كيفية تكوين جدار حماية للمجالات وعلاقات الثقة

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية

اضغط هنا لرابط المقالة باللغة الانجليزية179442
إذا كنت من عملاء "الشركات الصغيرة"، البحث عن استكشاف الأخطاء وإصلاحها والمصادر التعليمية في إضافية دعم للشركات الصغيرة موقع.
الموجز
توضح هذه المقالة كيفية تكوين جدار حماية للمجالات وعلاقات الثقة.

ملاحظة: ليست كافة المنافذ المسردة في الجداول هنا مطلوبة في كافة وحدات السيناريو. على سبيل المثال، إذا كان جدار الحماية يفصل بين الأعضاء ووحدات تحكم المجال Dc، لا يلزم فتح المنافذ FRS أو DFSR. أيضا، إذا كنت تعرف أنه لا يوجد عملاء استخدام LDAP مع SSL/TLS، لم يكن لديك لفتح منافذ 636 و 3269.
معلومات أخرى
لتأسيس علاقة ثقة مجال أو قناة أمان عبر جدار حماية، يجب فتح المنافذ التالية. يجب أن تدرك أنه قد يكون هناك المضيفين يعمل مع أدوار الملقم والعميل على كلا الوجهين من جدار الحماية. ولذلك، قد تحتاج إلى نسخها نسخاً متطابقاً قواعد المنافذ.

نظام التشغيل Windows NT

في هذه البيئة، جانب واحد من علاقة الثقة ثقة Windows NT 4.0، أو تم إنشاء الثقة باستخدام أسماء NetBIOS.
عميل المنفذ (المنافذ)منفذ الملقمخدمة
137/UDP137/UDPاسم NetBIOS
138/UDP138/UDPNetBIOS Netlogon و استعراض
1024-65535/TCP139/TCPجلسة عمل NetBIOS
1024-65535/TCP42/TCPالنسخ المتماثل WINS

Windows Server 2003 و Windows 2000 Server

مجال وضع مختلط التي تستخدم وحدات تحكم المجال Windows NT أو عملاء القديمة أو الثقة بالعلاقة بين وحدات تحكم المجال المستندة إلى Windows Server 2003 والمجال المستندة إلى Windows 2000 Server قد تتطلب وحدات التحكم بفتح كافة المنافذ ل Windows NT المسردة في الجدول السابق بالإضافة إلى المنافذ التالية.

ملاحظة وحدات التحكم بالمجال اثنين كلاهما في نفس مجموعة تفرعات، أو وحدات التحكم بالمجال اثنين كلاهما في مجموعة تفرعات منفصلة. أيضا، تكون علاقات الثقة في مجموعة التفرعات يثق Windows Server 2003 أو الثقات الإصدار الأحدث.
عميل المنفذ (المنافذ)منفذ الملقمخدمة
1024-65535/TCP135/TCPمعين نقطة نهاية RPC
1024-65535/TCP1024-65535/TCPاستدعاء إجراء عن بعد ل LSA، SAM، Netlogon (*)
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCPرقم 3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP GC SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
1024-65535/TCP1024-65535/TCPRPC FRS (*)
أيضا مطلوبة منافذ NETBIOS كما تم سرده ل Windows NT ل Windows 2000 و Windows Server 2003 عندما يتم تكوين علاقات الثقة للمجالات التي تدعم الاتصال المستندة إلى NETBIOS فقط. الأمثلة هي أنظمة التشغيل المستندة إلى نظام التشغيل Windows NT أو "وحدات تحكم المجال" الطرف الثالث التي تستند إلى برنامج Samba.

(*) للحصول على معلومات حول كيفية تحديد منافذ الملقم RPC المستخدمة من قبل خدمات LSA RPC، راجع مقالات قاعدة معارف Microsoft التالية:

Windows Server 2008 و Windows Server 2008 R2

زادت Windows Server 2008 و Windows Server 2008 R2 نطاق المنفذ الديناميكي العميل من أجل الاتصالات الصادرة. منفذ البدء الافتراضي الجديد 49152، والمنفذ نهاية الافتراضي هو 65535. ولذلك، يجب زيادة نطاق منفذ RPC في جدران الحماية الخاصة بك. تم إجراء هذا التغيير ليتوافق مع توصيات إنترنت تعيين أرقام المرجع (IANA). هذا يختلف عن مجال وضع مختلط يتكون من وحدات تحكم المجال Windows Server 2003 أو وحدات تحكم المجال المستندة إلى Windows 2000 Server أو عملاء القديمة، حيث أن نطاق المنفذ الديناميكي الافتراضي هو 1025 إلى 5000.

لمزيد من المعلومات حول تغيير نطاق المنفذ الديناميكي في Windows Server 2008 و Windows Server 2008 R2، راجع الموارد التالية:
عميل المنفذ (المنافذ)منفذ الملقمخدمة
49152-65535/UDP123/UDPW32Time
49152-65535/TCP135/TCPمعين نقطة نهاية RPC
49152-65535/TCP464/TCP/UDPتغيير كلمة مرور Kerberos
49152-65535/TCP49152-65535/TCPاستدعاء إجراء عن بعد ل LSA، SAM، Netlogon (*)
49152-65535/TCP/UDP389/TCP/UDPLDAP
49152-65535/TCP636/TCPLDAP SSL
49152-65535/TCPرقم 3268/TCPLDAP GC
49152-65535/TCP3269/TCPLDAP GC SSL
53، 49152-65535/TCP/UDP53/TCP/UDPDNS
49152-65535/TCP49152-65535/TCPRPC FRS (*)
49152-65535/TCP/UDP88/TCP/UDPKerberos
49152-65535/TCP/UDP445/TCPSMB
49152-65535/TCP49152-65535/TCPRPC DFSR (*)
أيضا مطلوبة منافذ NETBIOS كما تم سرده ل Windows NT Server 2003 ونظام التشغيل Windows 2000 عندما يتم تكوين علاقات الثقة للمجالات التي تدعم الاتصال المستندة إلى NETBIOS فقط. الأمثلة هي أنظمة التشغيل المستندة إلى نظام التشغيل Windows NT أو "وحدات تحكم المجال" الطرف الثالث التي تستند إلى برنامج Samba.

(*) للحصول على معلومات حول كيفية تحديد منافذ الملقم RPC المستخدمة من قبل خدمات LSA RPC، راجع مقالات قاعدة معارف Microsoft التالية:
ملاحظة: مطلوب ثقة خارجية 123/UDP فقط إذا قمت يدوياً تكوين خدمة الوقت في Windows للمزامنة مع ملقم عبر ثقة خارجية.

خدمة active Directory

في Windows 2000 و Windows XP، بروتوكول رسائل تحكم إنترنت (ICMP) يجب السماح عبر جدار الحماية من العملاء إلى وحدات تحكم المجال كي تعمل عميل "نهج المجموعة Active Directory" بشكل صحيح عبر جدار حماية. يتم استخدام ICMP لتحديد ما إذا كان الارتباط ارتباط بطيء أو ارتباط سريع.

في Windows Server 2008 والإصدارات الأحدث، يوفر "خدمة الوعي موقع الشبكة" تقدير النطاق الترددي استناداً إلى حركة المرور مع مراكز الأخرى على شبكة الاتصال. لا يوجد أي حركة المرور التي تم إنشاؤها للتقدير.

كما يستخدم معيد توجيه Windows ICMP للتحقق من حل IP لملقم بخدمة DNS قبل إجراء اتصال، وعندما يقع ملقم باستخدام DFS. ينطبق هذا على وصول SYSVOL من قبل أعضاء المجال.

إذا كنت تريد تقليل حركة مرور ICMP، يمكنك استخدام ما يلي نموذج قاعدة جدار الحماية:
<any> ICMP -> DC IP addr = allow

عكس طبقة بروتوكول TCP و UDP طبقة بروتوكول ICMP ليس رقم منفذ. هذا بسبب ICMP استضافة مباشرة بطبقة IP.

بشكل افتراضي، تستخدم ملقمات Windows Server 2003 و Windows 2000 Server DNS المنافذ العميل المؤقتة عند يمكنهم الاستعلام عن ملقمات DNS أخرى. ومع ذلك، قد يتم تغيير هذا السلوك قبل إعداد سجل محددة. للحصول على مزيد من المعلومات، راجع مقالة قاعدة معارف Microsoft 260186: لا يعمل مفتاح التسجيل سيندبورت DNS كما هو متوقع

للحصول على مزيد من المعلومات حول خدمة Active Directory وتكوين جدار الحماية، راجع Active directory في الشبكات مجزأة بجدران الحمايةورق أبيض Microsoft.أو، يمكنك تأسيس علاقة ثقة من خلال النفق الإلزامي بروتوكول الاتصال النفقي من "نقطة إلى نقطة" (PPTP). وهذا يحصر عدد المنافذ على جدار الحماية لفتح. من أجل PPTP، يجب تمكين المنافذ التالية.
منافذ العميلمنفذ الملقمبروتوكول
1024-65535/TCP1723/TCPPPTP
بالإضافة إلى ذلك، سيكون لديك لتمكين 47 بروتوكول IP (GRE).

ملاحظة عند إضافة الأذونات لمورد على مجال المانح لثقة للمستخدمين في مجال موثوق، توجد بعض الاختلافات بين نظام التشغيل Windows 2000 و Windows NT 4.0 السلوك. إذا كان الكمبيوتر لا يمكن عرض قائمة بالمستخدمين المجال البعيد، يجب مراعاة السلوك التالي:
  • يحاول Windows NT 4.0 لحل أسماء كتابة يدوياً من قبل الاتصال PDC للمجال الخاص بالمستخدم البعيد (UDP 138). إذا كان ذلك فشل الاتصال أو جهاز كمبيوتر يستند إلى Windows NT 4.0 الاتصالات PDC الخاص به، و ثم يسألك لتحليل الاسم.
  • نظام التشغيل Windows 2000 و Windows Server 2003 أيضا محاولة الاتصال PDC المستخدم البعيد للقرار عبر UDP 138. ومع ذلك، أنها لا تعتمد على استخدام PDC الخاص بهم. تأكد أن كافة الأعضاء المستندة إلى نظام التشغيل Windows 2000 وملقمات الأعضاء المستندة إلى Windows Server 2003 التي سيتم منح الوصول إلى الموارد على اتصال UDP 138 إلى PDC البعيد.
موارد إضافية
tcpip

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 179442 - آخر مراجعة: 08/10/2012 17:33:00 - المراجعة: 4.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Windows Web Server 2008 R2

  • kbenv kbhowto kbnetwork kbmt KB179442 KbMtar
تعليقات