Şu anda çevrimdışısınız; İnternet'in yeniden bağlanması bekleniyor

Bir güvenlik duvarı etki alanları ve Güvenleri'ni yapılandırma hakkında

Windows Server 2003 desteği 14 Temmuz 2015'te sona erdi

Microsoft, Windows Server 2003 desteğini 14 Temmuz 2015'te sona erdirdi. Bu değişiklik yazılım güncelleştirmelerinizi ve güvenlik seçeneklerinizi etkiledi. Bunun sizin için ne anlama geldiğini ve korunmaya nasıl devam edebileceğinizi öğrenin.

ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.

Makalenin İngilizcesi aşağıdaki gibidir: 179442
Küçük Ölçekli İşletme müşteri, ek sorun giderme ve öğrenme kaynakları bulma Küçük işletmeler için destek sitesini ziyaret edin.
Özet
Bu makalede, bir güvenlik duvarı etki alanları ve Güvenleri'ni yapılandırma.

Not: Burada tablolarda listelenen tüm bağlantı noktaları, tüm senaryolarda gereklidir. Örneğin, güvenlik duvarı üyeleri ve DCs ayıran, FRS'nin veya dfsr bağlantı noktalarını açmanız gerekmez. Ayrıca, hiçbir istemci ldap ssl/tls kullanan biliyorsanız, 636 ve 3269 numaralı bağlantı noktalarını açmanız gerekmez.
Daha fazla bilgi
Güvenlik Duvarı üzerinden bir etki alanı güven ilişkisi veya güvenlik kanalı kurmak için aşağıdaki bağlantı noktalarının açık olması gerekir. Güvenlik duvarının her iki tarafında hem istemci hem de sunucu rolleriyle çalışan ana bilgisayarlar olabileceğini unutmayın. Bu nedenle, bağlantı noktası kurallarının yansıtılması gerekebilir.

Windows NT

Bu ortamda bir güven bir Windows NT 4.0 güveni tarafıdır veya güven NetBIOS adları kullanılarak oluşturulmuştur.
İstemci bağlantı noktalarıSunucu bağlantı noktasıHizmet
137/UDP137/UDPNetBIOS adı
138/UDP138/UDPNetBIOS Netlogon ve Gözatma
1024-65535/TCP139/TCPNetBIOS oturumu
1024-65535/TCP42/TCPWINS çoğaltması

Windows Server 2003 ve Windows 2000 Server

Windows NT etki alanı denetleyicilerini veya eski istemcileri kullanan bir karma mod etki için güven ilişkileri arasındaki Windows Server 2003 tabanlı etki alanı denetleyicileri Windows 2000 Server tabanlı etki alanı denetleyicileri Windows NT için yukarıdaki tabloda listelenen tüm bağlantı yanı sıra aşağıdaki bağlantı noktalarının açılması gerekebilir.

Not İki etki alanı denetleyicisi her ikisi de aynı olan her ikisi de ayrı bir ormanda orman veya etki alanı denetleyicileri olan. Ayrıca, ormandaki güvenlerdir Güvenleri Windows Server 2003 veya sonraki sürümü güvenleri.
İstemci bağlantı noktalarıSunucu bağlantı noktasıHizmet
1024-65535/TCP135/TCPrpc Bitiş Noktası Eşleştiricisi
1024-65535/TCP1024-65535/TCPlsa, sam, Netlogon oluştun rpc
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP GC SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
1024-65535/TCP1024-65535/TCPFRS RPC OLUŞTUN
Etki alanı güvenleri yalnızca NetBIOS tabanlı iletişimi destekleyen yapılandırıldığında, Windows NT için listelendiği gibi NetBIOS bağlantı noktalarını da Windows 2000 ve Windows Server 2003 için gereklidir. Windows NT tabanlı işletim sistemleri veya Samba esas alan bir üçüncü taraf etki alanı denetleyicileri örnektir.

(*) lsa rpc Hizmetleri tarafından kullanılan rpc sunucu bağlantı noktalarını tanımlamak belirleme hakkında daha fazla bilgi için aşağıdaki Microsoft Knowledge Base makalelerine bakın:

Windows Server 2008 ve Windows Server 2008 R2

Windows Server 2008 ve Windows Server 2008 R2 dinamik istemci bağlantı noktası aralığı için giden bağlantılar artırmıştır. Yeni varsayılan başlangıç bağlantı noktası 49152 bağlıdır ve varsayılan bitiş bağlantı noktası-65535'tir. Bu nedenle, rpc bağlantı noktası aralığı, duvarları artırmanız gerekir. Bu değişiklik, Internet Atanmış Numaralar Yetkilisi (IANA) önerileri ile uyumlu olacak şekilde yapılmıştır. Burada 1025-5000 varsayılan dinamik bağlantı noktası aralığı, Windows Server 2003 etki alanı denetleyicileri, Windows 2000 Server tabanlı etki alanı denetleyicileri veya eski istemcileri oluşan bir karma mod etki alanından farklıdır.

Windows Server 2008 ve Windows Server 2008 R2 dinamik bağlantı noktası aralığını değiştirme hakkında daha fazla bilgi için aşağıdaki kaynaklara bakın:
İstemci bağlantı noktalarıSunucu bağlantı noktasıHizmet
49152 -65535/UDP123/UDPW32Time
49152 -65535/TCP135/TCPrpc Bitiş Noktası Eşleştiricisi
49152 -65535/TCP464/TCP/UDPKerberos Parola değiştirme
49152 -65535/TCP49152-65535/TCPlsa, sam, Netlogon oluştun rpc
49152 -65535/TCP/UDP389/TCP/UDPLDAP
49152 -65535/TCP636/TCPLDAP SSL
49152 -65535/TCP3268/TCPLDAP GC
49152 -65535/TCP3269/TCPLDAP GC SSL
53, 49152 -65535/TCP/UDP53/TCP/UDPDNS
49152 -65535/TCP49152 -65535/TCPFRS RPC OLUŞTUN
49152 -65535/TCP/UDP88/TCP/UDPKerberos
49152 -65535/TCP/UDP445/TCPSMB
49152 -65535/TCP49152-65535/TCPDFSR RPC OLUŞTUN
Etki alanı güvenleri yalnızca NetBIOS tabanlı iletişimi destekleyen yapılandırıldığında, Windows NT için listelendiği gibi NetBIOS bağlantı noktalarını da Windows 2000 ve Server 2003 için gereklidir. Windows NT tabanlı işletim sistemleri veya Samba esas alan bir üçüncü taraf etki alanı denetleyicileri örnektir.

(*) lsa rpc Hizmetleri tarafından kullanılan rpc sunucu bağlantı noktalarını tanımlamak belirleme hakkında daha fazla bilgi için aşağıdaki Microsoft Knowledge Base makalelerine bakın:
Not: Dış güven 123/udp yalnızca sizin el ile eşitleme Windows Saati hizmeti sunucusu ile dış güvene yapılandırdıysanız gereklidir.

Active Directory

Active Directory Grup İlkesi İstemcisi Güvenlik Duvarı üzerinden düzgün çalışabilmesi Windows 2000 ve Windows xp, Internet Denetim İletisi Protokolü (ICMP) güvenlik duvarı üzerinden istemcilerden etki alanı denetleyicilerine izin verilmelidir. ICMP bağlantı yavaş veya hızlı bir bağlantı olup olmadığını belirlemek için kullanılır.

Windows Server 2008 ve sonraki sürümlerinde, ağdaki diğer istasyonlar ile trafiğe göre bant genişliği tahmin ağ konumunu bilme hizmeti sağlar. Tahmin için oluşturulan trafik olduğundan.

Windows yeniden yönlendiricisi ICMP sunucu IP bağlantısı kurulmadan önce ve dfs kullanarak bir sunucuda bulunan dns hizmeti tarafından çözümlendiğini doğrulamak için de kullanır. sysvol access tarafından etki alanı üyeleri için geçerlidir.

ICMP trafiğini en aza indirmek istiyorsanız, aşağıdaki kullanabilirsiniz Örnek güvenlik duvarı kuralı:
<any> ICMP -> DC IP addr = allow

tcp ve udp ICMP iletişim kuralı katmanına bir bağlantı noktası numarası yok. ICMP olmasıdır doğrudan IP Katmanı tarafından barındırılan.

Diğer dns sunucularını sorguladığınızda varsayılan olarak, Windows Server 2003 ve Windows 2000 Server dns sunucuları kısa ömürlü istemci tarafı bağlantı noktaları kullanın. Ancak, bu davranışı, belirli bir kayıt defteri ayarıyla değiştirilebilir. Daha fazla bilgi için bkz: Microsoft Bilgi Bankası makalesi 260186: SendPort dns kayıt defteri anahtarı beklendiği gibi çalışmıyor

Active Directory ve güvenlik duvarı yapılandırması hakkında daha fazla bilgi için bkz: Duvarlarıyla segmentlere bölünmüş ağlarda Active Directory'deMicrosoft teknik incelemesi.Ya da Noktadan Noktaya Tünel Protokolü (pptp) zorunlu tüneli üzerinden bir güven ilişkisi kurabilirsiniz. Bu Güvenlik Duvarı'nı açmak için olan bağlantı noktalarının sayısını sınırlar. pptp için aşağıdaki bağlantı noktalarını etkinleştirilmiş olması gerekir.
İstemci bağlantı noktalarıSunucu bağlantı noktasıİletişim kuralı
1024-65535/TCP1723/TCPPPTP
Buna ek olarak, IP protokolü 47 etkinleştirmek zorunda (GRE).

Not Güvenilen bir etki alanındaki kullanıcılar için güvenen etki alanındaki bir kaynağa izinler eklediğinizde, Windows 2000 ve Windows NT 4.0 davranışında bazı farklılıklar vardır. Bilgisayar uzak etki alanındaki kullanıcıların listesini görüntüleyemiyor, aşağıdaki davranış göz önünde bulundurun:
  • Windows NT 4.0 tarafından el ile yazılmış adları çözümlemeye çalışır PDC'yle temasa geçmek uzak kullanıcının etki alanı (udp 138). Bu, iletişim başarısız Windows NT 4.0 tabanlı bir bilgisayar kendi PDC'sine başvurur ve Daha sonra ad çözünürlüğü için sorar.
  • Windows 2000 ve Windows Server 2003 ayrıca udp 138 çözümlenmek uzak kullanıcının pdc başvurmak deneyin. Ancak, bunlar kendi PDC'LERİNİ kullanmaya güvenmeyin. Tüm Windows 2000 tabanlı üye sunuculara ve kaynaklara erişim izni Windows Server 2003 tabanlı üye sunucuların uzak pdc için udp 138 bağlantısı olduğundan emin olun.
Ek kaynaklar
TCPIP

Uyarı: Bu makalenin çevirisi otomatik olarak yapılmıştır

Özellikler

Makale No: 179442 - Son İnceleme: 08/10/2012 17:44:00 - Düzeltme: 4.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Windows Web Server 2008 R2

  • kbenv kbhowto kbnetwork kbmt KB179442 KbMttr
Geri bildirim