Anda sedang offline saat ini, menunggu internet Anda untuk menyambung kembali

Cara mengkonfigurasi firewall untuk domain dan Trust

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.

Klik disini untuk melihat versi Inggris dari artikel ini: 179442
Jika Anda adalah pelanggan bisnis kecil, menemukan pemecahan masalah tambahan dan sumber pada pembelajaran Dukungan untuk usaha kecil situs.
Ringkasan
Artikel ini menjelaskan cara mengkonfigurasi firewall untuk domain dan Trust.

Catatan: Tidak semua port yang didaftar di dalam Daftar Tabel berikut diperlukan dalam semua skenario. Sebagai contoh, jika firewall memisahkan anggota dan DC, Anda tidak perlu membuka port FRS atau DFSR. Juga, jika Anda tahu bahwa tidak ada klien menggunakan LDAP dengan SSL/TLS, Anda tidak perlu membuka port 636 dan 3269.
Informasi lebih lanjut
Untuk menetapkan domain kepercayaan atau saluran keamanan di firewall, port berikut harus dibuka. Sadarilah bahwa mungkin ada host yang berfungsi dengan baik klien dan server peran pada kedua sisi dari firewall. Oleh karena itu, pelabuhan aturan harus tercermin.

Windows NT

Dalam lingkungan ini, satu sisi kepercayaan adalah kepercayaan Windows NT 4.0, atau kepercayaan diciptakan dengan menggunakan nama NetBIOS.
Klien Port(s)Server PortLayanan
137/UDP137/UDPNama NetBIOS
138/UDP138/UDPNetBIOS Netlogon dan Browsing
1024-65535/TCP139/TCPNetBIOS Session
1024-65535/TCP42/TCPMENANG replikasi

Windows Server 2003 dan Windows 2000 Server

Untuk modus campuran domain yang menggunakan pengontrol domain Windows NT atau klien warisan, percaya hubungan antara pengendali domain berbasis Windows Server 2003 dan domain berbasis Windows 2000 Server controller mengharuskan bahwa semua port untuk Windows NT yang tercantum di dalam Daftar Tabel sebelumnya dapat dibuka selain pelabuhan berikut.

Catatan pengendali domain dua keduanya sama dalam satu hutan, atau pengendali domain dua keduanya di hutan terpisah. Juga, yang percaya di hutan Windows Server 2003 Trust atau kemudian versi Trust.
Klien Port(s)Server PortLayanan
1024-65535/TCP135/TCPRPC Endpoint Mapper
1024-65535/TCP1024-65535/TCPRPC untuk LSA, SAM, Netlogon (**)
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP GC SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
1024-65535/TCP1024-65535/TCPFRS RPC (**)
NETBIOS pelabuhan seperti yang tercantum untuk Windows NT juga diperlukan untuk Windows 2000 dan Windows Server 2003 ketika Trust untuk domain dikonfigurasi yang mendukung hanya berbasis NETBIOS komunikasi. Contoh adalah sistem operasi berbasis Windows NT atau pihak ketiga pengontrol Domain yang didasarkan pada Samba.

(*) Untuk informasi tentang cara untuk menentukan RPC server port yang digunakan oleh layanan LSA RPC, lihat artikel Pangkalan Pengetahuan Microsoft berikut:

Windows Server 2008 dan Windows Server 2008 R2

Windows Server 2008 dan Windows Server 2008 R2 telah meningkatkan berbagai pelabuhan dinamis klien untuk koneksi keluar. Baru mulai port default adalah 49152, dan port default akhir 65535. Oleh karena itu, Anda harus meningkatkan jangkauan RPC port dalam firewall Anda. Perubahan ini dibuat untuk mematuhi Internet Assigned Numbers Authority (IANA) rekomendasi. Ini berbeda dari modus campuran domain yang terdiri dari pengontrol domain Windows Server 2003, pengendali domain berbasis Windows 2000 Server, atau klien warisan, di mana rentang dinamis port default adalah 1025 melalui 5000.

Untuk informasi lebih lanjut tentang perubahan rentang dinamis port di Windows Server 2008 dan Windows Server 2008 R2, tampilan sumber daya daya berikut:
Klien Port(s)Server PortLayanan
49152-65535/UDP123/UDPW32Time
49152-65535/TCP135/TCPRPC Endpoint Mapper
49152-65535/TCP464/TCP/UDPUbah sandi Kerberos
49152-65535/TCP49152-65535/TCPRPC untuk LSA, SAM, Netlogon (**)
49152-65535/TCP/UDP389/TCP/UDPLDAP
49152-65535/TCP636/TCPLDAP SSL
49152-65535/TCP3268/TCPLDAP GC
49152-65535/TCP3269/TCPLDAP GC SSL
53, 49152-65535/TCP/UDP53/TCP/UDPDNS
49152-65535/TCP49152-65535/TCPFRS RPC (**)
49152-65535/TCP/UDP88/TCP/UDPKerberos
49152-65535/TCP/UDP445/TCPSMB
49152-65535/TCP49152-65535/TCPDFSR RPC (**)
NETBIOS pelabuhan seperti yang tercantum untuk Windows NT juga diperlukan untuk Windows 2000 dan Server 2003 ketika Trust untuk domain dikonfigurasi yang mendukung hanya berbasis NETBIOS komunikasi. Contoh adalah sistem operasi berbasis Windows NT atau pihak ketiga pengontrol Domain yang didasarkan pada Samba.

(*) Untuk informasi tentang cara untuk menentukan RPC server port yang digunakan oleh layanan LSA RPC, lihat artikel Pangkalan Pengetahuan Microsoft berikut:
Catatan: Kepercayaan eksternal 123/UDP hanya diperlukan jika Anda secara manual mengkonfigurasi Windows waktu layanan untuk sinkronisasi dengan server di luar kepercayaan.

Active Directory

Dalam Windows 2000 dan Windows XP, protokol pesan kontrol Internet (ICMP) harus diperbolehkan melalui firewall dari klien ke pengendali domain sehingga klien Kebijakan Grup direktori aktif dapat berfungsi dengan baik melalui firewall. ICMP digunakan untuk menentukan apakah link link lambat atau link cepat.

Pada Windows Server 2008 dan versi yang lebih baru, kesadaran lokasi jaringan menyediakan perkiraan bandwidth berdasarkan lalu lintas dengan stasiun lain pada jaringan. Ada tidak ada lalu lintas yang dihasilkan untuk perkiraan.

Windows Redirector juga menggunakan ICMP untuk memverifikasi bahwa server IP diatasi dengan layanan DNS sebelum sambungan dibuat, dan ketika server terletak dengan menggunakan DFS. Hal ini berlaku untuk SYSVOL akses oleh anggota domain.

Jika Anda ingin meminimalkan ICMP lalu lintas, Anda dapat menggunakan berikut sampel firewall aturan:
<any> ICMP -> DC IP addr = allow

Tidak seperti lapisan protokol TCP dan UDP Protokol lapisan, ICMP tidak memiliki nomor port. Hal ini karena ICMP langsung diselenggarakan oleh lapisan IP.

secara asali, Windows Server 2003 dan Windows 2000 Server DNS server menggunakan fana sisi klien port ketika mereka server pertanyaan DNS lain. Namun, perilaku ini mungkin berubah oleh pengaturan registri khusus. Untuk informasi lebih lanjut, lihat artikel Pangkalan Pengetahuan Microsoft 260186: bukti kunci registri SendPort DNS tidak bekerja seperti yang diharapkan

Untuk informasi lebih lanjut tentang Active Directory dan konfigurasi firewall, lihat Direktori aktif dalam jaringan dibagi oleh firewallKertas putih Microsoft.Atau, Anda dapat membangun kepercayaan melalui terowongan wajib protokol Penerobosan titik (PPTP). Hal ini membatasi jumlah port yang firewall untuk membuka. Untuk PPTP, port berikut harus diaktifkan.
Port klienServer PortProtokol
1024-65535/TCP1723/TCPPPTP
Selain itu, Anda harus mengaktifkan protokol 47 IP (GRE).

Catatan Ketika Anda menambahkan hak akses ke sumber daya pada domain percaya untuk pengguna di domain yang terpercaya, ada beberapa perbedaan antara Windows 2000 dan Windows NT 4.0 perilaku. Jika komputer tidak dapat menampilkan daftar domain jauh pengguna, mempertimbangkan perilaku berikut:
  • Windows NT 4.0 mencoba menetapkan nama secara manual diketik oleh menghubungi PDC untuk pengguna remote domain (UDP 138). Jika itu komunikasi gagal, komputer berbasis Windows NT 4.0 kontak PDC tersendiri, dan kemudian meminta resolusi nama.
  • Windows 2000 dan Windows Server 2003 juga mencoba untuk menghubungi pengguna remote PDC penyelesaian atas UDP 138. Namun, mereka tidak bergantung pada menggunakan PDC mereka sendiri. Pastikan bahwa semua anggota berbasis Windows 2000 Server dan server berbasis Windows Server 2003 anggota yang akan memberikan akses ke sumber daya telah UDP 138 konektivitas ke PDC terpencil.
Sumber daya tambahan
TCPIP

Warning: This article has been translated automatically

Properti

ID Artikel: 179442 - Tinjauan Terakhir: 08/10/2012 17:37:00 - Revisi: 6.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Windows Web Server 2008 R2

  • kbenv kbhowto kbnetwork kbmt KB179442 KbMtid
Tanggapan
ript>