Bu makalede, bir güvenlik duvarı etki alanları ve Güvenleri'ni yapılandırma.
Bu resmi kapatBu resmi aç
Burada tablolarda listelenen tüm bağlantı noktaları, tüm senaryolarda gereklidir. Örneğin, güvenlik duvarı üyeleri ve DCs ayıran, FRS'nin veya dfsr bağlantı noktalarını açmanız gerekmez. Ayrıca, hiçbir istemci ldap ssl/tls kullanan biliyorsanız, 636 ve 3269 numaralı bağlantı noktalarını açmanız gerekmez.
Güvenlik Duvarı üzerinden bir etki alanı güven ilişkisi veya güvenlik kanalı kurmak için aşağıdaki bağlantı noktalarının açık olması gerekir. Güvenlik duvarının her iki tarafında hem istemci hem de sunucu rolleriyle çalışan ana bilgisayarlar olabileceğini unutmayın. Bu nedenle, bağlantı noktası kurallarının yansıtılması gerekebilir.
Windows NT
Click here to show/hide solution
Bu ortamda bir güven bir Windows NT 4.0 güveni tarafıdır veya güven NetBIOS adları kullanılarak oluşturulmuştur.
Bu tabloyu kapaBu tabloyu aç
| İstemci bağlantı noktaları | Sunucu bağlantı noktası | Hizmet |
|---|
| 137/UDP | 137/UDP | NetBIOS adı |
| 138/UDP | 138/UDP | NetBIOS Netlogon ve
Gözatma |
| 1024-65535/TCP | 139/TCP | NetBIOS oturumu |
| 1024-65535/TCP | 42/TCP | WINS çoğaltması |
Windows Server 2003 ve Windows 2000 Server
Click here to show/hide solution
Windows NT etki alanı denetleyicilerini veya eski istemcileri kullanan bir karma mod etki için güven ilişkileri arasındaki Windows Server 2003 tabanlı etki alanı denetleyicileri Windows 2000 Server tabanlı etki alanı denetleyicileri Windows NT için yukarıdaki tabloda listelenen tüm bağlantı yanı sıra aşağıdaki bağlantı noktalarının açılması gerekebilir.
Bu resmi kapatBu resmi aç
İki etki alanı denetleyicisi her ikisi de aynı olan
her ikisi de ayrı bir ormanda orman veya etki alanı denetleyicileri olan. Ayrıca, ormandaki güvenlerdir
Güvenleri Windows Server 2003 veya sonraki sürümü güvenleri.
Bu tabloyu kapaBu tabloyu aç
| İstemci bağlantı noktaları | Sunucu bağlantı noktası | Hizmet |
|---|
| 1024-65535/TCP | 135/TCP | rpc Bitiş Noktası Eşleştiricisi |
| 1024-65535/TCP | 1024-65535/TCP | lsa, sam, Netlogon oluştun rpc |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC OLUŞTUN |
Etki alanı güvenleri yalnızca NetBIOS tabanlı iletişimi destekleyen yapılandırıldığında, Windows NT için listelendiği gibi NetBIOS bağlantı noktalarını da Windows 2000 ve Windows Server 2003 için gereklidir. Windows NT tabanlı işletim sistemleri veya Samba esas alan bir üçüncü taraf etki alanı denetleyicileri örnektir.
(*) lsa rpc Hizmetleri tarafından kullanılan rpc sunucu bağlantı noktalarını tanımlamak belirleme hakkında daha fazla bilgi için aşağıdaki Microsoft Knowledge Base makalelerine bakın:
Windows Server 2008 ve Windows Server 2008 R2
Click here to show/hide solution
Windows Server 2008 ve Windows Server 2008 R2 dinamik istemci bağlantı noktası aralığı için giden bağlantılar artırmıştır. Yeni varsayılan başlangıç bağlantı noktası 49152 bağlıdır ve varsayılan bitiş bağlantı noktası-65535'tir. Bu nedenle, rpc bağlantı noktası aralığı, duvarları artırmanız gerekir. Bu değişiklik, Internet Atanmış Numaralar Yetkilisi (IANA) önerileri ile uyumlu olacak şekilde yapılmıştır. Burada 1025-5000 varsayılan dinamik bağlantı noktası aralığı, Windows Server 2003 etki alanı denetleyicileri, Windows 2000 Server tabanlı etki alanı denetleyicileri veya eski istemcileri oluşan bir karma mod etki alanından farklıdır.
Windows Server 2008 ve Windows Server 2008 R2 dinamik bağlantı noktası aralığını değiştirme hakkında daha fazla bilgi için aşağıdaki kaynaklara bakın:
Bu tabloyu kapaBu tabloyu aç
| İstemci bağlantı noktaları | Sunucu bağlantı noktası | Hizmet |
|---|
| 49152 -65535/UDP | 123/UDP | W32Time |
| 49152 -65535/TCP | 135/TCP | rpc Bitiş Noktası Eşleştiricisi |
| 49152 -65535/TCP | 464/TCP/UDP | Kerberos Parola değiştirme |
| 49152 -65535/TCP | 49152-65535/TCP | lsa, sam, Netlogon oluştun rpc |
| 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152 -65535/TCP | 636/TCP | LDAP SSL |
| 49152 -65535/TCP | 3268/TCP | LDAP GC |
| 49152 -65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152 -65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152 -65535/TCP | 49152 -65535/TCP | FRS RPC OLUŞTUN |
| 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152 -65535/TCP/UDP | 445/TCP | SMB |
| 49152 -65535/TCP | 49152-65535/TCP | DFSR RPC OLUŞTUN |
Etki alanı güvenleri yalnızca NetBIOS tabanlı iletişimi destekleyen yapılandırıldığında, Windows NT için listelendiği gibi NetBIOS bağlantı noktalarını da Windows 2000 ve Server 2003 için gereklidir. Windows NT tabanlı işletim sistemleri veya Samba esas alan bir üçüncü taraf etki alanı denetleyicileri örnektir.
(*) lsa rpc Hizmetleri tarafından kullanılan rpc sunucu bağlantı noktalarını tanımlamak belirleme hakkında daha fazla bilgi için aşağıdaki Microsoft Knowledge Base makalelerine bakın:
Bu resmi kapatBu resmi aç
Dış güven 123/udp yalnızca sizin el ile eşitleme Windows Saati hizmeti sunucusu ile dış güvene yapılandırdıysanız gereklidir.
Active Directory
Click here to show/hide solution
Active Directory Grup İlkesi İstemcisi Güvenlik Duvarı üzerinden düzgün çalışabilmesi Windows 2000 ve Windows xp, Internet Denetim İletisi Protokolü (ICMP) güvenlik duvarı üzerinden istemcilerden etki alanı denetleyicilerine izin verilmelidir. ICMP bağlantı yavaş veya hızlı bir bağlantı olup olmadığını belirlemek için kullanılır.
Windows Server 2008 ve sonraki sürümlerinde, ağdaki diğer istasyonlar ile trafiğe göre bant genişliği tahmin ağ konumunu bilme hizmeti sağlar. Tahmin için oluşturulan trafik olduğundan.
Windows yeniden yönlendiricisi ICMP sunucu IP bağlantısı kurulmadan önce ve dfs kullanarak bir sunucuda bulunan dns hizmeti tarafından çözümlendiğini doğrulamak için de kullanır. sysvol access tarafından etki alanı üyeleri için geçerlidir.
ICMP trafiğini en aza indirmek istiyorsanız, aşağıdaki kullanabilirsiniz
Örnek güvenlik duvarı kuralı:
<any> ICMP -> DC IP addr = allow
tcp ve udp
ICMP iletişim kuralı katmanına bir bağlantı noktası numarası yok. ICMP olmasıdır
doğrudan IP Katmanı tarafından barındırılan.
Diğer dns sunucularını sorguladığınızda varsayılan olarak, Windows Server 2003 ve Windows 2000 Server dns sunucuları kısa ömürlü istemci tarafı bağlantı noktaları kullanın. Ancak, bu davranışı, belirli bir kayıt defteri ayarıyla değiştirilebilir. Daha fazla bilgi için bkz: Microsoft Bilgi Bankası makalesi
260186: SendPort dns kayıt defteri anahtarı beklendiği gibi çalışmıyor
(http://support.microsoft.com/kb/260186)
Active Directory ve güvenlik duvarı yapılandırması hakkında daha fazla bilgi için bkz:
Duvarlarıyla segmentlere bölünmüş ağlarda Active Directory'de
(http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en)
Microsoft teknik incelemesi.Ya da Noktadan Noktaya Tünel Protokolü (pptp) zorunlu tüneli üzerinden bir güven ilişkisi kurabilirsiniz. Bu Güvenlik Duvarı'nı açmak için olan bağlantı noktalarının sayısını sınırlar. pptp için aşağıdaki bağlantı noktalarını etkinleştirilmiş olması gerekir.
Bu tabloyu kapaBu tabloyu aç
| İstemci bağlantı noktaları | Sunucu bağlantı noktası | İletişim kuralı |
|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
Buna ek olarak, IP protokolü 47 etkinleştirmek zorunda
(GRE).
Bu resmi kapatBu resmi aç
Güvenilen bir etki alanındaki kullanıcılar için güvenen etki alanındaki bir kaynağa izinler eklediğinizde, Windows 2000 ve Windows NT 4.0 davranışında bazı farklılıklar vardır. Bilgisayar uzak etki alanındaki kullanıcıların listesini görüntüleyemiyor, aşağıdaki davranış göz önünde bulundurun:
- Windows NT 4.0 tarafından el ile yazılmış adları çözümlemeye çalışır
PDC'yle temasa geçmek uzak kullanıcının etki alanı (udp 138). Bu,
iletişim başarısız Windows NT 4.0 tabanlı bir bilgisayar kendi PDC'sine başvurur ve
Daha sonra ad çözünürlüğü için sorar.
- Windows 2000 ve Windows Server 2003 ayrıca udp 138 çözümlenmek uzak kullanıcının pdc başvurmak deneyin. Ancak, bunlar kendi PDC'LERİNİ kullanmaya güvenmeyin. Tüm Windows 2000 tabanlı üye sunuculara ve kaynaklara erişim izni Windows Server 2003 tabanlı üye sunucuların uzak pdc için udp 138 bağlantısı olduğundan emin olun.
Makale numarası: 179442 - Son Gözden Geçirme: 10 Ağustos 2012 Cuma - Gözden geçirme: 4.0
Bu makaledeki bilginin uygulandığı durum:
- Windows Server 2008 Datacenter
- Windows Server 2008 Enterprise
- Windows Server 2008 Standard
- Windows Server 2008 R2 Datacenter
- Windows Server 2008 R2 Enterprise
- Windows Server 2008 R2 Standard
- Microsoft Windows Server 2003 Standard Edition
- Microsoft Windows Server 2003 Enterprise Edition
- Microsoft Windows Server 2003 Datacenter Edition
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Professional Edition
- Microsoft Windows NT Server 4.0 Standard Edition
- Windows Server 2008 Datacenter without Hyper-V
- Windows Server 2008 Enterprise without Hyper-V
- Windows Server 2008 for Itanium-Based Systems
- Windows Server 2008 Foundation
- Windows Web Server 2008 R2
| kbenv kbhowto kbnetwork kbmt KB179442 KbMttr |
Otomatik TercümeÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:
179442
(http://support.microsoft.com/kb/179442/en-us/
)
Üste
