文章編號: 179442 - 上次校閱: 2012年3月19日 - 版次: 1.0

如何設定網域和信任的防火牆

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

本文將告訴您如何設定網域和信任的防火牆。

請注意,並非所有的列在下表中的連接埠所需的所有案例。比方說,如果防火牆隔開成員和網域控制站,您不必開啟 FRS 及/或 DFSR 的連接埠。也就沒有用戶端使用 SSL/TLS 使用 LDAP,如果不需要開啟連接埠 636 和 3269。
回此頁最上方

其他相關資訊

若要建立跨越防火牆的網域信任或安全性通道,必須先開啟下列連接埠。請注意可能會有防火牆的兩端的用戶端和伺服器扮演角色的主機。因此,連接埠規則可能要進行鏡像處理。
回此頁最上方

Windows NT

在此環境中,一方是信任的 Windows NT 4.0建立信任] 或信任的 NetBIOS 名稱。
摺疊此表格展開此表格
用戶端連接埠伺服器連接埠服務
137/UDP137/UDPNetBIOS 名稱
138/UDP138/UDPNetBIOS Netlogon 和瀏覽
1024-65535/TCP139/TCPNetBIOS 的工作階段
1024-65535/TCP42/TCPWINS 複寫
回此頁最上方

Windows Server 2003 和 Windows 2000 Server

針對使用 Windows NT 網域控制站或傳統的混合模式網域用戶端的信任關係之間Windows Server 2003 網域控制站和 Windows 2000 Server 為基礎的網域控制站可能必須將所有的 Windows NT 上一個表格中所列的連接埠開啟 [除了下列的連接埠。

附註 這兩個網域控制站都在同一個樹系或這兩個網域控制站都會在另一個樹系。此外,在樹系信任是Windows Server 2003 信任或較新版本的信任。
摺疊此表格展開此表格
用戶端連接埠伺服器連接埠服務
1024-65535/TCP135/TCPRPC
1024-65535/TCP1024-65535/TCPLSA RPC服務 (1)
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP GC SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
1024-65535/TCP1024-65535/TCPFRS RPC (1)
(*)若要定義由 LSA RPC 服務的 RPC 伺服器連接埠,請參閱知識庫文件 224196 或在 「 網域控制站及 Active Directory 」 一節中下列 「 Microsoft 知識庫 」 文件:
832017? (http://support.microsoft.com/kb/832017/ ) Windows Server 系統的服務概觀與網路連接埠需求
回此頁最上方

Windows Server 2008/Windows Server 2008 R2

在混合模式網域中的 Windows Server 2003 網域控制站、 Windows 2000 Server 為基礎的網域控制站或傳統用戶端所組成,預設的動態連接埠範圍是介於 1025 到 5000。Windows Server 2008 及 Windows Server 2008 R2,遵從網際網路指派數字授權單位 (IANA) 建議事項,增加動態用戶端連接埠範圍為輸出連線。新的預設起始連接埠為 49152,並預設關閉連接埠是 65535。因此,您必須在您的防火牆來增加的 RPC 連接埠範圍。
摺疊此表格展開此表格
用戶端連接埠伺服器連接埠服務
49152-65535/UDP123/UDPW32Time
49152-65535/TCP135/TCPRPC EPMAP
49152-65535/TCP138/UDPNetbios
49152-65535/TCP49152-65535/TCPRPC (1)
49152-65535/TCP/UDP389/TCP/UDPLDAP
49152-65535/TCP636/TCPLDAP SSL
49152-65535/TCP3268/TCPLDAP GC
49152-65535/TCP3269/TCPLDAP GC SSL
53、 49152-65535/TCP/UDP53/TCP/UDPDNS
49152-65535/TCP49152-65535/TCPFRS RPC (1)
49152-65535/TCP/UDP88/TCP/UDPKerberos
49152-65535/TCP/UDP445/TCPSMB
49152-65535/TCP5722/TCPDFSR RPC (1)
如需有關在 Windows Server 2008 中的動態連接埠範圍內變更的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
929851? (http://support.microsoft.com/kb/929851/ ) 在 Windows Vista 中,並在 Windows Server 2008 中,TCP/IP 的預設動態連接埠範圍已變更
如需有關這項變更的詳細資訊,請瀏覽 [詢問目錄服務團隊部落格,並請參閱下列文件:

在 Windows Server 2008,Windows Vista 中的動態用戶端連接埠 (http://blogs.technet.com/askds/archive/2007/08/24/dynamic-client-ports-in-windows-server-2008-and-windows-vista-or-how-i-learned-to-stop-worrying-and-love-the-iana.aspx)

(*)若要定義由 LSA RPC 服務的 RPC 伺服器連接埠,請參閱知識庫文件 224196 或在 「 網域控制站及 Active Directory 」 一節中下列 「 Microsoft 知識庫 」 文件:

832017? (http://support.microsoft.com/kb/832017/ ) Windows Server 系統的服務概觀與網路連接埠需求
回此頁最上方


Active Directory

在 Windows 2000 以及 XP,Active Directory 群組原則用戶端透過防火牆,正確的函式中的網際網路控制訊息通訊協定 (ICMP) 通訊協定必須允許通過防火牆用戶端的網域控制站。ICMP 用來判斷是否該連結為慢速連結還是快速連結。

在 Windows Server 2008 和較新版本中,網路位置感知服務會提供與網路上的其他工作站根據流量的頻寬估計。會產生估計值沒有資料流。

Windows 重新導向器也會使用 ICMP 來驗證連線之前,並尋找使用 DFS 伺服器時,會由 DNS 服務解析伺服器的 IP。這適用於 SYSVOL 延緩的存取。


如果您想要降低 ICMP 流量,您可以使用下列防火牆規則的範例: 
<any> ICMP -> DC IP addr = allow

不像 TCP 通訊協定層級和 UDP通訊協定層級,ICMP 並沒有連接埠號碼。這是因為 ICMP 是直接由 IP 層級。

根據預設,Windows Server 2003 和 Windows 2000他們所查詢其他 DNS 伺服器的 DNS 伺服器使用暫時的用戶端連接埠伺服器。不過,這種行為可能會修改與特定的登錄設定下列微軟知識庫中的文件中描述基底:
260186? (http://support.microsoft.com/kb/260186/ ) 傳送埠的 DNS 登錄機碼不會無法如預期運作

如需有關 Active Directory 及防火牆組態,請檢視 「 Active Directory 中的網路 Segmented防火牆"Microsoft 白皮書 (英文)。若要執行這項操作,請造訪下列網站:
http://www.microsoft.com/downloads/details.aspx?FamilyID = c2ef3846-43f0-4caf-9767-a9166368434e & displaylang = 短破折號 (http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en)
或者,您可以建立透過信任關係點對點通道通訊協定 (PPTP) 強迫通道,這將會限制防火牆必須開啟的連接埠數目。對於 pptp 一樣,必須啟用下列連接埠。
摺疊此表格展開此表格
用戶端連接埠伺服器連接埠通訊協定
1024-65535/TCP1723/TCPPPTP
此外,您可能需要啟用 IP 通訊協定 47」 (GRE)。

附註 當您的權限新增至信任的網域上的資源使用者在受信任網域中,有一些 Windows 2000 之間的差異。和 Windows NT 4.0 行為。如果電腦無法顯示一份遙控器網域使用者:
  • Windows NT 4.0 嘗試藉由手動輸入的名稱解析遠端使用者的網域 (UDP 138) 連絡 PDC。如果這樣還沒有通訊失敗時,Windows NT 4.0 的電腦會連絡其本身的 PDC,並然後會要求進行解析的名稱。
  • Windows 2000 及 Windows Server 2003 也嘗試連絡分機遠端使用者透過 UDP 138、 解析 PDC,但它們並不依賴使用自己的 PDC。請確定所有的 Windows 2000 為基礎的成員伺服器和Windows Server 2003 成員伺服器,會授與存取權資源擁有 UDP 138 連線到遠端的 PDC。
回此頁最上方
這篇文章中的資訊適用於:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Foundation
  • Windows Web Server 2008 R2
回此頁最上方
關鍵字:?
kbenv kbhowto kbnetwork kbmt KB179442 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:179442? (http://support.microsoft.com/kb/179442/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。