Artikkel-ID: 875357 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

Sammendrag

Microsoft Windows XP Service Pack 2 (SP2) inneholder Microsoft Windows-brannmur, som er den oppdaterte brannmurprogramvaren som erstatter brannmuren for Internett-tilkobling. Hvis Microsoft Windows-brannmur blokkerer en port som brukes av en tjeneste eller et program, kan du konfigurere Windows-brannmur slik at det opprettes et unntak. Det kan hende Windows-brannmur blokkerer et program eller en tjeneste hvis følgende betingelser stemmer:
  • Programmer svarer ikke på en klients forespørsel.
  • Klientprogrammer mottar ikke data fra serveren.
En sikkerhetsadvarsel for Windows-brannmur gir kanskje beskjed om at Windows-brannmur blokkerer et bestemt program. Når dette skjer, kan du fjerne blokkeringen av programmet ved å velge Unblock this program i dialogboksen Sikkerhetsadvarsel. Hvis du vil finne ut hvilke programmer og porter som blokkeres, kan du konfigurere Windows-brannmur slik at forkastede pakker logges. Ved hjelp av Netsh-hjelperen for Windows-brannmur kan du konfigurere Windows-brannmur og logging av Windows-brannmur i ledeteksten. Programkompatibilitet er ikke alltid problemet. Innstillinger for Gruppepolicy kan også hindre at programmer kjører. Windows XP Service Pack 2 (SP2) inneholder flere verktøy du kan bruke til å feilsøke problemer med Windows-brannmur.

INNLEDNING

Den beste måten å løse problemer med blokkering av brannmur på er å endre programmene slik at de fungerer med tilstandsfulle filtreringsbrannmurer. Hvis du ikke kan endre et program, kan du konfigurere Windows-brannmuren til å legge til unntak for bestemte porter og programmer. Denne artikkelen beskriver symptomene på feil som gjelder standardkonfigurasjonen av Windows XP Service Pack 2-brannmuren, hvordan du konfigurerer unntak for porter og for programmer, og hvordan du feilsøker brannmurinnstillinger.

Mer informasjon

Gjenkjenne symptomer på feil

Feil som gjelder standard brannmurkonfigurasjon vises på to måter.
  • Klientprogrammer mottar kanskje ikke data fra en server. Følgende klientprogrammer mottar for eksempel ikke data:
    • En FTP-klient
    • Programvare for multimedieavspilling
    • Varsler om ny e-post i noen e-postprogrammer
  • Serverprogrammer som kjører på en Windows XP-basert datamaskin, svarer kanskje ikke på klientforespørsler. Følgende serverprogrammer svarer for eksempel ikke:
    • En webserver, for eksempel Internet Information Services (IIS)
    • Eksternt skrivebord
    • Fildeling
    Obs! 
    • Feil i nettverksprogrammer er ikke begrenset til brannmurproblemer. Disse feilene kan være forårsaket av endringer i RPC- eller DCOM-sikkerheten. Derfor må du finne ut om feilen inneholder en sikkerhetsadvarsel for Windows-brannmur som angir at et program blokkeres.
    • Tjenestefeil har ikke en sikkerhetsadvarsel for Windows-brannmur fordi tjenester vanligvis ikke er forbundet med en brukerpåloggingsøkt. Hvis feilen er tjenesterelatert, konfigurerer du brannmuren som beskrevet i delen Konfigurere Windows-brannmur ved hjelp av Windows-sikkerhetssenter.
Hvis et program blokkeres, kan det hende du mottar følgende sikkerhetsadvarsel for Windows-brannmur:

To help protect your computer, Windows Firewall has blocked this program from receiving unsolicited information from the Internet or a network.

Navn: Programnavn
Utgiver: Utstedernavn
Unblock this program
Keep blocking this program
Keep blocking this program, but ask me again later

Lær mer om Windows-brannmur.



Konfigurere Windows-brannmur ved hjelp av sikkerhetsadvarsel for Windows-brannmur

Sikkerhetsadvarselen for Windows-brannmur gir deg tre alternativer.
  • Unblock this program.
  • Keep blocking this program.
  • Keep blocking this program, but ask me again later.

Hvis du vil fjerne blokkeringen av programmet, klikker du Unblock this program i dialogboksen Sikkerhetsadvarsel, og klikker deretter OK.

Konfigurere Windows-brannmur ved hjelp av Windows-sikkerhetssenter

Legge til et programunntak

Når du legger til et program i unntakslisten, kan brannmuren åpne mange porter som kan endres hver gang programmet kjøres. Hvis du vil legge til et programunntak, gjør du følgende:
  1. Bruk en administratorkonto til å logge på.

    Hvis du vil ha mer informasjon om hvordan du finner ut om kontoen du er logget på med, er en administratorkonto, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    871211 Slik kontrollerer du om du er logget på som administrator, og om en gruppepolicy finnes for datamaskinen
  2. Klikk Start, Kjør, skriv inn Wscui.cpl, og klikk deretter OK.
  3. I vinduet Windows-sikkerhetssenter klikker du Windows-brannmur.
  4. I Unntak-kategorien klikker du Legg til program.
  5. I listen over programmer klikker du navnet på programmet du vil legge til, og klikker deretter OK. Hvis navnet på programmet ikke finnes i listen over programmer, klikker du Bla gjennom for å finne programmet, og klikker deretter OK.


    Obs!  Hvis du ikke vet hvor programmet finnes, kontakter du programleverandøren.

    Hvis du vil ha informasjon om hvordan du kontakter programleverandøren, klikker du riktig artikkelnummer i listen nedenfor for å vise artikkelen i Microsoft Knowledge Base:
    65416 Kontaktinformasjon for maskinvare- og programvareleverandør, A-K

    60781 Kontaktinformasjon for maskinvare- og programvareleverandør, L-P

    60782 Kontaktinformasjon for maskinvare- og programvareleverandør, Q-Z
  6. Klikk OK for å lukke Windows-brannmur.
  7. Test programmet for å kontrollere at brannmurinnstillingene er riktige.


Legge til et portunntak

Hvis du ikke løser dette problemet ved å legge til et program i unntakslisten, kan du legge til porter manuelt. Da må du først identifisere portene som brukes av programmet. En sikker måte å gjøre dette på er å kontakte programleverandøren. Hvis du ikke kan kontakte en leverandør, eller hvis en portliste ikke er tilgjengelig, kan du bruke verktøyet Netstat.exe til å identifisere portene som er i bruk.

Identifisere portene
  1. Start programmet og forsøk å bruke dets nettverksfunksjoner. Forsøk for eksempel å starte en lydavspilling i et multimedieprogram. Forsøk å starte tjenesten ved hjelp av en webserver.
  2. I ledeteksten skriver du inn Netstat ?ano > netstat.txt, og trykker deretter Enter. Denne kommandoen oppretter filen Netstat.txt. Denne filen lister opp alle lytteportene.
  3. I ledeteksten skriver du inn Tasklist > tasklist.txt, og trykker deretter ENTER. Hvis programmet kjøres som en tjeneste, skriver du inn Tasklist /svc > tasklist.txt i stedet for Tasklist > tasklist.txt slik at tjenestene som lastes i hver prosess, listes opp.
  4. Åpne filen Tasklist.txt, og finn programmet du vil feilsøke. Skriv ned PIDen for prosessen, og åpne deretter filen Netstat.txt. Legg merke til oppføringer som er forbundet med den PIDen og protokollen som brukes.
Hvis portnumrene for prosessen er under 1024, endres de sannsynligvis ikke. Hvis numrene som brukes, er større enn 1024, bruker programmet en rekke porter. Derfor er det ikke sikkert du kan løse problemet ved å åpne individuelle porter.

Legge til portunntaket
  1. Klikk Start, Kjør, skriv inn Wscui.cpl, og klikk deretter OK for å åpne Windows-brannmur.
  2. Klikk Unntak-kategorien, og klikk deretter Legg til port for å vise dialogboksen Legg til en port.
  3. Skriv inn portnummeret programmet bruker.
  4. Velg TCP- eller UDP-protokoll, avhengig av hva programmet bruker.
  5. I Navn-feltet skriver du inn et portnavn.
  6. Klikk Endre område for å vise eller angi område for portunntaket, og klikk deretter OK.
  7. Klikk OK for å lukke dialogboksen Legg til en port.
  8. Hvis du vil kontrollere at portinnstillingene er riktige for programmet, tester du programmet.


Bruke logging

Du kan aktivere logging for å identifisere hvor innkommende trafikk kommer fra og for å få opplysninger om hvilken type trafikk som blokkeres. Standard loggfil er %Windir%\pfirewall.log. Følg disse trinnene for å aktivere logging:
  1. Klikk Start, Kjør, skriv inn Firewall.cpl, og klikk deretter OK.
  2. Klikk Avansert-kategorien.
  3. I Sikkerhetslogging klikker du Innstillinger.
  4. I Logginnstillinger klikker du for å merke av for Logg mislykkede pakker, og klikker deretter OK.
  5. Klikk OK for å lukke Windows-brannmur.

Obs!  Utgående trafikk logges ikke. Utgående trafikk som ikke blokkeres, logges ikke.


Tolke loggfilen

Logginformasjonen nedenfor samles for hver pakke som logges.

Skjul denne tabellenVis denne tabellen
FeltBeskrivelseEksempel
DatoViser året, måneden og dagen den registrerte overføringen fant sted. Datoer registreres i formatet ÅÅÅÅ-MM-DD, der ÅÅÅÅ er året, MM er måneden og DD er dagen.2001-01-27
KlokkeslettViser timen, minuttet og sekundet den registrerte overføringen fant sted. Klokkeslett registreres i følgende format: TT:MM:SS, der TT er timene i 24-timers format, MM er antall minutter og SS er antall sekunder.21:36:59
HandlingAngir operasjonen som ble observert av brannmuren. Alternativene som er tilgjengelige for brannmuren, er ÅPNE, LUKK, SLIPP og INFO-EVENTS-LOST. En INFO-EVENTS-LOST-handling angir antall hendelser som fant sted, men som ikke ble registrert i loggen.ÅPNE
ProtokollViser protokollen som ble brukt for kommunikasjonen. En protokolloppføring kan også være et nummer for pakker som ikke bruker TCP, UDP eller ICMP.TCP
src-ipViser kilde-IP-adressen, eller IP-adressen til datamaskinen som forsøker å opprette kommunikasjoner.192.168.0.1
dst-ipViser mål-IP-adressen for et kommunikasjonsforsøk.192.168.0.1
src-portViser kildeportnummeret for avsenderdatamaskinen. En src-port-oppføring registreres som et heltall mellom 1 og 65 535. Bare TCP og UDP viser en gyldig src-port-oppføring. Alle andre protokoller viser en src-port-oppføring med verdien -.4039
dst-portViser portnummeret for måldatamaskinen. En dst-port-oppføring registreres som et heltall mellom 1 og 65 535. Bare TCP og UDP viser en gyldig dst-port-oppføring. Alle andre protokoller viser en dst-port-oppføring med verdien -.53
størrelseViser pakkestørrelsen i byte.60
tcp-flaggViser TCP-kontrollflaggene som finnes i TCP-overskriften for en IP-pakke:
  • Ack Acknowledgment-felt viktig
  • Fin Ingen flere data fra avsender
  • Psh Push-funksjon
  • Rst Tilbakestiller tilkoblingen
  • Syn Synkroniserer sekvensnumre
  • Urg Urgent Pointer-felt viktig
Flagg skrives med store bokstaver.
AFP
tcpsynViser TCP-sekvensnummeret i pakken.1315819770
tcpackViser TCP-bekreftelsesnummeret i pakken.0
tcpwinViser TCP-vindusstørrelsen i byte i pakken.64240
icmptypeViser et nummer som representerer Type-feltet for ICMP-meldingen.8
icmpcodeViser et nummer som representerer Code-feltet for ICMP-meldingen.0
infoViser en informasjonsoppføring som avhenger av handlingstypen som fant sted. En INFO-EVENTS-LOST-handling oppretter for eksempel en oppføring for antall hendelser som fant sted, men som ikke ble registrert i loggen fra tidspunktet for siste forekomst av denne hendelsestypen.23

Obs!  Bindestreken (-) brukes for felt som ikke har tilgjengelig informasjon for en oppføring.


Bruke kommandolinjestøtte

Netsh-hjelperen for Windows-brannmur ble lagt til i Windows XP i Microsoft Advanced Networking Pack. Denne kommandolinjehjelperen gjaldt tidligere for IPv6 Windows-brannmur. I Windows XP Service Pack 2 inneholder hjelperen nå støtte for konfigurasjon av IPv4.

Ved hjelp av Netsh-hjelperen kan du gjøre følgende:
  • Konfigurere standardtilstanden for Windows-brannmur. (Alternativer er Av, og Av uten unntak.)
  • Konfigurere portene som må være åpne.
  • Konfigurere portene for å gi global tilgang eller begrense tilgangen til det lokale delnettet.
  • Angi at porter skal være åpne for alle grensesnitt eller bare for et bestemt grensesnitt.
  • Konfigurere loggingsalternativene.
  • Konfigurere behandlingsalternativene for Internet Control Message Protocol (ICMP).
  • Legge til eller fjerne programmer fra unntakslisten.
Disse konfigurasjonsalternativene gjelder for både IPv4 Windows-brannmur og IPv6 Windows-brannmur, bortsett fra når bestemt funksjonalitet ikke finnes i Windows-brannmurversjonen.


Samle diagnosedata

Konfigurasjonen av og statusinformasjonen for Windows-brannmur kan hentes fra kommandolinjen ved hjelp av verktøyet Netsh.exe. Dette verktøyet legger til støtte for IPv4-brannmur i følgende Netsh-kontekst:
netsh firewall
Hvis du vil bruke denne konteksten, skriver du inn netsh firewall i ledeteksten, og bruker deretter ekstra Netsh-kommandoer etter behov. Følgende kommandoer er nyttige når du skal samle status- og konfigurasjonsinformasjon for brannmur:
  • Netsh firewall show state
  • Netsh firewall show config

Sammenlign resultatet fra disse kommandoene med resultatet fra kommandoen netstat ?ano for å identifisere programmene som kan ha lytteporter åpne og som ikke har tilsvarende unntak i brannmurkonfigurasjonen. Datasamlings- og konfigurasjonskommandoer som støttes, er listet opp i tabellene nedenfor.

Obs!  Innstillinger kan bare endres av en administrator.

Datasamling
Skjul denne tabellenVis denne tabellen
KommandoBeskrivelse
show allowedprogramViser tillatte programmer.
show configViser den detaljerte lokale konfigurasjonsinformasjonen.
show currentprofileViser gjeldende profil.
show icmpsettingViser ICMP-innstillingene.
show loggingViser loggingsinnstillingene.
show opmodeViser operasjonsmodusen.
show portopeningViser de unntatte portene.
show serviceViser tjenestene.
show stateViser informasjon for gjeldende tilstand.
show notificationsViser gjeldende innstillinger for varslinger.

Konfigurasjon
Skjul denne tabellenVis denne tabellen
KommandoBeskrivelse
add allowedprogramBrukes til å legge til unntatt trafikk ved å angi programmets filnavn.
set allowedprogramBrukes til å endre innstillingene for et eksisterende tillatt program.
delete allowedprogramBrukes til å slette et eksisterende tillatt program.
set icmpsettingBrukes til å angi tillatt ICMP-trafikk.
set loggingBrukes til å angi loggingsalternativer for Windows-brannmur enten globalt eller for en bestemt tilkobling (grensesnitt).
set opmodeBrukes til å angi operasjonsmodusen for Windows-brannmur enten globalt eller for en bestemt tilkobling (grensesnitt).
add portopeningBrukes til å legge til unntatt trafikk ved å angi en TCP- eller UDP-port.
set portopeningBrukes til å endre innstillingene for en eksisterende åpen TCP- eller UDP-port.
delete portopeningBrukes til å slette en eksisterende åpen TCP- eller UDP-port.
set serviceBrukes til å aktivere eller kutte RPC- og DCOM-trafikk, fil- og skriverdeling, og UPnP-trafikk.
set notificationsBrukes til å angi om varslinger til brukeren når programmer forsøker å åpne porter, er aktivert.
resetTilbakestiller brannmurkonfigurasjonen til standardverdiene. Dette gir samme funksjonalitet som knappen Gjenopprett standarder i grensesnittet for Windows-brannmur.



Feilsøke brannmuren

I tillegg til problemer med programkompatibiliteten kan det oppstå andre problemer i Windows-brannmur. Følg fremgangsmåten nedenfor for å analysere problemene:
  1. Hvis du vil kontrollere at TCP/IP fungerer riktig, bruker du ping-kommandoen til å teste tilbakekoblingsadressen (127.0.0.1) og den tilordnede IP-adressen.
  2. Kontroller konfigurasjonen i brukergrensesnittet for å finne ut om brannmuren ved en feiltagelse er satt til Av eller På uten unntak.
  3. Bruk netsh-kommandoene for status- og konfigurasjonsinformasjon til å søke etter feilaktige innstillinger som kan være i konflikt med forventet virkemåte.
  4. Kontroller statusen for tjenesten Windows-brannmur/Deling av Internett-tilkobling ved å skrive inn følgende i ledeteksten:
    sc query sharedaccess
    (Det forkortede navnet på denne tjenesten er SharedAccess.) Feilsøk tjenesteoppstarten basert på Win32-avsluttingskoden hvis tjenesten ikke starter.
  5. Angi statusen for brannmurdriveren Ipnat.sys ved å skrive inn følgende i ledeteksten:
    sc query ipnat
    Denne kommandoen returnerer også Win32-avsluttingskoden fra forrige oppstartsforsøk. Hvis driveren ikke starter, bruker du feilsøkingsfremgangsmåten som gjelder for alle andre drivere.
  6. Hvis både driveren og tjenesten kjører og ingen beslektede feil finnes i hendelsesloggene, bruker du alternativet Gjenopprett standarder i Avansert-kategorien for egenskapene for Windows-brannmur til å eliminere mulige problemer med konfigurasjonen.
  7. Hvis problemet fortstatt ikke er løst, søker du etter policyinnstillinger som kanskje gir uventet virkemåte. Da skriver du inn GPResult /v > gpresult.txt i ledeteksten, og analyserer deretter konfigurerte policyer som er knyttet til brannmuren, i den resulterende tekstfilen.

Konfigurere Gruppepolicy for Windows-brannmur

Kontakt systemansvarlig for å finne ut om en innstilling for Gruppepolicy fører til at programmer og scenarier ikke kjører i et bedriftsmiljø.

Innstillinger for Gruppepolicy for Windows-brannmur finnes i følgende snapin-baner i objektredigering for Gruppepolicy:
  • Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall
  • Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/ Domain Profile
  • Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/ Standard Profile

Fra disse plasseringene kan du konfigurere følgende innstillinger for Gruppepolicy:
  • Windows-brannmur: Tillat omgåelse av godkjent IPSec (Internet Protocol security)
  • Windows-brannmur: Beskytt alle nettverkstilkoblinger
  • Windows-brannmur: Ikke tillatt unntak
  • Windows-brannmur: Definer programunntak
  • Windows-brannmur: Tillat unntak for lokale programmer
  • Windows-brannmur: Tillat unntak for ekstern administrasjon
  • Windows-brannmur: Tillat unntak for fil- og skriverdeling
  • Windows-brannmur: Tillat ICMP-unntak
  • Windows-brannmur: Tillat unntak for Eksternt skrivebord
  • Windows-brannmur: Tillat UPnP-rammeverk-unntak (Universal Plug and Play)
  • Windows-brannmur: Forhindre varslinger
  • Windows-brannmur: Tillat logging
  • Windows-brannmur: Forhindre unicast-svar til multicast- eller broadcast-forespørsler
  • Windows-brannmur: Definer portunntak
  • Windows-brannmur: Tillat unntak for lokale porter

Hvis du vil ha mer informasjon om innstillinger for Gruppepolicy for Windows-brannmur, laster du ned følgende hvitbok:
Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2

Egenskaper

Artikkel-ID: 875357 - Forrige gjennomgang: 22. mai 2006 - Gjennomgang: 1.4
Informasjonen i denne artikkelen gjelder:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
Nøkkelord: 
kbhowtomaster kbtshoot kbgraphxlink kbscreenshot KB875357

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com