文章编号: 555381 - 最后修改: 2006年11月9日 - 修订: 1.0 如何为域控制器配置 Windows Server2003SP 防火墙概要启用 Windows 防火墙时 Windows Server 2003 SP 1 域控制器无法正常工作。 计算机可能无法作为域控制器或者一些 ActiveDirectory 对象 (如 GPO) 的复制可能无法得到复制。 症状症状可能包括: 1 客户机可不建立安全连接与域控制器 2 . 用户不能登录客户端计算机与域用户帐户上 3 用户无法访问域资源域成员计算机上 (例如文件或打印机共享) 4 . 计算机被提升为被域控制器无法用作域控制器 5 . 文件复制服务事件日志, 事件 ID 13508 从成为域控制器启用复制问题有: 文件复制服务 " " FileReplicationService: 从 à 没有后续事件 ID 13509 " 显示 " 已启用复制从 à 或 13516 ": 文件复制服务已不再阻止计算机 à。 6 . 在计算机上被提升为被域控制器, SYSVOL 和 NETLOGON 共享没有 从其他域控制器上被提升为被域控制器, 7 %systemroot%\SYSVOL\domain\Policies 文件夹不获取填充不 原因Windows Server 2003 SP 1 防火墙, 或者在此计算机或其他域 Controller(s), 阻止客户端访问到 ActiveDirectory 或阻止 ActiveDirectory 复制。 解决方案配置 Active Directory (AD) 复制 & 文件复制服务 (FRS) 要用于复制特定 TCP/IP 端口并配置防火墙以允许传入连接到需要程序和端口 (请参见参考下面的相关知识库文章)。 ? 1 . 配置 AD 和 FRS 以使用特定端口 ? ????a. 选择两 TCP 端口号码可用 (例如 53211 和 53212) 那些正由任何是域控制器上任何未使用。 使用 49152 到 65535 之间任何数字。 netstat - o - n - 命令将列出所有当前打开, 端口但可不可能是由应用程序或服务当前没有正在运行 (请参阅知识库文章 832017 对由 Window 服务器使用端口使用端口列表。 请参阅下面引用对于 URL 为权威源端口数有关。 ? ??? b 林, 中所有域控制器上添加以下两个注册表值与 regedit (或使用 .reg 文件 - 请参阅参考下面) ???????? i. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\TCP / IP 端口 ??????????? ?- DWORD 包含选定 TCP 端口号用于 AD 复制 (例如 53211 - cfdb (十六进制)) ???????? ii HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\RPC TCP/IP 端口分配。 ??????????? ?- DWORD 包含选定 TCP 端口号对于 FRS (例如 53212 - cfdc (十六进制)) ? 域控制器上配置 Windows Server 2003 SP 1 Windows 防火墙用于 .。 可添加所需设置到 默认域控制器 组策略对象 (GPO), 或创建一个新 GPO 并链接到 域控制器 容器。 组策略管理控制台是用于此 (参见推荐工具 http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&DisplayLang=en). ? 注: 提升为域控制器被后将重新启动计算机 ; 这首先重新后, 计算机将使用 Windows 防火墙的 域 配置。 并重新启动计算机, 首复制成功完成后域控制器将使用 Windows 防火墙的 常用 配置。 相同因此, 要避免问题, 请 域 和 常用 配置对于域控制器。? ? 以下, 中只列出 ; 列出专门与正确的域控制器运行项是可将设置为任何值需要项。 例如, 可能用于具有使域控制器可以管理远程, 大型安装中它通常位于远程域控制器设置为启用允许远程桌面例外。 ? ??? a Windows 防火墙保护所有网络连接 - 启用: ??? b Windows 防火墙 (启用端口 135 和 445 其中都进行域控制器需要) 允许远程管理例外 - 启用: ????b Windows 防火墙: 允许文件和打印机共享例外: - 启用 ??? c . Windows 防火墙: 定义端口例外的下面, 端口例外列表中指示将接受来自任何 IP 地址的传入请求 - 启用: (*。 其他值是可能的详细设置在组策略编辑器选项卡上看到文字。 localsubnet for example, 可能适用于某些情况)。 下面字符串是什么需要的端口例外列表中将完全。 ?????????123:udp: * 启用: NTP: ???????? 3268:tcp: * 启用: LDAP 全局编录: ?????????389:tcp: * 启用: LDAP: ?????????389:udp: * 启用: LDAP: ?????????53:tcp: * 启用: DNS: ?????????53:udp: * 启用: DNS: ?????????53211:tcp: *): 便笺启用 AD 复制: 使用上述 1.b.i 中选定端口号 (: ?????????53212:tcp: *): 便笺启用 FileReplicationService: 使用上述 1.b.ii 中选定端口号 (: ?????????88:tcp: * 启用: Kerberos: ?????????88:udp: * 启用: Kerberos: ? 更多信息如述 KB 文章 832017, ActiveDirectory 复制和 FileReplicationService, 默认, 使用随机选定端口来使用用于远程过程调用 (RPC)。 通过防火墙将阻止传入连接这样随机端口号上。 简单解决方案以此问题是为配置这些函数来使用特定端口 224196 和 319553 KB 文章中所述。 ? 引用: ? ? http://support.microsoft.com/default.aspx/kb/832017?文档服务和端口 (UDP 和 TCP) 通过 WindowsServer 用于各种用途 ? http://support.microsoft.com/default.aspx/kb/224196?ActiveDirectory 复制通信限制到特定端口 ? http://support.microsoft.com/kb/319553 如何 FRS 复制通信限制到特定静态端口 ? http://www.iana.org/assignments/port-numbers?权威源分配端口号。 包含此语句: ?????????????????????????????????? 动态和或专端口是从 49152 到 65535 ???? ? ? 这篇文章中的信息适用于:
 机器翻译注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。如果您发现了错误并希望帮助我们提高机器翻译技术,请完成文章末尾的在线调查。 点击这里察看该文章的英文版: 555381?
(http://support.microsoft.com/kb/555381/en-us/
)
 社区解决方案内容免责声明Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的或衍生性的损失或任何种类的损失,均不负任何责任,无论该等诉讼是合同之诉、疏忽或其它侵权行为之诉。 | 文章翻译
|
| United States | Change | | | All Microsoft Sites |
Help and Support
回到顶端
|
