Artikel-id: 875357 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

På den här sidan

Sammanfattning

I Microsoft Windows XP Service Pack 2 (SP2) ingår Windows-brandväggen, det uppdaterade brandväggsprogrammet som ersätter Brandvägg för Internet-anslutning. Om en port som används av en tjänst eller ett program blockeras i Windows-brandväggen kan du skapa ett undantag. Ett program eller en tjänst kan blockeras av Windows-brandväggen om följande förutsättningar är uppfyllda:
  • Program svarar inte på klientförfrågningar.
  • Klientprogram kan inte ta emot data från servern.
En säkerhetsvarning i Windows-brandväggen anger att ett visst program blockeras. I dessa fall kan du häva blockeringen genom att välja Unblock this program i dialogrutan Säkerhetsvarning. För att du ska kunna fastställa vilka program och portar som blockeras kan du konfigurera Windows-brandväggen för loggning av ignorerade paket. Med hjälp av Netsh Helper i Windows-brandväggen kan du konfigurera Windows-brandväggen och loggning av Windows-brandväggen vid kommandotolken. Problem orsakas inte alltid av bristande programkompatibilitet, utan körning av program kan också förhindras av grupprincipinställningar. I Windows XP Service Pack 2 (SP2) ingår flera verktyg för felsökning av problem med Windows-brandväggen.

INLEDNING

Det bästa sättet att lösa blockeringsproblem i brandväggar är att ändra programmen så att de fungerar med tillståndsfiltrering. Om det inte går att ändra ett program kan du konfigurera Windows-brandväggen så att den innehåller undantag för vissa portar och program. I den här artikeln beskrivs symptom på fel i samband med standardkonfiguration av brandväggen i Windows XP Service Pack 2, konfigurering av undantag för portar och program samt felsökning av brandväggsinställningar.

Mer Information

Känna igen symptom på fel

Fel som beror på standardkonfigurationen av brandväggen yttrar sig på två sätt:
  • Klientprogram kan inte ta emot data från servern. Detta kan bland annat gälla följande klientprogram:
    • FTP-klienter
    • Program för direktuppspelning av multimedia
    • Meddelanden om ny e-post i vissa e-postprogram
  • Serverprogram som körs på en dator med Windows XP svarar inte på klientförfrågningar. Detta kan bland annat gälla följande serverprogram:
    • Webbservrar som SIS (Internet Information Services)
    • Fjärrskrivbord
    • Fildelning
    Obs!
    • Alla fel i nätverksprogram orsakas inte av brandväggar, utan kan också bero på ändringar av RPC- eller DCOM-säkerhet. Därför måste du ta reda på om felet följs av en säkerhetsvarning för Windows-brandväggen som anger att ett program blockeras.
    • Serverfel följs inte av en säkerhetsvarning för Windows-brandväggen, eftersom tjänster normalt inte associeras med en inloggningssession för användare. Om felet är relaterat till en tjänst konfigurerar du brandväggen enligt beskrivningen i "Konfigurera Windows-brandväggen med hjälp av Säkerhetscenter".
Om ett program blockeras kan följande säkerhetsvarning visas:

För att hjälpa till att skydda datorn hindrar Windows-brandväggen att det här programmet tar emot oönskad information från Internet eller nätverket.

Namn: Programnamn
Utgivare: Utgivarnamn
Unblock this program
Keep blocking this program
Keep blocking this program, but ask me again later

Läs mer om Windows-brandväggen.



Konfigurera Windows-brandväggen med hjälp av Säkerhetsvarning

Säkerhetsvarning för Windows-brandväggen ger följande tre möjligheter:
  • Unblock this program
  • Keep blocking this program
  • Keep blocking this program, but ask me again later

Om du vill häva blockeringen för programmet klickar du på Unblock this program i dialogrutan Säkerhetsvarning och OK.

Konfigurera Windows-brandväggen med hjälp av Säkerhetscenter

Lägga till ett programundantag

När du lägger till ett program i listan över undantag gör du det möjligt att öppna portintervall i brandväggen som kan ändras varje gång programmet körs. Så här lägger du till ett programundantag:
  1. Logga in med ett administratörskonto.

    Om du vill veta mer om hur du tar reda på om kontot du är inloggad på är ett administratörskonto, klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    871211 Kontrollera om du är inloggad som administratör och om en grupprincip gäller för datorn
  2. Klicka på Start, Kör, skriv Wscui.cpl och klicka på OK.
  3. Klicka på Windows-brandväggen i fönstret Säkerhetscenter.
  4. Klicka på Lägg till program på fliken Undantag.
  5. Klicka på önskat program i listan över program och sedan på OK. Om du inte hittar programmet letar du reda på det genom att klicka på Bläddra och klickar sedan på OK.


    Obs! Om du inte vet var programmet finns kontaktar du programleverantören, som kan hjälpa dig.

    Om du vill veta hur du kontaktar programleverantören klickar du på lämpligt artikelnummer i följande lista och läser artikeln i Microsoft Knowledge Base:
    65416 Kontaktlista för andra maskin- och programvaruleverantörer, A-K

    60781 Kontaktlista för andra maskin- och programvaruleverantörer, L-P

    60782 Kontaktlista för andra maskin- och programvaruleverantörer, Q-Z
  6. Stäng Windows-brandväggen genom att klicka på OK.
  7. Kontrollera att brandväggsinställningarna är riktiga genom att testa programmet.


Lägga till ett portundantag

Om du inte löser problemet genom att lägga till programmet i listan över undantag kan du lägga till portar manuellt. För att göra detta måste du första ta reda på vilka portar som används i programmet. Ett säkert sätt att göra detta är att kontakta programleverantören. Om det inte går, eller det inte finns någon lista över portar, kan du använda Netstat.exe för att hitta portarna.

Hitta portarna
  1. Starta programmet och försök använda nätverksfunktionerna. Om programmet exempelvis är ett multimedieprogram försöker du starta en ljudström. Om det är en webbserver försöker du starta tjänsten.
  2. Skriv Netstat ?ano > netstat.txt vid en kommandotolk och tryck på RETUR. Med det här kommandot skapas filen Netstat.txt, som innehåller alla lyssnande portar.
  3. Skriv Tasklist > tasklist.txt vid kommandotolken och tryck på RETUR. Om programmet körs som en tjänst skriver du Tasklist /svc > tasklist.txt i stället för Tasklist > tasklist.txt, så att tjänsterna som laddas i de olika processerna anges.
  4. Öppna filen Tasklist.txt och leta upp programmet du felsöker. Anteckna processens processidentifierare och öppna sedan filen Netstat.txt. Anteckna alla poster som är associerade med processidentifieraren och protokollet som används.
Om portnumren för processen är lägre än 1024 ändras de sannolikt inte. Om numren som används är högre än 1024 kan det hända att ett portintervall används i programmet, vilket innebär att öppning av enskilda portar kanske inte löser problemet.

Lägga till ett portundantag
  1. Klicka på Start, Kör, skriv Wscui.cpl och klicka på OK.
  2. Klicka på fliken Undantag och sedan på Lägg till port, så att dialogrutan Lägg till en port visas.
  3. Lägg till portnumret som används i programmet.
  4. Välj TCP- eller UDP-protokollet, beroende på vilket protokoll som används i programmet.
  5. Skriv ett beskrivande namn i fältet Namn.
  6. Om du vill se eller ange omfånget för portundantaget klickar du på Ändra omfång och sedan på OK.
  7. Stäng dialogrutan Lägg till en port genom att klicka på OK.
  8. Kontrollera att portinställningarna stämmer för programmet genom att prova det.


Använda loggning

Du kan aktivera loggning för att hålla reda på var inkommande trafik kommer från och få veta mer om vilket trafik som blockeras. Standardloggfilen är %Windir%\pfirewall.log. Så här aktiverar du loggning:
  1. Klicka på Start, Kör, skriv Firewall.cpl och klicka på OK.
  2. Klicka på fliken Avancerat.
  3. Klicka på Inställningar i Säkerhetsloggning.
  4. Markera kryssrutan Logga ignorerade paket i Logginställningar och klicka på OK.
  5. Stäng Windows-brandväggen genom att klicka på OK.

Obs! Utgående lyckade anslutningsförsök loggas inte. Utgående trafik som inte blockeras loggas inte.


Tolka loggfilen

Följande information samlas in för varje loggat paket:

Dölj tabellenVisa tabellen
FältBeskrivningExempel
DatumVisar år, månad och dag när den registrerade transaktionen ägde rum. Datum registreras i formatet ÅÅÅÅ-MM-DD, där ÅÅÅÅ är året, MM är månaden och DD är dagen.2001-01-27
TidVisar timme, minut och sekunder när den registrerade transaktionen ägde rum. Tiden registreras i formatet HH:MM:SS, där HH är timmarna i 24-timmarsformat, MM är antalet minuter och SS är antalet sekunder.21:36:59
ÅtgärdAnger vilken åtgärd som har vidtagits i brandväggen. Alternativen är OPEN, CLOSE, DROP och INFO-EVENTS-LOST. En INFO-EVENTS-LOST-åtgärd anger antalet händelser som inte har registrerats i loggen.OPEN
ProtokollAnger vilket protokoll som har använts för kommunikationen. En protokollpost kan också vara ett nummer på paket där TCP, UDP eller ICMP inte används.TCP
src-ipAnger käll-IP-adressen, eller IP-adressen till datorn som kommunikationsförsöket görs från.192.168.0.1
dst-ipVisar mål-IP-adressen för ett kommunikationsförsök.192.168.0.1
src-portVisar källportnumret på datorn som trafiken kommer från. En SRC-portpost anges i form av ett heltal mellan 1 och 65 535. Giltiga SRC-portposter visas endast i TCP och UDP. I alla övriga protokoll visas SRC-portposten som -.4039
dst-portVisar källportnumret på måldatorn. En DST-portpost anges i form av ett heltal mellan 1 och 65 535. Giltiga DST-portposter visas endast i TCP och UDP. I alla övriga protokoll visas DST-portposten som -.53
storlekVisar paketstorleken i byte.60
tcpflagsVisar TCP-kontrollflaggorna i TCP-huvudet i ett IP-paket:
  • Ack Signifikant bekräftelsefält
  • Fin Inga fler data från avsändaren
  • Psh Push-funktion
  • Rst Återställ anslutningen
  • Syn Synkronisera sekvensnummer
  • Urg Urgent Pointer-fält signifikant
Flaggor skrivs med versaler.
AFP
tcpsynVisar TCP-sekvensnumret i paketet.1315819770
tcpackVisar TCP-bekräftelsenumret i paketet.0
tcpwinVisar TCP-fönsterstorleken i paketet i byte.64240
icmptypeVisar ett nummer som anger Typ-fältet för ICMP-meddelandet.8
icmpcodeVisar ett nummer som anger Kod-fältet för ICMP-meddelandet.0
infoVisar en informationspost som beror på vilken typ av åtgärd som har förekommit. En INFO-EVENTS-LOST-åtgärd skapar till exempel en post för antalet händelser som har inträffat men inte registrerats i loggen från tiden för den sista förekomsten av den här händelsetypen.23

Obs! Bindestreck (-) används för fält där det inte finns någon information för en post.


Använda kommandoradsstöd

Windows Firewall Netsh Helper lades till i Windows XP i Microsoft Advanced Networking-paketet. Den här kommandoradshjälpen gällde tidigare IPv6-Windows-brandväggen. Genom Windows XP Service Pack 2 innehåller hjälpen nu stöd för konfigurering av IPv4.

Med Netsh-hjälpen kan du nu:
  • Konfigurera Windows-brandväggens standardtillstånd. (Alternativen är Av, och På utan undantag.)
  • Konfigurera portarna som måste vara öppna.
  • Konfigurera portarna för att möjliggöra global åtkomst eller begränsa åtkomst till det lokala undernätet.
  • Ange att portar ska vara öppna i alla gränssnitt eller bara i ett visst gränssnitt.
  • Konfigurera loggningsalternativen.
  • Konfigurera alternativ för hantering av ICMP (Internet Control Message Protocol).
  • Lägga till eller ta bort program från undantagslistan.
De här konfigurationsalternativen gäller både IPv4-Windows-brandväggen och IPv6-Windows-brandväggen, utom när en viss funktion saknas i Windows-brandväggsversionen.


Samla in diagnostikdata

Konfigurations- och statusinformation om Windows-brandväggen kan samlas in på kommandoraden med hjälp av Netsh.exe. Genom verktyget läggs IPv4-brandväggsstöd till i följande Netsh-kontext:
netsh firewall
Om du vill använda den här kontexten skriver du netsh firewall vid en kommandotolk och använder sedan ytterligare Netsh-kommandon vid behov. Följande kommandon är användbara för att samla in status- och konfigurationsinformation om brandväggen:
  • Netsh firewall show state
  • Netsh firewall show config

Jämför utdata från de här kommandona med utdata från kommandot netstat ?ano om du vill ta reda på vilka program som kan ha öppna lyssnande portar och inte har motsvarande undantag i brandväggskonfigurationen. Datainsamlings- och konfigurationskommandon som stöds anges i följande tabeller.

Obs! Inställningar kan endast ändras av en administratör.

Datainsamling
Dölj tabellenVisa tabellen
KommandoBeskrivning
show allowedprogramVisar tillåtna program.
show configVisar detaljerad lokal konfigurationsinformation.
show currentprofileVisar den aktuella profilen.
show icmpsettingVisar ICMP-inställningarna.
show loggingVisar loggningsinställningarna.
show opmodeVisar arbetsläget.
show portopeningVisar undantagna portar.
show serviceVisar tjänsterna.
show stateVisar information om det aktuella tillståndet.
show notificationsVisar de aktuella inställningarna för meddelanden.

Konfiguration
Dölj tabellenVisa tabellen
KommandoBeskrivning
add allowedprogramAnvänds för att lägga till undantagen trafik genom angivande av programmets filnamn.
set allowedprogramAnvänds för att ändra inställningarna för ett befintligt tillåtet program.
delete allowedprogramAnvänds för att ta bort ett befintligt tillåtet program.
set icmpsettingAnvänds för att ange tillåten ICMP-trafik.
set loggingAnvänds för att ange loggningsalternativ för Windows-brandväggen globalt eller för en viss anslutning (gränssnitt).
set opmodeAnvänds för att ange arbetsläget för Windows-brandväggen globalt eller för en viss anslutning (gränssnitt).
add portopeningAnvänds för att lägga till undantagen trafik genom angivande av en TCP- eller UDP-port.
set portopeningAnvänds för att ändra inställningarna för en befintlig öppen TCP- eller UDP-port.
delete portopeningAnvänds för att ta bort en befintlig öppen TCP- eller UDP-port.
set serviceAnvänds för att aktivera eller ignorera RPC- och DCOM-trafik, fil- och skrivardelning samt UPnP-trafik.
set notificationsAnvänds för att ange om meddelanden till användaren vid försök att öppna portar har aktiverats.
resetÅterställer brandväggskonfigurationen till standardvärdena. Detta har samma verkan som knappen Återställ standardvärden i Windows-brandväggens gränssnitt.



Felsökning av brandväggen

Förutom problem med programkompatibilitet kan det förekomma andra problem i Windows-brandväggen. Så här tar du reda på orsaken till problemen:
  1. Kontrollera att TCP/IP fungerar på rätt sätt genom att använda kommandot ping för att testa loopback-adressen (127.0.0.1) och den tilldelade IP-adressen.
  2. Kontrollera konfigurationen i användargränssnittet för att fastställa om brandväggen oavsiktligt har ställts in på Av eller På utan undantag.
  3. Använd netsh-kommandona för status- och konfigurationsinformation för att hitta oavsiktliga inställningar som kan störa förväntade funktioner.
  4. Ta reda på status för tjänsten Windows-brandväggen/Internet-anslutningsdelning genom att skriva följande vid en kommandotolk:
    sc query sharedaccess
    (Tjänstens korta namn är SharedAccess.) Felsök start av tjänstenmed utgångspunkt från Win32-slutkoden om tjänsten inte startar.
  5. Ta reda på status för Ipnat.sys-drivrutinen för brandväggen genom att skriva följande vid en kommandotolk:
    sc query ipnat
    Det här kommandot returnerar också Win32-slutkoden från det senaste startförsöket. Om drivrutinen inte startar använder du samma åtgärder för felsökning som för andra drivrutiner.
  6. Om både drivrutinen och tjänsten körs, och det inte finns några tillhörande fel i händelseloggarna, använder du alternativet Återställ standardvärden på fliken Avancerat i egenskaperna för Windows-brandväggen för att eliminera alla eventuella problemkonfigurationer.
  7. Om problemet kvarstår letar du efter principinställningar som kan ge upphov till den oväntade funktionen. Gör det genom att skriva GPResult /v > gpresult.txt vid kommandotolken och sedan undersöka om det finns några konfigurerade principer med anknytning till brandväggen i textfilen.

Konfigurera en grupprincip för Windows-brandväggen

Kontakta nätverksadministratören och ta reda på om en grupprincip hindrar att program och scenarier körs i en företagsmiljö.

Windows-brandväggens grupprincipinställningar finns i följande sökvägar till snapin-modulen Redigeraren för grupprincipobjekt:
  • Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall
  • Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/ Domain Profile
  • Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/ Standard Profile

Från de här platserna kan du konfigurera följande grupprincipinställningar:
  • Windows-brandväggen: Tillåt att brandväggen förbigås vid IPSec-autentisering
  • Windows-brandväggen: Skydda alla nätverksanslutningar
  • Windows-brandväggen: Tillåt inte undantag
  • Windows-brandväggen: Definiera programundantag
  • Windows-brandväggen: Tillåt lokala programundantag
  • Windows-brandväggen: Tillåt undantag för fjärradministration
  • Windows-brandväggen: Tillåt undantag för fil- och skrivardelning
  • Windows-brandväggen: Tillåt ICMP-undantag
  • Windows-brandväggen: Tillåt undantag för Fjärrskrivbord
  • Windows-brandväggen: Tillåt undantag för UpnP-ramverket
  • Windows-brandväggen: Förhindra meddelanden
  • Windows-brandväggen: Tillåt loggning
  • Windows-brandväggen: Förhindra unicast-svar på multicast- eller broadcast-meddelanden
  • Windows-brandväggen: Definiera portundantag
  • Windows-brandväggen: Tillåt lokala portundantag

Mer information om Windows-brandväggens grupprincipinställningar finns i följande faktablad:
Distribuera Windows-brandväggens inställningar för Microsoft Windows XP med Service Pack 2

Egenskaper

Artikel-id: 875357 - Senaste granskning: den 22 maj 2006 - Revision: 1.4
Informationen i denna artikel gäller:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
Nyckelord: 
kbhowtomaster kbtshoot kbgraphxlink kbscreenshot KB875357

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com