Artikkelin tunnus: 875357 - Näytä tuotteet, joita tämä artikkeli koskee.
Laajenna kaikki | Kutista kaikki

Tällä sivulla

Yhteenveto

Microsoft Windows XP Service Pack 2 (SP2) sisältää päivitetyn palomuuriohjelmiston, Windowsin palomuurin, joka korvaa Internet-yhteyden palomuurin. Jos Windowsin palomuuri estää jonkin palvelun tai ohjelman käyttämän portin, voit määrittää Windowsin palomuurin luomaan poikkeuksen. Windowsin palomuuri saattaa estää ohjelman tai palvelun, jos seuraavat ehdot täyttyvät:
  • Ohjelmat eivät vastaa asiakkaan pyyntöihin.
  • Asiakasohjelmat eivät vastaanota tietoja palvelimesta.
Windowsin palomuurin suojausvaroitus saattaa ilmoittaa, että Windowsin palomuuri estää jonkin tietyn ohjelman. Kun näin tapahtuu, voit sallia ohjelman valitsemalla Suojausvaroitus-valintaikkunassa Unblock this program. Voit selvittää, mitkä ohjelmat ja portit estetään, määrittämällä Windowsin palomuurin kirjaamaan pois jätetyt paketit. Voit määrittää Windowsin palomuurin ja sen kirjaamisen komentokehotteessa Windowsin palomuurin Netsh Helperin avulla. Ongelma ei välttämättä aina johdu ohjelmien yhteensopivuudesta. Myös ryhmäkäytäntö saattaa estää ohjelmien suorittamisen. Windows XP Service Pack 2 (SP2) sisältää joitakin apuohjelmia, joiden avulla voidaan suorittaa Windowsin palomuurin ongelmien vianmääritys.

ESITTELY

Paras tapa korjata palomuurin estämisongelmat on muokata ohjelmia niin, että ne toimivat suodattavien palomuurien kanssa. Jos et pysty muokkaamaan ohjelmaa, voit määrittää Windowsin palomuurin lisäämään poikkeuksia tietyille porteille ja ohjelmille. Tässä artikkelissa käsitellään virheiden oireita, jotka liittyvät Windows XP Service Pack 2:n palomuurin oletusmäärityksiin, poikkeusten määrittämistä porteille ja ohjelmille sekä palomuurin asetusten vianmäärityksen suorittamista.

Enemmän tietoa

Virheiden oireiden tunnistaminen

Palomuurin oletusmäärityksiin liittyvät virheet ilmenevät kahdella tavalla:
  • Asiakasohjelmat eivät välttämättä vastaanota tietoja palvelimesta. Esimerkiksi seuraavat asiakasohjelmat eivät välttämättä vastaanota tietoja:
    • FTP-asiakasohjelma
    • multimediavirtaohjelmisto
    • joidenkin sähköpostiohjelmien ilmoitukset uusista viesteistä.
  • Windows XP SP2 -tietokoneessa käynnissä olevat palvelinohjelmat eivät myöskään välttämättä vastaa asiakaspyyntöihin. Esimerkiksi seuraavat palvelinohjelmat eivät välttämättä vastaa:
    • Web-palvelin, kuten IIS (Internet Information Services)
    • etätyöpöytä
    • tiedostojen jakaminen.
    Huomautuksia
    • Verkko-ohjelmien virheet eivät rajoitu ainoastaan palomuuriongelmiin. RPC- tai DCOM-suojausten muutokset saattavat aiheuttaa nämä virheet. Siksi sinun on selvitettävä, liittyykö virheeseen Windowsin palomuurin suojausvaroitus, joka ilmaisee, että ohjelma estetään.
    • Windowsin palomuurin suojausvaroitus ei liity palveluvirheisiin, koska palveluita ei yleensä liitetä käyttäjän kirjautumisistuntoon. Jos virhe liittyy palveluun, määritä palomuurin asetukset "Windowsin palomuurin määrittäminen Windowsin Tietoturvakeskuksen avulla" -osan ohjeiden mukaisesti.
Jos ohjelma estetään, näyttöön saattaa tulla seuraava Windowsin palomuurin suojausvaroitus:

To help protect your computer, Windows Firewall has blocked this program from receiving unsolicited information from the Internet or a network.

Nimi: Ohjelman_nimi
Julkaisija: Julkaisijan_nimi
Unblock this program
Keep blocking this program
Keep blocking this program, but ask me again later

Lisätietoja Windowsin palomuurista



Windowsin palomuurin määrittäminen Windowsin palomuurin suojausvaroituksen avulla

Windowsin palomuurin suojausvaroitus tarjoaa seuraavat kolme vaihtoehtoa:
  • Unblock this program.
  • Keep blocking this program.
  • Keep blocking this program, but ask me again later.

Jos haluat sallia ohjelman, valitse Suojausvaroitus-valintaikkunassa Unblock this program ja valitse sitten OK.

Windowsin palomuurin määrittäminen Windowsin Tietoturvakeskuksen avulla

Ohjelman poikkeuksen lisääminen

Kun lisäät ohjelman poikkeusten luetteloon, sallit palomuurin avata porttialueita, jotka saattavat muuttua jokaisella ohjelman suorittamiskerralla. Voit lisätä ohjelman poikkeuksen seuraavasti:
  1. Kirjaudu tietokoneeseen tilillä, jolla on järjestelmänvalvojan oikeudet.

    Saat lisätietoja tietokoneeseen kirjautuneena olevan käyttäjätilin järjestelmänvalvojan oikeuksien määrittämisestä napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan Microsoft Knowledge Base -tietokannan artikkelin:
    871211 Kirjautuneena olevan käyttäjän järjestelmänvalvojan oikeuksien tarkistaminen ja tietokoneessa käynnissä olevan ryhmäkäytännön tarkistaminen (tämä artikkeli saattaa olla englanninkielinen)
  2. Napsauta Käynnistä-painiketta, valitse Suorita, kirjoita Wscui.cpl ja valitse sitten OK.
  3. Valitse Windowsin Tietoturvakeskus -valintaikkunassa Windowsin palomuuri.
  4. Valitse Poikkeukset-välilehdessä Lisää ohjelma.
  5. Napsauta lisättävien ohjelmien luettelossa lisättävän ohjelman nimeä ja valitse sitten OK. Jos haluamasi ohjelman nimeä ei ole ohjelmien luettelossa, etsi ohjelma valitsemalla Selaa ja valitse sitten OK.


    Huomautus Jos et tiedä ohjelman sijaintia, selvitä se ottamalla yhteyttä ohjelman myyjään.

    Saat lisätietoja yhteyden ottamisesta ohjelman jälleenmyyjään napsauttamalla jotakin alla olevan artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
    65416 Laitteiston ja ohjelmiston jälleenmyyjien yhteystietoluettelo A - K (tämä artikkeli saattaa olla englanninkielinen)

    60781 Laitteiston ja ohjelmiston jälleenmyyjien yhteystietoluettelo L - P (tämä artikkeli saattaa olla englanninkielinen)

    60782 Laitteiston ja ohjelmiston jälleenmyyjien yhteystietoluettelo Q - Z (tämä artikkeli saattaa olla englanninkielinen)
  6. Sulje Windowsin palomuuri valitsemalla OK.
  7. Kokeile ohjelmaa varmistaaksesi, että palomuurin asetukset ovat oikeat.


Portin poikkeuksen lisääminen

Jos tämä ongelma ei korjaannu lisäämällä ohjelma poikkeusten luetteloon, voit lisätä luetteloon portteja manuaalisesti. Jotta voisit tehdä tämän, sinun on ensin selvitettävä ohjelman käyttämät portit. Luotettava tapa tunnistaa käytetyt portit on ottaa yhteyttä ohjelman myyjään. Jos et pysty ottamaan yhteyttä ohjelman myyjään tai jos porttiluetteloa ei ole saatavana, voit selvittää käytetyt portit Netstat.exe-työkalun avulla.

Porttien selvittäminen
  1. Käynnistä ohjelma ja yritä käyttää sen verkko-ominaisuuksia. Esimerkiksi jos kyseessä on multimediaohjelma, yritä käynnistää äänivirta. Jos kyseessä on Web-palvelin, yritä käynnistää palvelu.
  2. Kirjoita komentokehotteeseen Netstat ?ano > netstat.txt ja paina sitten ENTER-näppäintä. Tämän komennon suorittaminen luo Netstat.txt-tiedoston. Tässä tiedostossa on luettelo kaikista seurattavista porteista.
  3. Kirjoita komentokehotteeseen Tasklist > tasklist.txt ja paina sitten ENTER. Jos kyseinen ohjelma suoritetaan palveluna, kirjoita komento Tasklist /svc > tasklist.txt komennon Tasklist > tasklist.txt sijaan, jotta luetteloon lisätään kussakin prosessissa ladattavat palvelut.
  4. Avaa Tasklist.txt-tiedosto ja etsi ohjelma, jonka vianmääritystä suoritat. Kirjoita prosessin prosessitunnus muistiin ja avaa sitten Netstat.txt-tiedosto. Etsi kyseiseen prosessitunnukseen liittyvät merkinnät ja käytetty protokolla.
Jos prosessin porttien numerot ovat pienempiä kuin 1 024, porttien numerot eivät todennäköisesti muutu. Jos käytettyjen porttien numerot ovat suurempia kuin 1 024, ohjelma saattaa käyttää porttialuetta. Siksi et välttämättä pysty korjaamaan ongelmaa avaamalla yksittäisiä portteja.

Portin poikkeuksen lisääminen
  1. Avaa Windowsin palomuuri napsauttamalla Käynnistä-painiketta, valitsemalla Suorita, kirjoittamalla Wscui.cpl ja valitsemalla sitten OK.
  2. Valitse Poikkeukset-välilehti ja tuo Portin lisääminen -valintaikkuna näyttöön valitsemalla Lisää portti.
  3. Kirjoita ohjelman käyttämän portin numero.
  4. Valitse TCP- tai UDP-protokolla sen mukaan, kumpaa ohjelma käyttää.
  5. Kirjoita portille kuvaava nimi Nimi-kenttään.
  6. Jos haluat tarkastella porttipoikkeuksen aluetta tai määrittää sen, valitse Muuta aluetta ja valitse sitten OK.
  7. Sulje Portin lisääminen -valintaikkuna valitsemalla OK.
  8. Kokeile käyttää ohjelmaa varmistaaksesi, että ohjelman porttiasetukset ovat oikeat.


Kirjaamisen käyttäminen

Voit ottaa kirjaamisen käyttöön selvittääksesi saapuvan liikenteen lähteen ja saadaksesi lisätietoja estettävästä liikenteestä. Oletusarvon mukainen lokitiedosto on %Windir%\pfirewall.log. Voit ottaa kirjaamisen käyttöön seuraavasti:
  1. Napsauta Käynnistä-painiketta, valitse Suorita, kirjoita Firewall.cpl ja valitse sitten OK.
  2. Valitse Lisäasetukset-välilehti.
  3. Valitse Suojausloki-kohdassa Asetukset.
  4. Valitse Lokiasetukset-kohdassa Kirjaa hylätyt paketit lokiin -valintaruutu ja valitse sitten OK.
  5. Sulje Windowsin palomuuri valitsemalla OK.

Huomautus Onnistuneita lähteviä yhteyksiä ei kirjata. Sellaista lähtevää tietoliikennettä, jota ei estetä, ei kirjata.


Lokitiedoston sisältö

Kustakin kirjatusta paketista kerätään seuraavat lokitiedot:

Kutista tämä taulukkoLaajenna tämä taulukko
KentätKuvausEsimerkki
DateNäyttää vuoden, kuukauden ja päivän, jolloin kirjattu tapahtuma tapahtui. Päivämäärät kirjataan muodossa VVVV-KK-PP, jossa VVVV on vuosi, KK kuukausi ja PP päivä.2001-01-27
TimeNäyttää tunnin, minuutin ja sekunnin, jolloin kirjattu tapahtuma tapahtui. Ajat kirjataan muodossa TT:MM:SS, jossa TT ilmaisee tunnit 24 tunnin muodossa, MM minuutit ja SS sekunnit.21:36:59
ActionIlmaisee toimintaa, jonka palomuuri havaitsi. Vaihtoehdot ovat OPEN, CLOSE, DROP ja INFO-EVENTS-LOST. INFO-EVENTS-LOST-toimi ilmaisee sellaisten tapahtumien määrää, jotka tapahtuivat mutta joita ei kirjattu lokiin.OPEN
ProtocolNäyttää tietoliikenteessä käytetyn protokollan. Protokollamerkintä saattaa myös olla numero sellaisten pakettien kohdalla, jotka eivät käytä TCP-, UDP- tai ICMP-protokollaa.TCP
src-ipNäyttää IP-lähdeosoitteen tai tietokoneen IP-osoitteen, joka yrittää muodostaa tietoliikenneyhteyden.192.168.0.1
dst-ipNäyttää yritetyn tietoliikenneyhteyden IP-kohdeosoitteen.192.168.0.1
src-portNäyttää lähettävän tietokoneen lähdeportin numeron. Src-port-merkintä kirjataan kokonaislukuna välillä 1 - 65 535. Vain TCP ja UDP näyttävät kelvollisen src-port-merkinnän. Kaikki muut protokollat näyttävät seuraavan src-port-merkinnän: -.4039
dst-portNäyttää kohdetietokoneen portin numeron. Dst-port-merkintä kirjataan kokonaislukuna välillä 1 - 65 535. Vain TCP ja UDP näyttävät kelvollisen dst-port-merkinnän. Kaikki muut protokollat näyttävät seuraavan dst-port-merkinnän: -.53
sizeNäyttää paketin koon tavuina.60
tcpflagsNäyttää IP-paketin TCP-otsikossa olevat TCP-ohjausliput:
  • Ack Acknowledgment-kentän merkintä
  • Fin Ei enää tietoja lähettäjältä
  • Psh Push-funktio
  • Rst Yhteyden nollaaminen
  • Syn Järjestysnumeroiden synkronointi
  • Urg Urgent Pointer -kentän merkintä
Liput kirjoitetaan isoilla kirjaimilla.
AFP
tcpsynNäyttää paketin TCP-järjestysnumeron.1315819770
tcpackNäyttää paketin TCP-ilmoitusnumeron.0
tcpwinNäyttää paketin TCP-ikkunan koon tavuina.64240
icmptypeNäyttää ICMP-sanoman Type-kenttää edustavan numeron.8
icmpcodeNäyttää ICMP-sanoman Code-kenttää edustavan numeron.0
infoNäyttää suoritetun toimen tyypin mukaisen tietomerkinnän. Esimerkiksi INFO-EVENTS-LOST-toimi luo merkinnän niiden tapahtuneiden tapahtumien määrälle, joita ei ollut kirjattu lokiin tämän tapahtumatyypin edellisen esiintymän jälkeen.23

HuomautusYhdysmerkkiä (-) käytetään kentille, joissa ei ole tietoja saatavina merkinnälle.


Komentorivituen käyttäminen

Windowsin palomuurin Netsh Helper lisättiin Windows XP:hen Microsoft Advanced Networking Pack -paketissa. Tämä komentoriviapuohjelma oli ennen IPv6-protokollan Windowsin palomuurin käytettävissä. Windows XP Service Pack 2:n myötä tämä apuohjelma sisältää nyt tuen IPv4-protokollan määrittämiseen.

Netsh Helperin avulla voit nyt tehdä seuraavaa:
  • Määrittää Windowsin palomuurin oletustilan. (Asetukset ovat Ei käytössä, Käytössä ja Käytössä ilman poikkeuksia.)
  • Määrittää portit, joiden on oltava auki.
  • Määrittää portit mahdollistamaan yleisen käytön tai rajoittaa käytön paikalliseen aliverkkoon.
  • Määrittää portit avoimiksi kaikissa liittymissä tai vain tietyssä liittymässä.
  • Määrittää kirjaamisasetukset.
  • Määrittää ICMP (Internet Control Message Protocol) -protokollan käsittelyasetukset.
  • Lisätä ohjelmia poikkeusten luetteloon tai poistaa niitä siitä.
Nämä määritysasetukset koskevat sekä IPv4-protokollan että IPv6-protokollan Windowsin palomuuria paitsi silloin, kun joitakin tiettyjä toimintoja ei ole Windowsin palomuurin versiossa.


Vianmääritystietojen kerääminen

Windowsin palomuurin määritys- ja tilatiedot voidaan noutaa komentorivillä Netsh.exe-työkalun avulla. Tämä työkalu lisää IPv4-palomuurin tuen seuraavaan Netsh-kontekstiin:
netsh firewall
Voit käyttää tätä kontekstia kirjoittamalla komentokehotteeseen netsh firewall ja käyttämällä sitten muita Netsh-komentoja tarpeen mukaan. Seuraavista komennoista on hyötyä palomuurin tila- ja määritystietojen keräämisessä:
  • Netsh firewall show state
  • Netsh firewall show config

Vertaa näiden komentojen tulosteita komennon netstat ?ano tulosteeseen ja selvitä ohjelmat, joilla saattaa olla avoimia seurattavia portteja ja joilla ei ole niitä vastaavia poikkeuksia palomuurin määrityksissä. Seuraavissa taulukoissa on lueteltu tuetut tietojen keräämisen ja määrityksen komennot.

Huomautus Vain järjestelmänvalvoja voi muokata asetuksia.

Tietojen kerääminen
Kutista tämä taulukkoLaajenna tämä taulukko
KomentoKuvaus
show allowedprogramNäyttää sallitut ohjelmat.
show configNäyttää yksityiskohtaiset paikallisten määritysten tiedot.
show currentprofileNäyttää nykyisen profiilin.
show icmpsettingNäyttää ICMP-asetukset.
show loggingNäyttää kirjaamisasetukset.
show opmodeNäyttää toimintatilan.
show portopeningNäyttää odotetut portit.
show serviceNäyttää palvelut.
show stateNäyttää nykyisen tilan tiedot.
show notificationsNäyttää ilmoitusten nykyiset asetukset.

Määritys
Kutista tämä taulukkoLaajenna tämä taulukko
KomentoKuvaus
add allowedprogramKäytetään lisäämään odotettu tietoliikenne määrittämällä ohjelman tiedostonimi.
set allowedprogramKäytetään muokkaamaan aiemmin lisätyn sallitun ohjelman asetuksia.
delete allowedprogramKäytetään poistamaan aiemmin lisätty sallittu ohjelma.
set icmpsettingKäytetään määrittämään sallittu ICMP-tietoliikenne.
set loggingKäytetään määrittämään Windowsin palomuurin kirjaamisasetukset joko yleisesti tai tietylle yhteydelle (liittymälle).
set opmodeKäytetään määrittämään Windowsin palomuurin toimintatila joko yleisesti tai tietylle yhteydelle (liittymälle).
add portopeningKäytetään lisäämään odotettu tietoliikenne määrittämällä TCP- tai UDP-portti.
set portopeningKäytetään muokkaamaan aiemmin lisätyn avoimen TCP- tai UDP-portin asetuksia.
delete portopeningKäytetään poistamaan aiemmin lisätty avoin TCP- tai UDP-portti.
set serviceKäytetään ottamaan käyttöön tai hylkäämään RPC- ja DCOM-tietoliikenne, tiedostojen ja tulostinten jakaminen sekä UPnP-tietoliikenne.
set notificationsKäytetään määrittämään, ovatko käyttäjälle ohjelmien porttien avaamisyritysten yhteydessä lähetetyt ilmoitukset käytössä.
resetPalauttaa palomuurin oletusarvon mukaiset määritykset. Tämä on sama toiminto kuin Windowsin palomuurin käyttöliittymän Palauta oletukset -painikkeen painaminen.



Palomuurin vianmääritys

Windowsin palomuurissa saattaa ilmetä muita ongelmia ohjelmien yhteensopivuusongelmien lisäksi. Suorita ongelmien vianmääritys seuraavasti:
  1. Voit tarkistaa, toimiiko TCP/IP-protokolla oikein, käyttämällä ping-komentoa ja testaamalla silmukkaosoitetta (127.0.0.1) ja määritettyä IP-osoitetta.
  2. Tarkista käyttöliittymän määritykset ja selvitä, onko palomuurin asetukseksi vahingossa määritetty Ei käytössä tai Käytössä ilman poikkeuksia.
  3. Käytä tila- ja määritystietojen netsh-komentoja ja etsi vahingossa määritettyjä asetuksia, jotka saattavat haitata odotettua toimintaa.
  4. Määritä Windowsin palomuuri / Internet-yhteyden jakaminen (ICS) -palvelun tila kirjoittamalla seuraava komento komentokehotteeseen:
    sc query sharedaccess
    (Tämän palvelun lyhyt nimi on SharedAccess.) Suorita palvelun käynnistämisen vianmääritys Win32-sulkemiskoodin perusteella, jos tämä palvelu ei käynnisty.
  5. Selvitä Ipnat.sys-palomuuriohjaimen tila kirjoittamalla seuraavan komennon komentokehotteeseen:
    sc query ipnat
    Tämä komento palauttaa myös edellisen käynnistämisyrityksen Win32-sulkemiskoodin. Jos ohjain ei käynnisty, tee samat vianmääritystoimet samalla tavalla kuin minkä tahansa muun ohjaimenkin kohdalla.
  6. Jos ohjain ja palvelu ovat käynnissä eikä tapahtumalokeissa ole niihin liittyviä virheitä, poista mahdolliset ongelman aiheuttavat määritykset Windowsin palomuurin ominaisuuksien Lisäasetukset-välilehden Palauta oletukset -vaihtoehdon avulla.
  7. Jos ongelma ei edelleenkään korjaannu, tarkista, aiheutuuko ongelma käytäntöasetuksista. Voit tehdä tämän kirjoittamalla komentokehotteeseen GPResult /v > gpresult.txt ja tarkastelemalla tulokseksi saatavasta tekstitiedostosta, onko palomuurin liittyviä käytäntöjä määritetty.

Windowsin palomuurin ryhmäkäytännön määrittäminen

Selvitä verkonvalvojaltasi, estääkö jokin ryhmäkäytäntöasetus ohjelmien ja skenaarioiden suorittamisen yritysympäristössä.

Windowsin palomuurin ryhmäkäytäntöasetukset sijaitsevat seuraavissa ryhmäkäytäntöobjektieditorin apuohjelmapoluissa:
  • Tietokoneasetukset/Hallintamallit/Verkko/Verkkoyhteydet/Windowsin palomuuri
  • Tietokoneasetukset/Hallintamallit/Verkko/Verkkoyhteydet/Windowsin palomuuri/Toimialueen profiili
  • Tietokoneasetukset/Hallintamallit/Verkko/Verkkoyhteydet/Windowsin palomuuri/Vakioprofiili

Voit määrittää seuraavat ryhmäkäytäntöasetukset näistä sijainneista:
  • Windowsin palomuuri: Salli todennettu IPSec-ohitus
  • Windowsin palomuuri: Suojaa kaikki verkkoyhteydet
  • Windowsin palomuuri: Älä salli poikkeuksia
  • Windowsin palomuuri: Määritä ohjelmapoikkeukset
  • Windowsin palomuuri: Salli paikalliset ohjelmapoikkeukset
  • Windowsin palomuuri: Salli etähallinnan poikkeus
  • Windowsin palomuuri: Salli tiedostojen ja tulostimien jakamisen poikkeus
  • Windowsin palomuuri: Salli ICMP-poikkeukset
  • Windowsin palomuuri: Salli etätyöpöydän poikkeus
  • Windowsin palomuuri: Salli Universal Plug and Play -ympäristön poikkeus
  • Windowsin palomuuri: Estä ilmoitukset
  • Windowsin palomuuri: Salli lokiin kirjaaminen
  • Windowsin palomuuri: Estä yksittäislähetysvastaukset monilähetys- tai lähetyspyyntöihin
  • Windowsin palomuuri: Määritä porttipoikkeukset
  • Windowsin palomuuri: Salli paikalliset porttipoikkeukset

Lisätietoja Windowsin palomuurin ryhmäkäytäntöasetuksista saat lataamalla seuraavan tiedotteen:
Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2

Ominaisuudet

Artikkelin tunnus: 875357 - Viimeisin tarkistus: 10. kesäkuuta 2013 - Versio: 1.7
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
Hakusanat: 
kbscreenshot kbgraphxlink kbtshoot kbhowtomaster KB875357

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com