Зараз ви перебуваєте в автономному режимі; очікується повторне підключення до Інтернету

Настроювання брандмауера для домени та довіру

Підтримку Windows Server 2003 припинено 14 липня 2015 р.

Корпорація Майкрософт припинила підтримку Windows Server 2003 14 липня 2015 р. Це позначилося на оновленнях програмного забезпечення та параметрах безпеки. Дізнайтеся, що це означає для вас і яких заходів безпеки необхідно вжити.

УВАГА! Цю статтю переклала програма машинного перекладу Microsoft, а не людина. Корпорація Microsoft пропонує вам як машинні переклади, так і переклади фахівців, щоб Ви мали доступ до всіх статей бази знань рідною мовою. Проте стаття, яку переклав комп’ютер, не завжди бездоганна. Вона може містити лексичні, синтаксичні або граматичні помилки. Так само помиляється іноземець, спілкуючись вашою рідною мовою. Корпорація Microsoft не несе відповідальність за жодні неточності, помилки або шкоду, завдану неправильним перекладом змісту або його використанням з боку користувачів. Крім того, корпорація Microsoft часто оновлює програму машинного перекладу.

Клацніть тут, щоб переглянути цю статтю англійською мовою: 179442
Якщо ви є клієнтом малого бізнесу, знайти додаткові усунення несправностей і навчальних ресурсів в регіоні Підтримка для малого бізнесу сайт.
Підсумки
У цій статті описано настроювання брандмауера для домени та довіру.

Примітка: Не всі порти, перелічені в таблиці тут необхідні у всіх сценаріях. Наприклад, якщо брандмауер відокремлює членів та DCs, не потрібно відкрити порти FRS або DFSR. Також, якщо ви знаєте, що немає клієнтам використовувати LDAP з SSL/TLS, не потрібно відкрити порти 636 і 3269.
Додаткові відомості
Встановити довіру домену або безпеки канал через брандмауер, необхідно відкрити наступні порти. Майте на увазі, що можуть бути хостів функціонування з клієнтом і сервером ролей на обох сторонах брандмауера. Таким чином, порти правила можливо бути дзеркальним.

Windows NT

У цьому середовищі одна сторона довіри є довіра Windows NT 4.0 або довіру створено з використанням імен NetBIOS.
Порти клієнтаПорт сервераСлужба
137/UDP137/UDPім'я NetBIOS
138/UDP138/UDPNetBIOS Netlogon і Перегляд
1024-65535/TCP139/TCPNetBIOS сесії
1024-65535/TCP42/TCPВИГРАЄ реплікації

Windows Server 2003 та Windows 2000 Server

Для доменів змішаного режиму, який використовує контролери домену Windows NT або застарілих клієнтів довіряють відносини між контролерів домену під керуванням Windows Server 2003 і домену під керуванням Windows 2000 Server контролери може вимагати, що всі порти для Windows NT, описаних у попередній таблиці бути відкриті на додаток наступні порти.

Примітка Контролери домену два, як у той же Ліс, або з двох контролерів, як у окремому лісу. Крім того, трасти, у лісі Трасти Windows Server 2003 або пізнішої версії трасти.
Порти клієнтаПорт сервераСлужба
1024-65535/TCP135/TCPRPC Mapper кінцевої точки
1024-65535/TCP1024-65535/TCPRPC для LSA, Сем, Netlogon (*)
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPглобальний каталог LDAP
1024-65535/TCP3269/TCPLDAP GC SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
1024-65535/TCP1024-65535/TCPFRS RPC (*)
NETBIOS порти, як перераховані для Windows NT, також потрібні для Windows 2000 та Windows Server 2003, коли трасти доменів настроюються які підтримують тільки на основі NETBIOS зв'язок "один-до-одного". Прикладами є операційних системний інтегратор на базі Windows NT або сторонніх контролерів домену, що спирається на самбу.

(*) Відомості про те, як визначити сервер RPC портів, які використовуються LSA RPC застосунок-служба такі статті бази знань Microsoft Knowledge Base:

Windows Server 2008 та Windows Server 2008 R2

Windows Server 2008 та Windows Server 2008 R2 збільшилася діапазон портів динамічний клієнт для вихідних підключень. Новий порт за промовчанням початок 49152, а порт за промовчанням кінця 65535. Таким чином, ви повинні Збільшення діапазону порт RPC брандмауерів. Цю зміну було впроваджено для відповідності Інтернет призначено повноваження цифри (IANA) рекомендації. Це відрізняється від змішаному домен, який складається з контролери домену Windows Server 2003, контролерів домену під керуванням Windows 2000 Server або застарілих клієнтів, де за промовчанням порту динамічного діапазону є 1025 5000.

Щоб отримати додаткові відомості про зміну порту динамічного діапазону у Windows Server 2008 та Windows Server 2008 R2 дивіться такі ресурси:
Порти клієнтаПорт сервераСлужба
49152-65535/UDP123/UDPW32Time
49152-65535/TCP135/TCPRPC Mapper кінцевої точки
49152-65535/TCP464/TCP/UDPЗміна пароля Kerberos
49152-65535/TCP49152-65535/TCPRPC для LSA, Сем, Netlogon (*)
49152-65535/TCP/UDP389/TCP/UDPLDAP
49152-65535/TCP636/TCPLDAP SSL
49152-65535/TCP3268/TCPглобальний каталог LDAP
49152-65535/TCP3269/TCPLDAP GC SSL
53, 49152-65535/TCP/UDP53/TCP/UDPDNS
49152-65535/TCP49152-65535/TCPFRS RPC (*)
49152-65535/TCP/UDP88/TCP/UDPKerberos
49152-65535/TCP/UDP445/TCPSMB
49152-65535/TCP49152-65535/TCPDFSR RPC (*)
NETBIOS порти, як перераховані для Windows NT, також потрібні для Windows 2000 і Server 2003, коли трасти доменів настроюються які підтримують тільки на основі NETBIOS зв'язок "один-до-одного". Прикладами є операційних системний інтегратор на базі Windows NT або сторонніх контролерів домену, що спирається на самбу.

(*) Відомості про те, як визначити сервер RPC портів, які використовуються LSA RPC застосунок-служба такі статті бази знань Microsoft Knowledge Base:
Примітка: Зовнішні довіри 123/UDP тільки необхідні, якщо ви вручну налаштовано службу часу Windows для синхронізації з сервером через зовнішній довіри.

служба Active Directory

У Windows 2000 і Windows XP на керування протокол IMAP протокол Інтернету (ICMP) повинно бути дозволено через брандмауер від клієнтів на контролерах домену, щоб клієнт служба Active Directory групової політики може функціонувати належним чином через брандмауер. ICMP використовується для визначення, чи посилання повільне з'єднання або швидкі посилання.

В Windows Server 2008 та пізніших версій мережного розташування обізнаності послуга забезпечує оцінку пропускної здатності, на основі трафіку з інших станцій у мережі. Немає ніякого трафіку, що генерується за оцінку.

Переспрямовувача Windows також використовує ICMP, щоб перевірити, що сервер IP розв'язана службу DNS перед зробив з'єднання, і коли сервер знаходиться за допомогою DFS. Це відноситься і до SYSVOL доступ членів домену.

Якщо ви хочете, щоб звести до мінімуму ICMP-трафіку, можна використовувати такі Зразок правила брандмауера:
<any> ICMP -> DC IP addr = allow

На відміну від шар протокол TCP і UDP до шар протокол, ICMP має номер порту. Це тому, що ICMP безпосередньо у приміщенні IP шару.

За промовчанням Windows Server 2003 та Windows 2000 DNS сервер сервери використовувати тимчасових портів на клієнтський, коли вони запит на змінення інших DNS-серверів. Однак, така поведінка може бути змінена конкретні реєстру. Докладніше перегляньте статтю бази знань Microsoft 260186: SendPort DNS реєстру не працює належним чином

Щоб отримати додаткові відомості про служба Active Directory та конфігурації брандмауера, можна знайти в служба Active Directory в мережах сегментований брандмауериофіційний документ Microsoft.Або, ви можете встановити довірчі через тунель обов'язкового точка-точка Тунельний протокол (PPTP). Це обмежує кількість портів, що брандмауер може відкрити. Для підтримки PPTP наступні порти повинні включений.
Порти клієнтаПорт сервераПротокол
1024-65535/TCP1723/TCPPPTP
Крім того, вам доведеться ввімкнути ПРОТОКОЛ IP 47 (GRE).

Примітка Під Вільний час запит на додавання дозволи на ресурс на довірчого домену, користувачам довіреного домену, є деякі відмінності між Windows 2000 і Windows NT 4.0 поведінки. Якщо комп’ютер-зразок не можна відобразити список користувачів віддаленого домену, розглянути наступні поведінки:
  • Windows NT 4.0 намагається вирішити вручну введені імена за зв'язатися з PDC для віддалених користувачів домену (UDP 138). Якщо це спілкування збій комп'ютера під керуванням Windows NT 4.0 контакти власну PDC, і потім запитує резолюції ім'я.
  • Windows 2000 та Windows Server 2003 також спробуйте зв'язатися віддалений користувач PDC для роздільну здатність більше UDP 138. Однак, вони не покладатися на сценарій виконання своїх власних PDC. Переконайтеся, що маєте всі сервери під керуванням Windows 2000 член і під керуванням Windows Server 2003 рядові сервери, які будуть надання доступу до ресурсів, UDP 138 підключення до віддалених PDC.
Додаткові ресурси
TCP/IP

Попередження. Цю статтю переведено автоматично

Властивості

Ідентифікатор статті: 179442 – останній перегляд: 08/10/2012 17:45:00 – виправлення: 1.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Windows Web Server 2008 R2

  • kbenv kbhowto kbnetwork kbmt KB179442 KbMtuk
Зворотний зв’язок