Rozwiązywanie problemów z ustawieniami Zapory systemu Windows w systemie Windows XP z dodatkiem Service Pack 2

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 875357 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

System Microsoft Windows XP z dodatkiem Service Pack 2 (SP2) obejmuje Zaporę systemu Microsoft Windows, zaktualizowane oprogramowanie zapory, które zastępuje funkcję Zapora połączenia internetowego (ICF, Internet Connection Firewall). Jeśli Zapora systemu Microsoft Windows blokuje port, który jest używany przez usługę lub program, można ją skonfigurować do utworzenia wyjątku. Zapora systemu Windows może blokować program lub usługę, jeśli występują następujące symptomy:
  • Programy nie odpowiadają na żądanie klienta.
  • Programy klienckie nie odbierają danych z serwera.
Alert zabezpieczeń Zapory systemu Windows może powiadomić użytkownika, że Zapora systemu Windows blokuje określony program. W takim przypadku użytkownik może odblokować program, zaznaczając opcję Odblokuj ten program w oknie dialogowym Alert zabezpieczeń. Aby łatwiej można było określić, które programy i porty są blokowane, Zaporę systemu Windows można skonfigurować do rejestrowania porzuconych pakietów. Przy użyciu programu pomocniczego Netsh Zapory systemu Windows można skonfigurować Zaporę systemu Windows i rejestrowanie Zapory systemu Windows z wiersza polecenia. Problem nie zawsze musi się wiązać ze zgodnością programów. Również ustawienia zasad grupy mogą uniemożliwiać uruchamianie pewnych programów. System Windows XP z dodatkiem Service Pack 2 (SP2) obejmuje kilka narzędzi, których można używać do rozwiązywania problemów z Zaporą systemu Windows.

WPROWADZENIE

Najlepszym sposobem rozwiązywania problemów z blokowaniem programów przez zaporę jest zmodyfikowanie programów, tak aby działały z zaporami filtrującymi, które akumulują stan. Jeśli zmodyfikowanie programu jest niemożliwe, można skonfigurować Zaporę systemu Windows, dodając wyjątki dla określonych portów lub programów. W tym artykule opisano symptomy błędów, które wiążą się z domyślną konfiguracją zapory systemu Windows XP z dodatkiem Service Pack 2, sposób skonfigurowania wyjątków dla portów i programów oraz sposób rozwiązywania problemów z ustawieniami.

Więcej informacji

Rozpoznawanie symptomów błędów

Błędy związane z domyślną konfiguracją zapory objawiają się na dwa sposoby:
  • Programy klienckie mogą nie odbierać danych z serwera. Na przykład następujące programy klienckie mogą nie odbierać danych:
    • Klient FTP
    • Oprogramowanie do strumieniowego przesyłania multimediów
    • Powiadomienia o nowej poczcie w niektórych programach e-mail
  • Programy serwera uruchomione na komputerze z systemem Windows XP mogą nie odpowiadać na żądania klientów. Na przykład następujące programy serwera mogą nie odpowiadać:
    • Serwer sieci Web, taki jak Internetowe usługi informacyjne (IIS)
    • Pulpit zdalny
    • Udostępnianie plików
    Uwagi
    • Błędy w przypadku programów sieciowych nie ograniczają się do problemów z zaporą. Ich przyczyną mogą być zmiany zabezpieczeń RPC lub DCOM. Dlatego należy sprawdzić, czy błędowi towarzyszy alert zabezpieczeń Zapory systemu Windows, który wskazuje, że jeden z programów jest blokowany.
    • Błędom usług nie towarzyszy alert zabezpieczeń Zapory systemu Windows, ponieważ usługi zazwyczaj nie są skojarzone z sesją logowania użytkownika. Jeśli błąd jest związany z usługą, należy skonfigurować zaporę zgodnie z opisem w sekcji „Konfigurowanie Zapory systemu Windows przy użyciu Centrum zabezpieczeń systemu Windows”.
Jeśli blokowany jest program, może pojawić się następujący alert zabezpieczeń Zapory systemu Windows:

Aby pomóc w ochronie tego komputera, Zapora systemu Windows zablokowała temu programowi możliwość odbierania niechcianych informacji z Internetu lub sieci.

Nazwa: Nazwa_programu
Wydawca: Nazwa_wydawcy
Odblokuj ten program
Nadal blokuj ten program
Nadal blokuj ten program, ale zapytaj mnie ponownie później

Dowiedz się więcej o Zaporze systemu Windows.



Konfigurowanie Zapory systemu Windows przy użyciu alertu zabezpieczeń Zapory systemu Windows

Alert zabezpieczeń Zapory systemu Windows zawiera następujące trzy opcje:
  • Odblokuj ten program.
  • Nadal blokuj ten program.
  • Nadal blokuj ten program, ale zapytaj mnie ponownie później.

Aby odblokować program, kliknij opcję Odblokuj ten program w oknie dialogowym Alert zabezpieczeń, a następnie kliknij przycisk OK.

Konfigurowanie Zapory systemu Windows przy użyciu Centrum zabezpieczeń systemu Windows

Dodawanie wyjątku dla programu

Dodanie programu do listy wyjątków powoduje, że zapora otwiera zakresy portów, które mogą się zmieniać przy każdym uruchomieniu programu. Aby dodać program do listy wyjątków, wykonaj następujące kroki:
  1. Użyj konta administratora do zalogowania się.

    Aby uzyskać dodatkowe informacje dotyczące sposobu określenia, czy konto użyte do zalogowania się jest kontem administratora, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    871211 How to check if you are logged in as an administrator and if a group policy is in place for your computer
  2. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie Wscui.cpl, a następnie kliknij przycisk OK.
  3. W oknie Centrum zabezpieczeń systemu Windows kliknij przycisk Zapora systemu Windows.
  4. Na karcie Wyjątki kliknij przycisk Dodaj program.
  5. Na liście programów kliknij nazwę programu, który chcesz dodać, a następnie kliknij przycisk OK. Jeśli nazwa żądanego programu nie znajduje się na liście, kliknij przycisk Przeglądaj, aby go zlokalizować, kliknij go, a następnie kliknij przycisk OK.


    UWAGA: Jeśli nie wiesz, gdzie znajduje się ten program, skontaktuj się z jego dostawcą i zapytaj o lokalizację programu.

    Aby uzyskać informacje dotyczące sposobu skontaktowania się z dostawcą programu, kliknij numer odpowiedniego artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    65416 Hardware and software vendor contact information, A-K

    60781 Hardware and software vendor contact information, L-P

    60782 Hardware and software vendor contact information, Q-Z
  6. Kliknij przycisk OK, aby zamknąć Zaporę systemu Windows.
  7. Przetestuj program, aby sprawdzić, czy ustawienia zapory są poprawne.


Dodawanie wyjątku dla portu

Jeśli dodanie programu do listy wyjątków nie rozwiąże problemu, można ręcznie dodać porty. Aby to zrobić, trzeba najpierw sprawdzić, które porty są używane przez program. Najlepiej skontaktować się w tej sprawie z dostawcą. Jeśli nie można skontaktować się z dostawcą lub jeśli lista portów jest niedostępna, do określenia portów będących w użyciu można użyć narzędzia Netstat.exe.

Określanie portów
  1. Uruchom program i spróbuj użyć jego funkcji sieciowych. Na przykład w przypadku programu multimedialnego spróbuj uruchomić strumień audio. W przypadku serwera sieci Web spróbuj uruchomić usługę.
  2. W wierszu polecenia wpisz polecenie Netstat –ano > netstat.txt, a następnie naciśnij klawisz ENTER. To polecenie tworzy plik Netstat.txt. Ten plik zawiera listę wszystkich portów nasłuchujących.
  3. W wierszu polecenia wpisz polecenie Tasklist > tasklist.txt, a następnie naciśnij klawisz ENTER. Jeśli dany program jest uruchamiany jako usługa, wpisz zamiast polecenia Tasklist > tasklist.txt polecenie Tasklist /svc > tasklist.txt, aby uzyskać listy usług ładowanych w każdym procesie.
  4. Otwórz plik Tasklist.txt, a następnie zlokalizuj program, z którym masz problemy. Zanotuj identyfikator danego procesu, a następnie otwórz plik Netstat.txt. Zanotuj wszelkie wpisy, które są związane z tym identyfikatorem procesu, oraz nazwę używanego protokołu.
Jeśli numery portów dla procesu są mniejsze niż 1024, to prawdopodobnie się nie zmieniają. Jeśli używane numery portów są większe niż 1024, program może używać zakresu portów. Dlatego otwarcie pojedynczych portów może nie rozwiązać problemu.

Dodawanie wyjątku dla portu
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie Wscui.cpl, a następnie kliknij przycisk OK, aby otworzyć Zaporę systemu Windows.
  2. Kliknij kartę Wyjątki, a następnie kliknij przycisk Dodaj port, aby wyświetlić okno dialogowe Dodawanie portu.
  3. Wprowadź numer portu używany przez program.
  4. Wybierz protokół TCP lub UDP w zależności od tego, którego z nich używa program.
  5. W polu Nazwa wpisz opisową nazwę portu.
  6. Kliknij przycisk Zmień zakres, aby wyświetlić lub ustawić zakres wyjątku dla portu, a następnie kliknij przycisk OK.
  7. Kliknij przycisk OK, aby zamknąć okno dialogowe Dodawanie portu.
  8. Aby sprawdzić, czy ustawienia portu są poprawne dla danego programu, przetestuj ten program.


Korzystanie z rejestrowania

Włączenie rejestrowania pomaga określić źródło ruchu przychodzącego i dostarcza szczegółowych informacji o tym, który ruch jest blokowany. Domyślny plik dziennika to %Windir%\pfirewall.log. Aby włączyć rejestrowanie, wykonaj następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie Firewall.cpl, a następnie kliknij przycisk OK.
  2. Kliknij kartę Zaawansowane.
  3. W obszarze Rejestrowanie zabezpieczeń kliknij przycisk Ustawienia.
  4. W oknie dialogowym Ustawienia dziennika kliknij pole wyboru Rejestruj porzucone pakiety, aby je zaznaczyć, a następnie kliknij przycisk OK.
  5. Kliknij przycisk OK, aby zamknąć Zaporę systemu Windows.

UWAGA: Sukcesy wychodzące nie są rejestrowane. Ruch wychodzący, który nie jest blokowany, nie jest rejestrowany.


Interpretowanie pliku dziennika

W przypadku każdego rejestrowanego pakietu zbierane są następujące informacje:

Zwiń tę tabelęRozwiń tę tabelę
PolaOpisPrzykład
DateWyświetla rok, miesiąc i dzień wystąpienia rejestrowanej transakcji. Daty są rejestrowane w formacie RRRR-MM-DD, gdzie RRRR to rok, MM to miesiąc, a DD to dzień.2001-01-27
TimeWyświetla godzinę, minutę i sekundę wystąpienia rejestrowanej transakcji. Godziny są rejestrowane w formacie GG:MM:SS, gdzie GG to godzina w formacie 24-godzinnym, MM to liczba minut, a SS to liczba sekund.21:36:59
ActionWskazuje operację, która była obserwowana przez zaporę. Opcje dostępne dla zapory to OPEN, CLOSE, DROP i INFO-EVENTS-LOST. Akcja INFO-EVENTS-LOST wskazuje liczbę zdarzeń, które wystąpiły, ale nie zostały zarejestrowane w dzienniku.OPEN
ProtocolWyświetla nazwę protokołu użytego do komunikacji. Wpis protokołu może być również liczbowym oznaczeniem pakietów, które nie używają protokołu TCP, UDP ani ICMP.TCP
src-ipWyświetla źródłowy adres IP, czyli adres IP komputera, który próbuje ustanowić komunikację.192.168.0.1
dst-ipWyświetla docelowy adres IP.192.168.0.1
src-portWyświetla źródłowy numer portu komputera wysyłającego. Wpis src-port jest rejestrowany w formie liczby całkowitej z zakresu od 1 do 65 535. Tylko protokoły TCP i UDP wyświetlają prawidłowy wpis src-port. Wszystkie inne protokoły wyświetlają następujący wpis src-port: -.4039
dst-portWyświetla numer portu komputera docelowego. Wpis dst-port jest rejestrowany w formie liczby całkowitej z zakresu od 1 do 65 535. Tylko protokoły TCP i UDP wyświetlają prawidłowy wpis dst-port. Wszystkie inne protokoły wyświetlają następujący wpis dst-port: -.53
sizeWyświetla rozmiar pakietu w bajtach.60
tcpflagsWyświetla flagi sterujące TCP, które znajdują się w nagłówku TCP pakietu IP:
  • Ack — Pole potwierdzenia jest istotne
  • Fin — Koniec danych od nadawcy
  • Psh — Funkcja Push
  • Rst — Resetowanie połączenia
  • Syn — Synchronizowanie numerów sekwencji
  • Urg — Pole Urgent Pointer jest istotne
Flagi są zapisywane wielkimi literami.
AFP
tcpsynWyświetla numer sekwencyjny TCP w pakiecie.1315819770
tcpackWyświetla numer potwierdzenia TCP w pakiecie.0
tcpwinWyświetla rozmiar okna TCP (w bajtach) w pakiecie.64240
icmptypeWyświetla numer, który reprezentuje pole Type komunikatu ICMP.8
icmpcodeWyświetla numer, który reprezentuje pole Code komunikatu ICMP.0
infoWyświetla wpis informacyjny, który zależy od typu akcji. Na przykład akcja INFO-EVENTS-LOST tworzy wpis określający liczbę zdarzeń, które wystąpiły, ale nie zostały zarejestrowane w dzienniku od czasu ostatniego wystąpienia tego typu zdarzenia.23

UWAGA: W przypadku pól, odnośnie do których nie ma żadnych informacji, używany jest wpis w postaci łącznika (-).


Korzystanie z obsługi wiersza polecenia

Program pomocniczy Netsh Zapory systemu Windows został dodany do systemu Windows XP w dodatku Microsoft Advanced Networking Pack. Ten program pomocniczy wiersza polecenia był wcześniej stosowany z Zaporą systemu Windows w wersji IPv6. W systemie Windows XP z dodatkiem Service Pack 2 obejmuje on obsługę konfigurowania protokołu IPv4.

Przy użyciu programu pomocniczego Netsh można obecnie:
  • Konfigurować domyślny stan Zapory systemu Windows. (Dostępne opcje to Wyłącz, Włącz i Włącz bez wyjątków).
  • Konfigurować porty, które muszą być otwarte.
  • Konfigurować porty, tak aby umożliwiały globalny dostęp do lokalnej podsieci lub go ograniczały.
  • Otwierać porty na wszystkich interfejsach lub tylko na określonym interfejsie.
  • Konfigurować opcje rejestrowania.
  • Konfigurować opcje obsługi protokołu ICMP (Internet Control Message Protocol).
  • Dodawać lub usuwać programy z listy wyjątków.
Te opcje konfiguracji dotyczą Zapory systemu Windows zarówno w wersji IPv4, jak i IPv6, chyba że określona funkcja nie istnieje w danej wersji Zapory systemu Windows.


Zbieranie danych diagnostycznych

Informacje o konfiguracji i stanie Zapory systemu Windows można pobrać w wierszu polecenia za pomocą narzędzia Netsh.exe. To narzędzie dodaje obsługę zapory IPv4 do następującego kontekstu Netsh:
netsh firewall
Aby użyć tego kontekstu, wpisz polecenie netsh firewall w wierszu polecenia, a następnie użyj dodatkowych poleceń Netsh według potrzeby. Następujące polecenia są przydatne do zbierania informacji o stanie i konfiguracji zapory:
  • Netsh firewall show state
  • Netsh firewall show config

Porównując dane wyjściowe tych poleceń z danymi wyjściowymi polecenia netstat –ano, można określić programy, które mogą mieć otwarte porty nasłuchujące i które nie mają odpowiednich wyjątków w konfiguracji zapory. Obsługiwane polecenia dotyczące zbierania danych i konfiguracji wymieniono w następujących tabelach.

UWAGA: Ustawienia może modyfikować tylko administrator.

Zbieranie danych
Zwiń tę tabelęRozwiń tę tabelę
PolecenieOpis
show allowedprogramWyświetla dozwolone programy.
show configWyświetla szczegółowe informacje o konfiguracji lokalnej.
show currentprofileWyświetla bieżący profil.
show icmpsettingWyświetla ustawienia ICMP.
show loggingWyświetla ustawienia rejestrowania.
show opmodeWyświetla tryb działania.
show portopeningWyświetla porty podlegające wyjątkowi.
show serviceWyświetla usługi.
show stateWyświetla bieżące informacje o stanie.
show notificationsWyświetla bieżące ustawienia powiadomień.

Konfiguracja
Zwiń tę tabelęRozwiń tę tabelę
PolecenieOpis
add allowedprogramSłuży do dodawania wyjątku dla ruchu sieciowego przez określenie nazwy pliku programu.
set allowedprogramSłuży do modyfikowania ustawień istniejącego programu dozwolonego.
delete allowedprogramSłuży do usuwania istniejącego programu dozwolonego.
set icmpsettingSłuży do określania dozwolonego ruchu ICMP.
set loggingSłuży do określania opcji rejestrowania dla Zapory systemu Windows — albo globalnie, albo dla określonego połączenia (interfejsu).
set opmodeSłuży do określania trybu działania Zapory systemu Windows — albo globalnie, albo dla określonego połączenia (interfejsu).
add portopeningSłuży do dodawania wyjątku dla ruchu sieciowego przez określenie portu TCP lub UDP.
set portopeningSłuży do modyfikowania ustawień istniejącego otwartego portu TCP lub UDP.
delete portopeningSłuży do usuwania istniejącego otwartego portu TCP lub UDP.
set serviceSłuży do akceptowania lub odrzucania ruchu RPC i DCOM, udostępniania plików i drukarek oraz ruchu UPnP.
set notificationsSłuży do określania, czy użytkownik ma być powiadamiany, gdy programy próbują otworzyć porty.
resetPrzywraca domyślną konfigurację zapory. Działa tak samo, jak przycisk Przywróć domyślne w interfejsie Zapory systemu Windows.



Rozwiązywanie problemów z zaporą

Oprócz problemów ze zgodnością programów w przypadku Zapory systemu Windows mogą występować inne problemy. Aby zdiagnozować te problemy, wykonaj następujące kroki:
  1. Aby sprawdzić, czy protokół TCP/IP działa poprawnie, użyj polecenia ping w celu przetestowania adresu sprzężenia zwrotnego (127.0.0.1) i przypisanego adresu IP.
  2. Sprawdź konfigurację w interfejsie użytkownika, aby ustalić, czy dla zapory nieumyślnie nie ustawiono opcji Wyłącz lub Włącz bez wyjątków.
  3. Użyj poleceń netsh, aby uzyskać informacje o stanie i konfiguracji i sprawdzić, czy jakiekolwiek niezamierzone ustawienia nie zakłócają prawidłowego działania.
  4. Określ stan usługi Zapora systemu Windows/Udostępnianie połączenia internetowego, wpisując następujące polecenie w wierszu polecenia:
    sc query sharedaccess
    (Krótka nazwa tej usługi to SharedAccess). Jeśli ta usługa nie uruchamia się, rozwiąż problemy z jej uruchamianiem na podstawie kodu zakończenia Win32.
  5. Określ stan sterownika zapory Ipnat.sys, wpisując następujące polecenie w wierszu polecenia:
    sc query ipnat
    To polecenie zwraca również kod zakończenia Win32 z ostatniej próby uruchomienia. Jeśli sterownik nie uruchamia się, użyj takiej samej procedury rozwiązywania problemów, jak w przypadku każdego innego sterownika.
  6. Jeśli sterownik i usługa nie uruchamiają się i żadne związane z tym błędy nie są rejestrowane w dziennikach zdarzeń, użyj przycisku Przywróć domyślne na karcie Zaawansowane okna dialogowego Zapora systemu Windows, aby wyeliminować potencjalne problemy z konfiguracją.
  7. Jeśli problem nadal nie zostanie rozwiązany, poszukaj ustawień zasad, które mogą prowadzić do nieoczekiwanego zachowania. Aby to zrobić, wpisz polecenie GPResult /v > gpresult.txt w wierszu polecenia, a następnie poszukaj w wynikowym pliku tekstowym skonfigurowanych zasad, które wiążą się z zaporą.

Konfigurowanie zasad grupy Zapory systemu Windows

Skontaktuj się z administratorem sieci, aby sprawdzić, czy uruchamiania programów w środowisku firmy nie uniemożliwia ustawienie zasad grupy.

Ustawienia zasad grupy Zapory systemu Windows znajdują się w następujących lokalizacjach w przystawce Edytor obiektu zasad grupy:
  • Konfiguracja komputera/Szablony administracyjne/Sieć/Połączenia sieciowe/Zapora systemu Windows
  • Konfiguracja komputera/Szablony administracyjne/Sieć/Połączenia sieciowe/Zapora systemu Windows/Profil domeny
  • Konfiguracja komputera/Szablony administracyjne/Sieć/Połączenia sieciowe/Zapora systemu Windows/Profil standardowy

W tych lokalizacjach można skonfigurować następujące ustawienia zasad grupy:
  • Zapora systemu Windows: Zezwalaj na uwierzytelnione omijanie zabezpieczeń protokołu IP (IPSec)
  • Zapora systemu Windows: Chroń wszystkie połączenia sieciowe
  • Zapora systemu Windows: Nie zezwalaj na wyjątki
  • Zapora systemu Windows: Definiuj wyjątki dla programów
  • Zapora systemu Windows: Zezwalaj na wyjątki dla programów lokalnych
  • Zapora systemu Windows: Zezwalaj na wyjątek dla administracji zdalnej
  • Zapora systemu Windows: Zezwalaj na wyjątek dla udostępniania plików i drukarek
  • Zapora systemu Windows: Zezwalaj na wyjątki ICMP
  • Zapora systemu Windows: Zezwalaj na wyjątek dla Pulpitu zdalnego
  • Zapora systemu Windows: Zezwalaj na wyjątek dla architektury UPnP (Universal Plug and Plan)
  • Zapora systemu Windows: Nie zezwalaj na powiadomienia
  • Zapora systemu Windows: Zezwalaj na rejestrowanie
  • Zapora systemu Windows: Nie zezwalaj na odpowiedź emisji pojedynczej na żądania multiemisji lub emisji
  • Zapora systemu Windows: Definiuj wyjątki dla portów
  • Zapora systemu Windows: Zezwalaj na wyjątki dla portów lokalnych

Aby uzyskać więcej informacji dotyczących ustawień zasad grupy Zapory systemu Windows, pobierz następujący dokument techniczny:
Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2

Właściwości

Numer ID artykułu: 875357 - Ostatnia weryfikacja: 22 maja 2006 - Weryfikacja: 1.5
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
Słowa kluczowe: 
kbhowtomaster kbtshoot kbgraphxlink kbscreenshot KB875357

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com