本文將告訴您如何設定網域和信任的防火牆。
附註:並非所有的表格中所列的連接埠必須在所有案例中。比方說,如果防火牆隔開成員和網域控制站,您不必開啟 FRS 或 DFSR 的連接埠。此外,如果您知道沒有用戶端使用 LDAP,使用 SSL/TLS,您不必開啟連接埠 636 和 3269。
若要建立跨越防火牆的網域信任或安全性通道,必須先開啟下列連接埠。請注意可能會有防火牆的兩端的用戶端和伺服器扮演角色的主機。因此,連接埠規則可能要進行鏡像處理。
Windows NT
Click here to show/hide solution
在此環境中,一方的信任是 Windows NT 4.0 信任,或信任已經建立使用 NetBIOS 名稱。
摺疊此表格展開此表格
| 用戶端的連接埠 | 伺服器連接埠 | 服務 |
|---|
| 137/UDP | 137/UDP | NetBIOS 名稱 |
| 138/UDP | 138/UDP | NetBIOS Netlogon 和瀏覽 |
| 1024-65535/TCP | 139/TCP | NetBIOS 的工作階段 |
| 1024-65535/TCP | 42/TCP | WINS 複寫 |
Windows Server 2003 」 和 「 Windows 2000 Server
Click here to show/hide solution
使用 Windows NT 的網域控制站或傳統用戶端為混合模式網域,信任 Windows Server 2003 網域控制站和 Windows 2000 Server 為基礎的網域控制站可能會需要除了下列的連接埠開啟的所有 Windows NT 的前一個表格中所列的連接埠之間的關聯性。
附註這兩個網域控制站都在同一個樹系中或兩個網域控制站都會在另一個樹系。此外,在樹系信任是Windows Server 2003 信任或較新版本的信任。
摺疊此表格展開此表格
| 用戶端的連接埠 | 伺服器連接埠 | 服務 |
|---|
| 1024-65535/TCP | 135/TCP | RPC 端點對應程式 |
| 1024-65535/TCP | 1024-65535/TCP | RPC 的 LSA,SAM,Netlogon (1) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (1) |
NETBIOS 連接埠所列的 Windows NT 也都需要 Windows 2000 及 Windows Server 2003,當信任網域的設定支援僅 NETBIOS 為基礎的通訊。範例是以 Windows NT 為基礎的作業系統或 Samba 為基礎的協力廠商網域控制站。
(*)如需有關如何定義由 LSA RPC 服務的 RPC 伺服器連接埠的資訊,請參閱下列微軟知識庫文件:
Windows Server 2008 」 和 「 Windows Server 2008 R2
Click here to show/hide solution
Windows Server 2008 及 Windows Server 2008 R2 增加動態用戶端連接埠範圍為輸出連線。新的預設起始連接埠為 49152,並預設的結束連接埠是 65535。因此,您必須在您的防火牆來增加的 RPC 連接埠範圍。這項變更的目的是為了遵守網際網路指派數字授權單位 (IANA) 建議事項。這不同於 Windows Server 2003 網域控制站、 Windows 2000 Server 為基礎的網域控制站或傳統的用戶端所組成,其中預設動態連接埠範圍是介於 1025 到 5000 混合模式網域。
如需有關 Windows Server 2008 及 Windows Server 2008 R2 的動態連接埠範圍變更的詳細資訊,請參閱下列資源:
摺疊此表格展開此表格
| 用戶端的連接埠 | 伺服器連接埠 | 服務 |
|---|
| 49152-65535/UDP | 123/UDP | W32Time |
| 49152-65535/TCP | 135/TCP | RPC 端點對應程式 |
| 49152-65535/TCP | 464/TCP/UDP | Kerberos 密碼變更 |
| 49152-65535/TCP | 49152-65535/TCP | RPC 的 LSA,SAM,Netlogon (1) |
| 49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152-65535/TCP | 636/TCP | LDAP SSL |
| 49152-65535/TCP | 3268/TCP | LDAP GC |
| 49152-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53、 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152-65535/TCP | 49152-65535/TCP | FRS RPC (1) |
| 49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152-65535/TCP/UDP | 445/TCP | SMB |
| 49152-65535/TCP | 49152-65535/TCP | DFSR RPC (1) |
當信任網域的設定支援僅 NETBIOS 為基礎的通訊,還有需要 Windows 2000 及 2003 伺服器的 NETBIOS 連接埠所列的 Windows NT。範例是以 Windows NT 為基礎的作業系統或 Samba 為基礎的協力廠商網域控制站。
(*)如需有關如何定義由 LSA RPC 服務的 RPC 伺服器連接埠的資訊,請參閱下列微軟知識庫文件:
附註:如果您以手動方式已設定與伺服器同步的 [Windows Time] 服務,在外部信任,才需要使用外部信任 123/UDP。
使用中的目錄
Click here to show/hide solution
在 Windows 2000 和 Windows XP 中,網際網路控制訊息通訊協定 (ICMP) 必須允許通過防火牆從用戶端的網域控制站,以便穿越防火牆 Active Directory 群組原則用戶端可以正確地運作。ICMP 用來判斷是否該連結為慢速連結還是快速連結。
在 Windows Server 2008 及更新版本中,網路位置感知服務會提供與網路上的其他工作站根據流量的頻寬估計值。會產生估計值沒有資料流。
Windows 重新導向器也會使用 ICMP 來確認伺服器的 IP 解決 DNS 服務連線之前,而且當伺服器位於使用 DFS。這適用於 SYSVOL 延緩的存取。
如果您想要降低 ICMP 流量,您可以使用下列防火牆規則範例:
<any> ICMP -> DC IP addr = allow
不像 TCP 通訊協定層級和 UDP通訊協定層級,ICMP 並沒有連接埠號碼。這是因為 ICMP直接由 IP 層所裝載。
預設情況下,Windows Server 2003 和 Windows 2000 伺服器的 DNS 伺服器會使用暫時的用戶端連接埠,當他們所查詢其他 DNS 伺服器。不過,這種行為可能會變更的特定登錄設定。如需詳細資訊,請參閱 Microsoft 知識庫文件
260186: 傳送埠的 DNS 登錄機碼未如預期般運作
(http://support.microsoft.com/kb/260186)
如需有關 Active Directory 及防火牆設定的詳細資訊,請參閱
使用中的目錄,在網路防火牆區隔
(http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en)
Microsoft 白皮書 (英文)。或者,您可以建立透過點對點通道通訊協定 (PPTP) 的強迫通道信任。這會限制的防火牆有開啟的連接埠的數目。針對 pptp 一樣,則必須啟用下列連接埠。
摺疊此表格展開此表格
| 用戶端連接埠 | 伺服器連接埠 | 通訊協定 |
|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
此外,您可能需要啟用 IP 通訊協定 47」 (GRE)。
附註當您新增至信任的網域中的使用者的信任網域上的資源的權限時,但也有一些 Windows 2000 和 Windows NT 4.0 行為之間的差異。如果電腦無法顯示遠端網域的使用者清單,請考慮下列行為:
- Windows NT 4.0 嘗試藉由手動輸入的名稱解析遠端使用者的網域 (UDP 138) 的話,連絡 PDC。如果這樣還沒有通訊失敗,Windows NT 4.0 的電腦會連絡其本身的 PDC,並然後會要求解析名稱。
- Windows 2000 及 Windows Server 2003 也嘗試透過 UDP 138 尋求解決方法的遠端使用者的 PDC。不過,它們並不依賴使用他們自己的 PDC。請確定所有的 Windows 2000 為基礎的成員伺服器和授與存取資源的 Windows Server 2003 成員伺服器都有 UDP 138 連線到遠端的 PDC。
文章編號: 179442 - 上次校閱: 2012年8月10日 - 版次: 4.0
這篇文章中的資訊適用於:
- Windows Server 2008 Datacenter
- Windows Server 2008 Enterprise
- Windows Server 2008 Standard
- Windows Server 2008 R2 Datacenter
- Windows Server 2008 R2 Enterprise
- Windows Server 2008 R2 Standard
- Microsoft Windows Server 2003, Standard Edition (32-bit x86)
- Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
- Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Professional Edition
- Microsoft Windows NT Server 4.0 Standard Edition
- Windows Server 2008 Datacenter without Hyper-V
- Windows Server 2008 Enterprise without Hyper-V
- Windows Server 2008 for Itanium-Based Systems
- Windows Server 2008 Foundation
- Windows Web Server 2008 R2
| kbenv kbhowto kbnetwork kbmt KB179442 KbMtzh |
機器翻譯重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:
179442
(http://support.microsoft.com/kb/179442/en-us/
)
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
回此頁最上方
