Cara mengkonfigurasi firewall untuk domain dan Trust

Dukungan untuk Windows Server 2003 berakhir pada 14 Juli 2015

Microsoft mengakhiri dukungan untuk Windows Server 2003 pada 14 Juli 2015. Perubahan ini telah memengaruhi pemutakhiran perangkat lunak dan opsi keamanan Anda. Pelajari apa artinya ini bagi Anda dan cara untuk tetap terlindungi.

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 179442
Ringkasan
Artikel ini menjelaskan cara mengkonfigurasi firewall untuk domain dan Trust.

Catatan: Tidak semua port yang tercantum dalam Daftar Tabel berikut yang diperlukan dalam semua skenario. Sebagai contoh, jika firewall memisahkan anggota dan DC, Anda tidak perlu membuka Port FRS atau DFSR. Selain itu, jika Anda tahu bahwa tidak ada klien menggunakan LDAP dengan SSL/TLS, Anda tidak perlu membuka Port 636 dan 3269.
Informasi lebih lanjut
Untuk menetapkan kepercayaan domain atau saluran keamanan di firewall, Port berikut harus dibuka. Perhatikan bahwa mungkin menjadi tuan rumah yang berfungsi dengan klien dan server peran sisi firewall. Oleh karena itu, aturan Port harus bisa dicerminkan.

Windows NT

Di lingkungan ini, salah satu sisi kepercayaan kepercayaan Windows NT 4.0, atau kepercayaan yang dibuat dengan menggunakan nama NetBIOS.
Klien pelabuhan(dengan)Server PortLayanan
137 UDP137 UDPNama NetBIOS
138 UDP138 UDPNetBIOS Netlogon dan Browsing
1024-65535/TCP139 TCPNetBIOS sesi
1024-65535/TCP42 TCPWINS replikasi

Windows Server 2003 dan Windows 2000 Server

Mode campuran domain yang menggunakan pengontrol domain Windows NT atau warisan klien, kepercayaan hubungan antara pengontrol domain berbasis Windows Server 2003 dan domain berbasis Windows 2000 Server pengendali mengharuskan bahwa semua Porta untuk Windows NT yang tercantum dalam Daftar Tabel sebelumnya dibuka selain Port berikut.

Catatan Pengontrol domain dua keduanya dalam hutan yang sama, atau pengendali domain dua keduanya dalam hutan yang terpisah. Selain itu, kepercayaan di hutan yang Trust Windows Server 2003 atau kepercayaan versi yang lebih baru.
Klien pelabuhan(dengan)Server PortLayanan
1024-65535/TCP135 TCPRPC Endpoint pemetaan
1024-65535/TCP1024-65535/TCPRPC untuk LSA SAM, Netlogon(*)
1024-65535/TCP/UDP389, TCP DAN UDPLDAP
1024-65535/TCP636 TCPLDAP SSL
1024-65535/TCP3268 TCPLDAP GC
1024-65535/TCP3269 TCPLDAP GC SSL
53,1024-65535/TCP/UDP53, TCP DAN UDPDNS
1024-65535/TCP/UDP88, TCP DAN UDPKerberos
1024-65535/TCP445 TCPSMB
1024-65535/TCP1024-65535/TCPRPC FRS (*)
NETBIOS port yang tercantum untuk Windows NT juga diperlukan untuk Windows 2000 dan Windows Server 2003 ketika kepercayaan domain dikonfigurasi yang mendukung hanya berbasis NETBIOS komunikasi. Contoh adalah sistem operasi berbasis Windows NT atau pengontrol Domain pihak ketiga yang didasarkan pada Samba.

(*) Untuk informasi tentang cara menentukan Port server RPC yang digunakan oleh layanan LSA RPC, lihat artikel Pangkalan Pengetahuan Microsoft berikut ini:

Windows Server 2008, Windows Server 2012, dan Windows Server 2012 R2

Windows Server 2008 dan Windows Server 2012 andWindows Server 2012 R2 bertambah kisaran port klien dinamis untuk sambungan keluar. Mulai port default baru adalah 49152, dan akhir port default adalah 65535. Oleh karena itu, Anda harus meningkatkan RPC port kisaran firewall Anda. Perubahan ini dibuat untuk mematuhi rekomendasi Internet ditetapkan nomor Authority (IANA). Ini berbeda dari mode campuran domain yang terdiri dari pengontrol domain Windows Server 2003, pengontrol domain berbasis Windows 2000 Server atau klien warisan, kisaran dinamis port default adalah 1025 hingga 5000.

Untuk informasi selengkapnya tentang kisaran dinamis port perubahan di Windows Server 2008, Windows Server 2012 andWindows Server 2012 R2, tampilan sumber daya daya berikut ini:
Klien pelabuhan(dengan)Server PortLayanan
49152-65535/UDP123 UDPW32Time
49152-65535/TCP135 TCPRPC Endpoint pemetaan
49152-65535/TCP464, TCP DAN UDPUbah sandi Kerberos
49152-65535/TCP49152-65535/TCPRPC LSA, SAM, Netlogon (*)
49152-65535/TCP/UDP389, TCP DAN UDPLDAP
49152-65535/TCP636 TCPLDAP SSL
49152-65535/TCP3268 TCPLDAP GC
49152-65535/TCP3269 TCPLDAP GC SSL
53, 49152-65535/TCP/UDP53, TCP DAN UDPDNS
49152-65535/TCP49152-65535/TCPRPC FRS (*)
49152-65535/TCP/UDP88, TCP DAN UDPKerberos
49152-65535/TCP/UDP445 TCPSMB (*)
49152-65535/TCP49152-65535/TCPRPC DFSR (*)
NETBIOS port yang tercantum untuk Windows NT juga diperlukan untuk Windows 2000 dan Server 2003 ketika kepercayaan domain dikonfigurasi yang mendukung hanya berbasis NETBIOS komunikasi. Contoh adalah sistem operasi berbasis Windows NT atau pengontrol Domain pihak ketiga yang didasarkan pada Samba.

(*) Untuk informasi tentang cara menentukan Port server RPC yang digunakan oleh layanan LSA RPC, lihat artikel Pangkalan Pengetahuan Microsoft berikut ini: (**) Untuk operasi kepercayaan port ini tidak diperlukan, digunakan untuk pembuatan kepercayaan hanya.


Catatan: Kepercayaan eksternal 123/UDP hanya diperlukan jika Anda secara manual mengkonfigurasi layanan Windows Time untuk menyinkronkan dengan server di seluruh kepercayaan eksternal.

Direktori aktif

Pada Windows 2000 dan Windows XP, protokol pesan kontrol Internet (ICMP) harus dibiarkan melalui firewall dari klien ke pengendali domain sehingga klien Kebijakan Grup direktori aktif dapat berfungsi dengan benar melalui firewall. ICMP digunakan untuk menentukan apakah tautan link lambat atau tautan cepat.

Di Windows Server 2008 dan versi yang lebih baru, Layanan kesadaran lokasi jaringan memberikan bandwidth perkiraan berdasarkan lalu lintas dengan Stasiun lainnya di jaringan. Ada tidak ada lalu lintas yang dihasilkan untuk memperkirakan.

Pengalih arah Windows juga menggunakan ICMP untuk memverifikasi bahwa server IP diatasi dengan layanan DNS sebelum sambungan dibuat, dan ketika server terletak menggunakan DFS. Hal ini berlaku untuk akses SYSVOL oleh anggota domain.

Jika Anda ingin meminimalkan lalu lintas ICMP, Anda dapat menggunakan aturan firewall contoh berikut ini:
<any> ICMP -> DC IP addr = allow

Tidak seperti lapisan protokol TCP dan UDP protokol lapisan, ICMP tidak memiliki nomor port. Hal ini karena ICMP langsung host oleh lapisan IP.

secara asali, Windows Server 2003 dan Windows 2000 Server DNS Server menggunakan Porta sisi klien sementara saat mereka meminta server DNS lainnya. Namun, perilaku ini dapat diubah dengan pengaturan registri khusus. Untuk informasi selengkapnya, lihat artikel Pangkalan Pengetahuan Microsoft 260186: bukti kunci registri SendPort DNS tidak berfungsi seperti yang diharapkan

Untuk informasi selengkapnya tentang konfigurasi firewall dan direktori aktif, lihat Direktori aktif di jaringan menurut firewall jenisKertas putih Microsoft.Atau, Anda dapat menetapkan kepercayaan melalui terowongan wajib Point-to-Point Tunneling Protocol (PPTP). Hal ini membatasi jumlah Porta yang memiliki firewall untuk membuka. Untuk PPTP, Port berikut ini harus diaktifkan.
Port klienServer PortProtokol
1024-65535/TCP1723 TCPPPTP
Selain itu, Anda harus mengaktifkan protokol 47 IP (GRE).

Catatan Saat Anda menambahkan izin untuk sumber daya di domain mempercayai bagi pengguna di domain terpercaya, ada beberapa perbedaan antara Windows 2000 dan Windows NT 4.0 perilaku. Jika komputer tidak dapat menampilkan daftar pengguna domain jauh, pertimbangkan perilaku berikut ini:
  • Windows NT 4.0 berusaha menyelesaikan nama secara manual diketik bycontacting PDC untuk domain pengguna jarak jauh (UDP 138). Jika gagal thatcommunication, komputer berbasis Windows NT 4.0 kontak PDC sendiri, andthen meminta resolusi nama.
  • Windows 2000 dan Windows Server 2003 juga mencoba menghubungi pengguna jarak jauh PDC untuk resolusi melalui UDP 138. Namun, mereka tidak mengandalkan menggunakan PDC mereka sendiri. Pastikan bahwa semua anggota berbasis Windows 2000 Server dan server anggota berbasis Windows Server 2003 yang akan memberikan akses ke sumber daya yang memiliki konektivitas UDP 138 untuk PDC jarak jauh.
Sumber daya tambahan
TCPIP

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 179442 - Tinjauan Terakhir: 08/12/2016 23:51:00 - Revisi: 7.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Windows Web Server 2008 R2, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Standard, Windows Server 2012 Standard

  • kbenv kbhowto kbnetwork kbmt KB179442 KbMtid
Tanggapan