kendi PDC'LERÝNÝ kullanmaya. Emin olun tüm Windows 2000 tabanlý üye sunuculara ve Eriþim izni verilecek Server 2003 tabanlý üye sunuculara Windows kaynaklar uzak pdc için udp 138 baðlantýsý vardýr.