Momentálne ste offline a čaká sa, kým sa znova pripojíte na internet

Ako konfigurovať bránu firewall pre domény a vzťahy dôveryhodnosti

Poskytovanie technickej podpory pre Windows Server 2003 sa skončilo 14 júla 2015

Spoločnosť Microsoft ukončila 14 júla 2015 poskytovanie technickej podpory pre Windows Server 2003. Táto zmena ovplyvnila aktualizácie softvéru a možnosti zabezpečenia. Zistite, čo to pre vás znamená a ako ponechať počítač zabezpečený.

DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.

Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 179442
Ak ste zákazník Small Business, nájsť ďalšie riešenie problémov a vzdelávacích zdrojov na Podpora pre malé podniky stránky.
SUHRN
Tento článok popisuje konfigurácii brány firewall pre domény a vzťahy dôveryhodnosti.

Poznámka: Nie všetky prístavy, ktoré sú uvedené v tabuľkách tu nevyžadujú vo všetkých scenároch. Napríklad ak firewall oddeľuje členov a DCs, nemusíte otvárať porty FRS alebo DFSR. Tiež, ak viete, že žiadny klienti používajú LDAP s SSL/TLS, nemusíte otvárať porty 636 a 3269.
dalsie informacie
Vytvoriť dôveryhodnosti domény alebo zabezpečenia kanál cez bránu firewall, musí byť otvorené nasledujúce porty. Uvedomte si, že môže existovať hostiteľov fungovanie s klientom a serverom úlohy na oboch stranách firewall. Preto prístavy pravidlá možno musieť byť zrkadlené.

Windows NT

V tomto prostredí, na jednej strane dôvery je trust Windows NT 4.0 alebo dôverovať bol vytvorený pomocou názvov NetBIOS.
Klientske portyPort serveraSlužba
137/UDP137/UDPNázov NetBIOS
138/UDP138/UDPNetBIOS Netlogon a Prehliadania
1024-65535/TCP139/TCPNetBIOS relácie
1024-65535/TCP42/TCPReplikácia služby WINS

Windows Server 2003 a Windows 2000 Server

Pre doménu zmiešaný režim, ktorý používa radiče domény Windows NT alebo starší klienti, dôverovať vzťahy medzi radičov domény so systémom Windows Server 2003 a Windows 2000 Server domény, radiče požadovať, otvorenie všetkých portov pre systém Windows NT, ktoré sú uvedené v predchádzajúcej tabuľke okrem nasledujúce porty.

Poznámka Sa dva radièe domény sú obaja v rovnakom les alebo sa dva radièe domény sú v samostatných lesa. Tiež verí v lese sú Trustov Windows Server 2003 alebo novšia verzia trustov.
Klientske portyPort serveraSlužba
1024-65535/TCP135/TCPMapovač RPC
1024-65535/TCP1024-65535/TCPRPC pre LSA, SAM, Netlogon **
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP GC SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
1024-65535/TCP1024-65535/TCPFRS RPC **
NETBIOS porty uvedené pre systém Windows NT sa tiež požadujú na Windows 2000 a Windows Server 2003, keď trustov oblasti nakonfigurované, ktoré podporujú iba NETBIOS komunikačným. Príkladmi sú operačné systémy založené na systéme Windows NT alebo radiče domény tretej strany, ktoré sú založené na Samba.

(*) Informácie o tom, ako definovať portov servera RPC, ktoré používa služby LSA RPC, nájdete v nasledujúcich článkoch databázy Microsoft Knowledge Base:

Windows Server 2008 a Windows Server 2008 R2

Windows Server 2008 a Windows Server 2008 R2 zvýšil rozsah portu dynamic client pre odchádzajúce pripojenia. Nový predvolený port Štart je 49152 a predvolený port konci 65535. Preto musíte zväčšiť rozsah portov RPC v váš firewall. Táto zmena bola urobená kvôli vyhoveniu s odporúčaniami Internet pridelené čísla úradom IANA (). Týmto sa líši od domény v zmiešanom režime pozostávajúci z radiče domén systému Windows Server 2003, radičov domény so systémom Windows 2000 Server alebo starší klienti, kde je predvolený rozsah dynamické port 1025 prostredníctvom 5000.

Ďalšie informácie o zmene rozsahu dynamické prístavu v systéme Windows Server 2008 a Windows Server 2008 R2, nájdete v nasledujúcich zdrojoch:
Klientske portyPort serveraSlužba
49152-65535/UDP123/UDPSlužba W32Time
49152-65535/TCP135/TCPMapovač RPC
49152-65535/TCP464/TCP/UDPZmenu hesla protokolu Kerberos
49152-65535/TCP49152-65535/TCPRPC pre LSA, SAM, Netlogon **
49152-65535/TCP/UDP389/TCP/UDPLDAP
49152-65535/TCP636/TCPLDAP SSL
49152-65535/TCP3268/TCPLDAP GC
49152-65535/TCP3269/TCPLDAP GC SSL
53, 49152-65535/TCP/UDP53/TCP/UDPDNS
49152-65535/TCP49152-65535/TCPFRS RPC **
49152-65535/TCP/UDP88/TCP/UDPKerberos
49152-65535/TCP/UDP445/TCPSMB
49152-65535/TCP49152-65535/TCPDFSR RPC **
NETBIOS porty uvedené pre systém Windows NT sa tiež požadujú na Windows 2000 a Server 2003, keď trustov oblasti nakonfigurované, ktoré podporujú iba NETBIOS komunikačným. Príkladmi sú operačné systémy založené na systéme Windows NT alebo radiče domény tretej strany, ktoré sú založené na Samba.

(*) Informácie o tom, ako definovať portov servera RPC, ktoré používa služby LSA RPC, nájdete v nasledujúcich článkoch databázy Microsoft Knowledge Base:
Poznámka: Vonkajšie dôvery 123/UDP je potrebný len v prípade manuálne nakonfigurovanom Služba času systému Windows synchronizovať so serverom cez vonkajšie dôvery.

Služby Active Directory

V systéme Windows 2000 a Windows XP, správy protokolu ICMP (Internet Control) musí byť umožnené prostredníctvom brány firewall od klientov radiče domény tak, že Active Directory skupinovej politiky klienta správne pracovať cez bránu firewall. ICMP sa používa na určenie, či odkaz je pomalé alebo rýchle prepojenie.

V systéme Windows Server 2008 a novších verziách poskytuje služba siete umiestnenie povedomia pásma odhad založený na prevádzku s ostatné stanice v sieti. Nie je tu doprava generuje pre odhad.

Presmerovač systému Windows používa aj ICMP na overenie, že IP servera vyriešil službou DNS pred uskutočnením pripojenie, a keď server nachádza pomocou DFS. Toto sa vzťahuje na prístup SYSVOL členmi domény.

Ak chcete minimalizovať prenosy protokolu ICMP, môžete použiť nasledujúce vzorky firewall pravidlo:
<any> ICMP -> DC IP addr = allow

Na rozdiel od vrstve protokolu TCP a UDP vrstvy protokolu ICMP sa nemá číslo portu. To je, pretože je ICMP priamo hostiteľom vrstve IP.

Predvolene Windows Server 2003 a Windows 2000 Server DNS servery používajú nestále klientske porty, keď sa dotaz na iné servery DNS. Avšak, toto správanie môže zmeniť nastavenie databázy registry špecifické. Ďalšie informácie nájdete v článku databázy Microsoft Knowledge Base článku 260186: Kľúč databázy registry SendPort DNS nefunguje podľa očakávaní

Ďalšie informácie o službe Active Directory a konfigurácii brány firewall nájdete v téme Služby Active Directory v sieťach segmentovaného brány firewallMicrosoft bielej knihy.Alebo môžete vytvoriť dôvery cez tunel protokolu PPTP (Point-to-Point Tunneling) povinné. Týmto obmedzíte počet portov, ktoré firewall sa musia otvoriť. Pre PPTP, musia byť povolené nasledujúce porty.
Klientske portyPort serveraProtokol
1024-65535/TCP1723/TCPPPTP
Okrem toho budete musieť zapnúť protokol IP PROTOCOL 47 (GRE).

Poznámka Keď pridáte povolenia k prostriedku na doména pre používateľov v dôveryhodnej doméne, existujú určité rozdiely medzi Windows 2000 a Windows NT 4.0 správanie. Ak počítač nedokáže zobraziť zoznam používateľov vzdialenej doméne, zvážte nasledovné správanie:
  • Windows NT 4.0 sa pokúša preložiť manuálne zadali názvami Kontaktovanie hlavným radičom domény pre doménu vzdialený používateľ (UDP 138). Ak táto oznámenie zlyhá, počítač so systémom Windows NT 4.0 kontakty vlastnej PDC, a potom sa spýta na rozlíšenie názvu.
  • Windows 2000 a Windows Server 2003 tiež skúste kontaktovať vzdialený používateľ PDC uznesenia cez UDP 138. Avšak, nevychádzali pomocou vlastné PDC. Uistite sa, že všetky servery so systémom Windows 2000 členské a so systémom Windows Server 2003 členským serverom, ktoré poskytuje prístup k zdrojom mať UDP 138 pripojením k vzdialenej PDC.
Ďalšie zdroje
TCPIP

Upozornenie: Tento článok bol preložený automaticky.

Vlastnosti

ID článku: 179442 – Posledná kontrola: 08/10/2012 17:42:00 – Revízia: 6.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Windows Web Server 2008 R2

  • kbenv kbhowto kbnetwork kbmt KB179442 KbMtsk
Pripomienky