Jelenleg nem kapcsolódik az internethez. Várakozás a kapcsolat helyreállítására

Tűzfal beállítása tartományokhoz és bizalmi kapcsolatokhoz

2015. július 14-én véget ért a Windows Server 2003 támogatása

2015. július 14-én a Microsoft megszüntette a Windows Server 2003 támogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

Összefoglaló
Ez a cikk azt ismerteti, hogy miként állíthat be tűzfalat tartományokhoz és bizalmi kapcsolatokhoz.
További információ
Ha a tűzfalon keresztül tartományi bizalmi kapcsolatot vagy biztonsági csatornát szeretne létesíteni, az alábbi portokat kell megnyitnia. Vegye figyelembe, hogy a tűzfal mindkét oldalán lehetnek ügyfél- és kiszolgálói szerepkört betöltő állomások. Emiatt a portokra vonatkozó szabályokat esetleg tükrözni kell.

Windows NT

Ebben a környezetben a bizalmi kapcsolat egyik fele egy Windows NT 4.0 bizalmi kapcsolat, vagy a bizalmi kapcsolatot NetBIOS-nevek használatával hozták létre.
Ügyfélport(ok)KiszolgálóportSzolgáltatás
137/UDP137/UDPNetBIOS névszolgáltatás
138/UDP138/UDPNetBIOS hálózati bejelentkezés és böngészés
1024-65535/TCP139/TCPNetBIOS munkamenet-szolgáltatás
1024-65535/TCP42/TCPWINS-replikáció

Windows Server 2003 és Windows 2000 Server

Olyan kevert módú tartományokban, amelyekben Windows NT-alapú tartományvezérlők vagy régi típusú ügyfelek működnek, illetve bizalmi kapcsolat áll fenn két, különböző erdőben lévő Windows Server 2003- vagy Windows 2000 Server-alapú tartományvezérlő között, a fenti táblázatban szereplő összes Windows NT portot meg kell nyitni az alábbiak mellett:
Ügyfélport(ok)KiszolgálóportSzolgáltatás
1024-65535/TCP135/TCPRPC
1024-65535/TCP1024-65535/TCPLSA RPC szolgáltatások (*)
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP GC SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
(*) Az LSA RPC szolgáltatások által használt RPC-kiszolgálóportok definiálásáról a Microsoft Tudásbázis alábbi cikkének „A tartományvezérlők és az Active Directory szolgáltatás” szakaszában tájékozódhat:
832017 A Windows Server rendszer szolgáltatásainak áttekintése és a rendszer hálózatiport-követelményei
Ahhoz, hogy az Active Directory megfelelően működjön a tűzfalon keresztül, az Internet Control Message Protocol (ICMP) protokollt engedélyezni kell a tűzfalon keresztül az ügyfelek és a tartományvezérlők között, mivel az ügyfelek csak így juthatnak hozzá a csoportházirend-információkhoz.

Az ICMP protokollt annak megállapítására használja a rendszer, hogy egy kapcsolat gyors vagy lassú. Az ICMP szabályos protokoll, amelyet az Active Directory a csoportházirend-információk és a maximális adatátviteli egység (MTU) felderítésére használ. A Windows átirányító ICMP protokollal ellenőrzi, hogy a kapcsolat létrehozását megelőzően a DNS szolgáltatás feloldotta-e a kiszolgáló IP-címét.

Ha a lehető legalacsonyabb szinten szeretné tartani az ICMP-alapú forgalmat, alkalmazza a következő tűzfalszabálymintát:
<any> ICMP -> DC IP addr = allow

A TCP és az UDP protokollrétegtől eltérően az ICMP protokollhoz nincs portszám rendelve. Ennek az az oka, hogy az IP-réteg közvetlenül magába foglalja az ICMP protokollt.

Megjegyzés: A táblázatban felsoroltakon kívül a távoli eljáráshívási kommunikációra speciális követelmények vonatkoznak.

A távoli eljáráshívási kommunikáció tűzfal használata esetén, az RPC-kiszolgáló rendszerbeállításain kívüli egyéb beállításokkal történő konfigurálásáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
154596 A távoli eljáráshívás szolgáltatás dinamikus porthozzárendelésének beállítása tűzfallal
Alapértelmezés szerint a Windows Server 2003- és a Windows 2000 Server-alapú DNS-kiszolgálók időszakos ügyféloldali portokat használnak a többi DNS-kiszolgáló lekérdezésekor. Ez a viselkedés azonban egy speciális rendszerbeállítási bejegyzés segítségével módosítható; a bejegyzés ismertetését a Microsoft Tudásbázis következő cikke tartalmazza:
260186 A DNS szolgáltatás SendPort rendszerleíró azonosítója nem a várt módon működik (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Az Active Directory és a tűzfal együttes használatra való konfigurálásáról a Microsoft azon tanulmányában olvashat, amelyben az Active Directory használatát mutatja be a tűzfalak által szegmentált hálózatokban. Ehhez látogasson el a következő webhelyre: Létesíthet bizalmi kapcsolatot a PPTP-alagúton keresztül is, ezzel a módszerrel korlátozhatja azon portok számát, amelyeket a tűzfalnak nyitva kell tartania. A PPTP alkalmazása esetén az alábbi portokat kell engedélyezni:
ÜgyfélportokKiszolgálóportProtokoll
1024-65535/TCP1723/TCPPPTP
Emellett engedélyeznie kell az IP PROTOCOL 47 (GRE) protokollt is.

Megjegyzés: Amikor egy megbízó tartományban lévő erőforráshoz engedélyeket biztosít egy megbízhatónak minősített tartomány felhasználói részére, a Windows 2000- és a Windows NT 4.0-alapú rendszerek működése némi különbséget mutat. Ha a számítógép nem tudja előállítani a távoli tartomány felhasználóinak listáját:
  • A Windows NT 4.0 a manuálisan beírt neveket úgy kísérli meg feloldani, hogy kapcsolatba lép a távoli felhasználó tartományában működő elsődleges tartományvezérlővel (az UDP 138-as porton keresztül). Ha ez a kapcsolatfelvétel nem sikerül, a Windows NT 4.0-alapú számítógép saját elsődleges tartományvezérlőjével létesít kapcsolatot, és kéri a név feloldását.
  • A Windows 2000- és a Windows Server 2003-alapú számítógépek a névfeloldás érdekében szintén megkísérelnek kapcsolatba lépni a távoli felhasználó tartományában működő elsődleges tartományvezérlővel az UDP 138-as porton keresztül, de sikertelenség esetén nem használják saját elsődleges tartományvezérlőjüket. Biztosítsa, hogy az erőforrásokhoz hozzáférést engedélyező összes Windows 2000- és Windows Server 2003-alapú tagkiszolgáló kapcsolatba léphessen az UDP 138-as porton keresztül a távoli elsődleges tartományvezérlővel.
tcpip
Tulajdonságok

Cikkazonosító: 179442 - Utolsó ellenőrzés: 04/18/2007 13:52:00 - Verziószám: 10.3

  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • kbhowto kbenv kbnetwork KB179442
Visszajelzés
ipt>"); /ms.js" '="">