Fejlfinding i forbindelse med indstillingerne for Windows Firewall i Windows XP Service Pack 2 (evt. på engelsk)

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 875357 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

På denne side

Sammenfatning

Microsoft Windows XP Service Pack 2 (SP2) omfatter Microsoft Windows Firewall, der er den opdaterede software, der erstatter Firewall til Internetforbindelse (ICF). Hvis en port, der bruges af en tjeneste eller et program, blokeres af Microsoft Windows Firewall, kan du oprette en undtagelse i Windows Firewall. Windows Firewall kan blokere et program eller en tjeneste, hvis følgende betingelser er opfyldt:
  • Programmer reagerer ikke på en klients anmodning.
  • Klientprogrammer modtager ingen data fra serveren.
Du kan få besked om, at Windows Firewall blokerer et bestemt program. Når det sker, kan du fjerne blokeringen af programmet ved at markere Fjern blokeringen af dette program i dialogboksen Sikkerhedsadvarsel. Hvis du vil afgøre, hvilke programmer og porte der blokeres, kan du indstille Windows Firewall til at føre en logfil over opgivne pakker. Ved hjælp af Windows Firewall Netsh Helper kan du indstille Windows Firewall og logføring i Windows Firewall via kommandoprompten. Programkompatibilitet er ikke altid problemet. Indstillinger for gruppepolitik kan også forhindre programmer i at køres. Windows XP Service Pack 2 (SP2) indeholder flere værktøjer, du kan bruge til at udføre fejlfinding i forbindelse med problemer i Windows Firewall.

INTRODUKTION

Problemer med blokering via en firewall løses bedst ved at redigere programmer, så de fungerer sammen med firewall med filtrering med meget høj sikkerhed. Hvis du ikke kan redigere et program, kan du konfigurere Windows Firewall, så der tilføjes undtagelser for bestemte porte og programmer. I denne artikel diskuteres de fejlsymptomer, der har relation til standardkonfigurationen af firewallen i Windows XP Service Pack 2, hvordan undtagelser for porte og programmer indstilles, og hvordan der udføres fejlfinding i forbindelse med indstillinger for firewallen.

Yderligere Information

Genkendelse af fejlsymptomer

Fejl i forbindelse med firewallens standardkonfiguration vises på to måder:
  • Klientprogrammer modtager muligvis ingen data fra serveren. Følgende klientprogrammer modtager f.eks. ingen data:
    • En FTP-klient
    • Streaming-software til multimedier
    • Besked om ny e-mail i nogle e-mail-programmer
  • Muligvis vil serverprogrammer på en computer, der kører Windows XP, ikke reagere på anmodninger fra klienterne. Følgende klientprogrammer reagerer muligvis ikke:
    • En webserver, f.eks. IIS (Internet Information Services)
    • Fjernskrivebord
    • Fildeling
    Bemærk!
    • Fejl i netværksprogrammer er ikke begrænset til firewallproblemer. Sådanne fejl kan forårsages af ændringer i RPC- eller DCOM-sikkerheden. Du skal derfor afgøre, om fejlen ledsages af en sikkerhedsadvarsel fra Windows Firewall, som angiver, at et program blokeres.
    • Fejl i tjenester ledsages ikke af en sikkerhedsadvarsel fra Windows Firewall, fordi tjenester ikke normalt er associeret med en session med brugerlogon. Hvis fejlen er relateret til en tjeneste, skal du konfigurere firewallen, som omtalt i afsnittet "Konfiguration af Windows Firewall ved hjælp af Windows Sikkerhedscenter".
Hvis et program blokeres, kan du modtage følgende en sikkerhedsadvarsel af følgende type fra Windows Firewall:

For bedre at beskytte din computer har Windows Firewall blokeret dette program fra at modtage uønskede oplysninger fra internettet eller et netværk.

Navn: Programnavn
Udgiver: Udgivernavn
Fjern blokeringen af dette program
Fortsæt blokeringen af dette program
Fortsæt blokeringen af dette program, men spørg mig igen senere

Lær mere om Windows Firewall.



Konfiguration af Windows Firewall ved hjælp af Windows Firewall Sikkerhedsadvarsel

Med Windows Firewall Sikkerhedsadvarsel får du følgende tre indstillinger:
  • Fjern blokeringen af dette program.
  • Fortsæt blokeringen af dette program.
  • Fortsæt blokeringen af dette program, men spørg mig igen senere.

Hvis du vil fjerne blokeringen af programmet, skal du klikke på Fjern blokeringen af dette program i dialogboksen Sikkerhedsadvarsel og derefter klikke på OK.

Konfiguration af Windows Firewall ved hjælp af Windows Sikkerhedscenter

Tilføjelse af en programundtagelse

Når du føjer et program til listen over undtagelser, tillader du, at der åbnes for sekvenser af porte i firewallen, som kan ændres, hver gang programmet køres. Følg disse trin for at tilføje en programundtagelse:
  1. Log på med en administratorkonto.

    Yderligere oplysninger om, hvordan du afgør, om kontoen, som du er logget på med, er en administratorkonto, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
    871211 Sådan kontrolleres det, om du er logget på som administrator, og om der findes en gruppepolitik for din computer (evt. på engelsk)
  2. Klik på Start, klik på Kør, skriv wscui.cpl, og klik derefter på OK.
  3. Klik på Windows Firewall i vinduet Windows Sikkerhedscenter.
  4. Klik på Tilføj program under fanen Undtagelser.
  5. På listen over programmer skal du klikke på navnet på det program, du vil tilføje, og derefter klikke på OK. Hvis navnet på programmet ikke findes på listen over programmer, skal du klikke på Gennemse, finde programmet og klikke på OK.


    Bemærk! Hvis du ikke ved, hvor programmet findes, skal du kontakte programleverandøren for at få oplysninger om placeringen af programmet.

    Oplysninger om, hvordan du kontakter programleverandøren, får du ved at klikke på et af nedenstående artikelnumre for at få vist artiklen i Microsoft Knowledge Base:
    65416 Kontaktoplysninger for hardware- og softwareleverandører, A-K (evt. på engelsk)

    60781 Kontaktoplysninger for hardware- og softwareleverandører, L-P (evt. på engelsk)

    60782 Kontaktoplysninger for hardware- og softwareleverandører, Q-Å (evt. på engelsk)
  6. Klik på OK for at lukke Windows Firewall.
  7. Test programmet for at bekræfte, at indstillingerne for firewallen er korrekte.


Tilføjelse af en portundtagelse

Hvis problemet ikke blev løst ved at føje et program til listen over undtagelser, kan du manuelt tilføje porte. For at gøre det skal du først identificere de porte, der bruges af programmet. Du finder bedst ud af, hvilken port der skal bruges, ved at kontakte programleverandøren. Hvis det ikke er muligt, eller hvis der ikke findes en liste over porte, kan du bruge værktøjet Netstat.exe til at identificere de porte, der er i brug.

Identificering af portene
  1. Start det pågældende program, og prøv at bruge dets netværksfunktioner. I et multimedieprogram kan du f.eks. prøve at starte en lydstream. På en webserver kan du starte tjenesten.
  2. Skriv Netstat ?ano > netstat.txt ved en kommandoprompt, og tryk derefter på ENTER. Med denne kommando oprettes filen Netstat.txt. I denne fil findes en liste over alle lytteporte.
  3. Skriv Tasklist > tasklist.txt ved kommandoprompten, og tryk derefter på ENTER. Hvis det pågældende program kører som en tjeneste, skal du skrive Tasklist /svc > tasklist.txt i stedet for Tasklist > tasklist.txt, så de tjenester, der er indlæst i hver enkelt proces, opføres på listen.
  4. Åbn filen Tasklist.txt, og find programmet, du laver fejlfinding på. Noter proces-id'et for processen, og åbn derefter filen Netstat.txt. Noter alle poster, der er associeret med den pågældende proces-id, og den protokol, der bruges.
Hvis portnumrene for processen ligger under 1024, skifter portnumrene sandsynligvis ikke. Hvis de brugte numre ligger over 1024, bruger programmet måske en sekvens af porte. Derfor vil åbning af enkelte porte måske ikke løse problemet.

Tilføjelse af en portundtagelse
  1. Klik på Start, klik på Kør, skriv Wscui.cpl, og klik derefter på OK for at åbne Windows Firewall.
  2. Klik på fanen Undtagelser, og klik derefter på Tilføj port for at åbne dialogboksen Tilføj en port.
  3. Indtast de portnumre, som programmet bruger.
  4. Vælg TCP- eller UDP-protokol, afhængigt af hvad programmet bruger.
  5. Indtast et beskrivende navn til porten i feltet Navn.
  6. Hvis du vil have vist eller indstille omfanget af undtagelsen for porten, skal du klikke på Skift område og derefter klikke på OK.
  7. Klik på OK for at lukke dialogboksen Tilføj en port.
  8. Test programmet for at bekræfte, at portindstillingerne er korrekte for programmet.


Brug af logføring

Du kan aktivere logføring for bedre at kunne identificere kilden til indkommende trafik og levere oplysninger om, hvilken trafik der blokeres. Den logfil, der bruges som standard, er %Windir%\pfirewall.log. Følg disse trin for at aktivere logføring:
  1. Klik på Start, Kør, skriv Firewall.cpl, og klik derefter på OK.
  2. Klik på fanen Avanceret.
  3. Klik på Indstillinger under Sikkerhedslogføring.
  4. Under Indstillinger for log skal du markere afkrydsningsfeltet Logfør mistede pakker og derefter klikke på OK.
  5. Klik på OK for at lukke Windows Firewall.

Bemærk! Udgående trafik, der lykkes, logføres ikke. Udgående trafik, der ikke blokeres, logføres ikke.


Fortolkning af logfilen

Der indsamles følgende oplysninger i logfilen for hver pakke, der logføres:

Skjul tabellenUdvid tabellen
FelterBeskrivelseEksempel
DateHer vises år, måned og dag for tidspunktet, hvor den foretagne transaktion blev registreret. Datoer registreres i formatet ÅÅÅÅ-MM-DD, hvor ÅÅÅÅ er året, MM er måneden og DD er dagen.2001-01-27
TimeHer vises time, minutter og sekunder for tidspunktet, hvor den foretagne transaktion blev registreret. Klokkeslæt registreres i formatet: TT:MM:SS, hvor TT er timetallet i 24-times format, MM er antallet af minutter, og SS er antallet af sekunder.21:36:59
ActionHer angives den handling, der blev observeret af firewallen. De tilgængelige indstillinger i firewall'en er OPEN, CLOSE, DROP og INFO-EVENTS-LOST. En handling af typen INFO-EVENTS-LOST angiver antallet af hændelser, der forekom, men som ikke blev registreret i logfilen.OPEN
ProtocolHer vises den protokol, der blev brugt til kommunikationen. En protokolpost kan også være et nummer for pakker, der ikke bruger TCP, UDP eller ICMP.TCP
src-ipHer vises kildens IP-adresse, eller IP-adressen på den computer, der forsøger at oprette kommunikationsforbindelse.192.168.0.1
dst-ipViser IP-adressen på den destination, der forsøger at oprette kommunikation.192.168.0.1
src-portViser den afsendende computers kildeportnummer. En post af typen src-port registreres i form af et heltal mellem 1 og 65.535. Der vises kun en gyldig post af typen src-port for TCP og UDP. Alle andre protokoller viser en post af typen src-port på ?.4039
dst-portViser destinationscomputerens kildeportnummer. En post af typen dst-port registreres i form af et heltal mellem 1 og 65.535. Der vises kun en gyldig post af typen dst-port for TCP og UDP. Alle andre protokoller viser en post af typen dst-port på ?.53
sizeViser pakkestørrelse i byte.60
tcpflagsViser TCP-kontrolflag, der findes i TCP-headeren for en IP-pakke:
  • Ack ? Bekræftelsesfelt signifikant
  • Fin ? Ikke flere data fra afsender
  • Psh ? Push-funktion
  • Rst ? Nulstil forbindelsen
  • Syn ? Synkroniser sekvensnumre
  • Urg ? Feltet Vigtig Pointer signifikant
Flag skrives med store bogstaver.
AFP
tcpsynViser TCP-sekvensnummeret i pakken.1315819770
tcpackViser TCP-bekræftelsesnummeret i pakken.0
tcpwinViser størrelsen af TCP-vinduet i byte i pakken.64240
icmptypeViser et nummer, der repræsenterer feltet Type i ICMP-meddelelsen.8
icmpcodeViser et nummer, der repræsenterer feltet Code i ICMP-meddelelsen.0
infoViser en oplysningspost, der afhænger af den type handling, der forekom. For eksempel opretter en handling af typen INFO-EVENTS-LOST en post for det antal hændelser, der forekom, men som ikke blev registreret i logfilen, siden sidste forekomst af denne hændelsestype.23

Bemærk!Bindestregen (-) bruges i felter, hvor der ikke er nogen oplysninger tilgængelige for en post.


Brug af support via kommandolinje

Windows Firewall Netsh Helper blev føjet til Windows XP i Microsoft Advanced Networking Pack. Dette kommandolinjebaserede hjælpeprogram gjaldt tidligere for IPv6 Windows Firewall. Med Windows XP Service Pack 2 understøtter hjælpeprogrammet nu konfiguration af IPv4.

Med Netsh Helper kan du nu:
  • Konfigurere standardtilstanden for Windows Firewall. (Indstillingerne omfatter Slået fra, Slået til og Slået til uden undtagelser).
  • Konfigurere de porte, der skal være åbne.
  • Konfigurere portene for at aktivere global adgang eller for at begrænse adgang til det lokale undernet.
  • Indstille porte til at være åbne på alle grænseflader eller kun på en bestemt grænseflade.
  • Konfigurere indstillingerne for logføring.
  • Konfigurere indstillinger for håndtering af ICMP (Internet Control Message Protocol).
  • Tilføje programmer eller fjerne programmer på listen over undtagelser.
Disse konfigurationsindstillinger gælder for både IPv4 Windows Firewall og IPv6 Windows Firewall, medmindre en bestemt funktionalitet ikke findes i den pågældende version af Windows Firewall.


Indsamling af diagnosedata

Oplysninger om konfiguration af og status for Windows Firewall kan hentes via kommandolinjen ved hjælp af værktøjet Netsh.exe. Dette værktøj føjer IPv4-firewallunderstøttelse til følgende Netsh-kontekst:
netsh firewall
Hvis du vil bruge denne kontekst, skal du skrive netsh firewall ved en kommandoprompt og derefter bruge kommandoerne Netsh efter behov. Følgende kommandoer er nyttige til indsamling af oplysninger om status for og konfiguration af firewall:
  • Netsh firewall show state
  • Netsh firewall show config

Sammenlign resultaterne af disse kommandoer med resultaterne fra kommandoen netstat ?ano for at identificere programmer, der kan have åbne lytteporte, og som ikke har tilsvarende undtagelser i konfigurationen af firewallen. De understøttede kommandoer til dataindsamling og konfiguration er opført i følgende tabeller.

Bemærk! Indstillingerne kan kun ændres af en administrator.

Dataindsamling
Skjul tabellenUdvid tabellen
KommandoBeskrivelse
show allowedprogramViser de tilladte programmer.
show configViser detaljerede oplysninger om lokal konfiguration.
show currentprofileViser den aktuelle profil.
show icmpsettingViser indstillingerne for ICMP.
show loggingViser indstillingerne for logføring.
show opmodeViser driftstilstanden.
show portopeningViser de undtagede porte.
show serviceViser tjenesterne.
show stateViser oplysninger om den aktuelle tilstand.
show notificationsViser de aktuelle indstillinger for meddelelser.

Konfiguration
Skjul tabellenUdvid tabellen
KommandoBeskrivelse
add allowedprogramBruges til at tilføje undtaget trafik gennem specificering af programmets filnavn.
set allowedprogramBruges til at redigere indstillingerne for et eksisterende tilladt program.
delete allowedprogramBruges til at slette et eksisterende tilladt program.
set icmpsettingBruges til at specificere tilladt ICMP-trafik.
set loggingBruges til at angive indstillinger for logføring for Windows Firewall. Det kan enten gøres globalt eller for en bestemt forbindelse (grænseflade).
set opmodeBruges til at angive driftstilstanden for Windows Firewall. Det kan enten gøres globalt eller for en bestemt forbindelse (grænseflade).
add portopeningBruges til at tilføje undtaget trafik ved at specificere en TCP- eller UDP-port.
set portopeningBruges til at redigere indstillingerne for en eksisterende åben TCP- eller UDP-port.
delete portopeningBruges til at slette en eksisterende åben TCP- eller UDP-port.
set serviceBruges til at aktivere eller udelade RPC- eller DCOM-trafik, fil- og udskriftsdeling og UPnP-trafik.
set notificationsBruges til at angive, om der skal sendes besked til brugeren, når programmer forsøger at åbne porte.
resetNulstiller indstillingerne for firewallen til standard. Dette giver samme funktion som knappen Gendan standarder i grænsefladen i Windows Firewall.



Fejlfinding i forbindelse med firewallen

Ud over problemer med programkompatibilitet kan der forekomme andre problemer i Windows Firewall. Følg disse trin for at diagnosticere problemerne:
  1. Du kan kontrollere, at TCP/IP fungerer korrekt, ved at bruge kommandoen ping til at afprøve tilbagekoblingsadressen (127.0.0.1) og den tildelte IP-adresse.
  2. Bekræft indstillingerne i brugergrænsefladen for at afgøre, om firewallen utilsigtet er indstillet til Slået fra eller Slået til uden undtagelser.
  3. Brug kommandoerne af typen netsh til status- og konfigurationsoplysninger til at finde utilsigtede indstillinger, der kan forstyrre den forventede funktionsmåde.
  4. Bestem status for tjenesten Windows Firewall/Deling af Internetforbindelse ved at indtaste følgende ved kommandoprompten:
    sc query sharedaccess
    (Det korte navn for tjenesten er SharedAccess). Udfør fejlfinding af starten af tjenesten med udgangspunkt i Win32-afslutningskoden, hvis tjenesten ikke starter.
  5. Bestem status for firewalldriveren Ipnat.sys ved at indtaste følgende ved en kommandoprompt:
    sc query ipnat
    Denne kommando returnerer også Win32-afslutningskoden fra sidste startforsøg. Hvis driveren ikke starter, kan du bruge de trin til fejlfinding, der også bruges til enhver anden driver.
  6. Hvis både driveren og tjenesten kører, og der ikke findes nogen relaterede fejl i hændelseslogfilerne, skal du bruge indstillingen Gendan standarder under fanen Avanceret for egenskaberne for Windows Firewall for at eliminere alle potentielle problemer med konfigurationen.
  7. Hvis problemet stadig opstår, skal du kigge efter politikindstillinger, der kunne føre til den uventede funktionsmåde. Det gøres ved at skrive GPResult /v> gpresult.txt ved kommandoprompten og derefter se i den resulterende tekstfil, om der er konfigurerede politikker, som har relation til firewallen.

Konfiguration af gruppepolitik i Windows Firewall

Kontakt netværksadministratoren for at afgøre, om en indstilling for gruppepolitik forhindrer programmer og scenarier i at køre i et virksomhedsmiljø.

Indstillingerne for gruppepolitik i Windows Firewall findes på følgende stier for snap-in'en objekteditor til gruppepolitikker:
  • Computerkonfiguration/Administrative skabeloner/Netværk/Netværksforbindelser/Windows Firewall
  • Computerkonfiguration/Administrative skabeloner/Netværk/Netværksforbindelser/Windows Firewall/Domæneprofil
  • Computerkonfiguration/Administrative skabeloner/Netværk/Netværksforbindelser/Windows Firewall/Standardprofil

Fra disse placeringer kan du angive følgende indstillinger for gruppepolitik:
  • Windows Firewall: Tillad overspringning af godkendt IPSec
  • Windows Firewall: Beskyt alle netværksforbindelser
  • Windows Firewall: Tillad ikke undtagelser
  • Windows Firewall: Definer programundtagelser
  • Windows Firewall: Tillad lokale programundtagelser
  • Windows Firewall: Tillad undtagelser i forbindelse med fjernadministration
  • Windows Firewall: Tillad undtagelser i forbindelse med fil- og udskriftsdeling
  • Windows Firewall: Tillad ICMP-undtagelser
  • Windows Firewall: Tillad undtagelse i forbindelse med Fjernskrivebord
  • Windows Firewall: Tillad UPnP-struktur-undtagelse
  • Windows Firewall: Forbyd beskeder
  • Windows Firewall: Tillad logføring
  • Windows Firewall: Tillad ikke unicast-svar på multicast- eller broadcast-anmodninger
  • Windows Firewall: Definer portundtagelser
  • Windows Firewall: Tillad lokale portundtagelser

Yderligere oplysninger om indstillinger for gruppepolitik i Windows Firewall får du ved at hente følgende hvidbog:
Implementering af Windows Firewall-indstillinger til Microsoft Windows XP med Service Pack 2 (evt. på engelsk)

Egenskaber

Artikel-id: 875357 - Seneste redigering: 22. maj 2006 - Redigering: 1.4
Oplysningerne i denne artikel gælder:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
Nøgleord: 
kbhowtomaster kbtshoot kbgraphxlink kbscreenshot KB875357

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com