你目前正处于脱机状态,正在等待 Internet 重新连接

Làm thế nào để cấu hình tường lửa cho tên miền và tín thác

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 179442
Nếu bạn là một khách hàng doanh nghiệp nhỏ, tìm thêm xử lý sự cố và tài nguyên và học tập các Hỗ trợ cho doanh nghiệp nhỏ web site.
Tóm tắt
Bài viết này mô tả làm thế nào để cấu hình tường lửa cho tên miền và tín thác.

Lưu ý: Không phải tất cả các cổng được liệt kê trong các bảng dưới đây được yêu cầu trong tất cả các kịch bản. Ví dụ, nếu các bức tường lửa chia tách các thành viên và DCs, bạn không phải mở cổng FRS hoặc DFSR. Ngoài ra, nếu bạn biết rằng không có khách hàng sử dụng LDAP với SSL/TLS, bạn không phải mở cổng 636 và 3269.
Thông tin thêm
Để thiết lập một sự tin tưởng tên miền hay một kênh bảo mật qua tường lửa, cổng sau đây phải được mở. Lưu ý rằng có thể có máy chủ hoạt động với vai trò khách hàng và máy chủ trên cả hai mặt của các bức tường lửa. Vì vậy, quy tắc cổng có thể được nhân đôi.

Windows NT

Trong môi trường này, một bên của sự tin tưởng là một niềm tin Windows NT 4.0, hoặc sự tin tưởng được tạo ra bằng cách sử dụng tên NetBIOS.
Khách hàng cho từng cổng thiếtCổng máy chủbản ghi dịch vụ
137/UDP137/UDPTên NetBIOS
138/UDP138/UDPNetBIOS Netlogon và Duyệt web
1024 – 65535/TCP139/TCPNetBIOS Session
1024 – 65535/TCP42/TCPSao chép thắng

Windows Server 2003 và Windows 2000 Server

Đối với một tên miền chế độ hỗn hợp sử dụng hoặc bộ kiểm soát miền Windows NT hoặc khách hàng di sản, tin tưởng mối quan hệ giữa bộ kiểm soát miền Windows Server 2003 dựa trên và tên miền Windows 2000 Server dựa trên bộ điều khiển có thể yêu cầu tất cả các cổng dành cho Windows NT được liệt kê trong bảng trước được mở ra ngoài các cổng sau đây.

Lưu ý Các bộ điều khiển tên miền hai là cả hai trong cùng một rừng, hoặc bộ điều khiển tên miền hai là cả hai trong một khu rừng tách biệt. Ngoài ra, các tín thác trong rừng là Windows Server 2003 tín thác hoặc tín thác Phiên bản sau này.
Khách hàng cho từng cổng thiếtCổng máy chủbản ghi dịch vụ
1024 – 65535/TCP135/TCPRPC Endpoint Mapper
1024 – 65535/TCP1024 – 65535/TCPRPC cho LSA, SAM, Netlogon (*)
1024 – 65535/TCP/UDP389/TCP/UDPLDAP
1024 – 65535/TCP636/TCPLDAP SSL
1024 – 65535/TCP3268/TCPLDAP GC
1024 – 65535/TCP3269/TCPLDAP GC SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024 – 65535/TCP/UDP88/TCP/UDPKerberos
1024 – 65535/TCP445/TCPSMB
1024 – 65535/TCP1024 – 65535/TCPFRS RPC (*)
NETBIOS cảng như được liệt kê dành cho Windows NT cũng được yêu cầu cho Windows 2000 và Windows Server 2003 khi tín đến lĩnh vực được lập cấu hình hỗ trợ chỉ dựa trên NETBIOS giao tiếp. Ví dụ là hệ điều hành Windows NT dựa trên hoặc bộ bộ kiểm soát miền bên thứ ba đó đều dựa trên Samba.

(*) Thông tin về làm thế nào để xác định RPC máy chủ cổng được sử dụng bởi các bản ghi dịch vụ LSA RPC, xem các bài viết Cơ sở tri thức Microsoft sau đây:

Windows Server 2008 và Windows Server 2008 R2

Windows Server 2008 và Windows Server 2008 R2 đã tăng lên dải cổng khách hàng năng động cho kết nối gửi đi. Cổng mặc định Bắt đầu mới là 49152, và cổng kết thúc mặc định là 65535. Vì vậy, bạn phải tăng phạm vi cảng RPC trong tường lửa của bạn. Sự thay đổi này đã được thực hiện để thực hiện theo đề nghị của Internet gán số thẩm quyền (IANA). Điều này khác với một chế độ trộn miền đó bao gồm bộ kiểm soát miền Windows Server 2003, bộ điều khiển tên miền dựa trên Windows 2000 Server, hoặc khách hàng di sản, nơi trong phạm vi năng động cổng mặc định là 1025 qua 5000.

Để biết thêm chi tiết về sự thay đổi phạm vi năng động cổng trong Windows Server 2008 và Windows Server 2008 R2, xem các nguồn lực sau đây:
Khách hàng cho từng cổng thiếtCổng máy chủbản ghi dịch vụ
49152-65535/UDP123/UDPW32Time
49152-65535/TCP135/TCPRPC Endpoint Mapper
49152-65535/TCP464/TCP/UDPThay đổi mật khẩu Kerberos
49152-65535/TCP49152-65535/TCPRPC cho LSA, SAM, Netlogon (*)
49152-65535/TCP/UDP389/TCP/UDPLDAP
49152-65535/TCP636/TCPLDAP SSL
49152-65535/TCP3268/TCPLDAP GC
49152-65535/TCP3269/TCPLDAP GC SSL
53, 49152-65535/TCP/UDP53/TCP/UDPDNS
49152-65535/TCP49152-65535/TCPFRS RPC (*)
49152-65535/TCP/UDP88/TCP/UDPKerberos
49152-65535/TCP/UDP445/TCPSMB
49152-65535/TCP49152-65535/TCPDFSR RPC (*)
NETBIOS cảng như được liệt kê dành cho Windows NT cũng được yêu cầu cho Windows 2000 và Server 2003 khi tín đến lĩnh vực được lập cấu hình hỗ trợ chỉ dựa trên NETBIOS giao tiếp. Ví dụ là hệ điều hành Windows NT dựa trên hoặc bộ bộ kiểm soát miền bên thứ ba đó đều dựa trên Samba.

(*) Thông tin về làm thế nào để xác định RPC máy chủ cổng được sử dụng bởi các bản ghi dịch vụ LSA RPC, xem các bài viết Cơ sở tri thức Microsoft sau đây:
Lưu ý: 123/UDP-tin tưởng bên ngoài chỉ là cần thiết nếu bạn có bằng tay cấu hình bản ghi dịch vụ thời gian Windows để đồng bộ với máy phục vụ trên sự tin tưởng bên ngoài.

Hoạt động mục tin thư thoại

Trong Windows 2000 và Windows XP, giao thức thông điệp điều khiển Internet (ICMP) phải được phép thông qua các bức tường lửa từ các khách hàng các bộ điều khiển tên miền vì vậy mà khách hàng hoạt động mục tin thư thoại chính sách nhóm có thể hoạt động chính xác thông qua tường lửa. ICMP được sử dụng để xác định xem các liên kết là một liên kết chậm hoặc một liên kết nhanh.

Trong Windows Server 2008 và các phiên bản sau, bản ghi dịch vụ nâng cao nhận thức vị trí mạng cung cấp băng thông ước tính dựa trên lưu lượng truy cập với trạm khác trên mạng. Không có không có lưu lượng truy cập tạo ra cho ước tính.

Windows Redirector cũng sử dụng ICMP để xác minh rằng một IP máy chủ được giải quyết bởi các bản ghi dịch vụ DNS trước khi kết nối được thực hiện, và khi một máy chủ tọa lạc bằng cách sử dụng DFS. Điều này áp dụng cho SYSVOL truy cập bởi các thành viên tên miền.

Nếu bạn muốn giảm thiểu lưu lượng truy cập ICMP, bạn có thể sử dụng sau đây mẫu quy tắc tường lửa:
<any> ICMP -> DC IP addr = allow

Không giống như các lớp giao thức Giao thức Kiểm soát Truyền và UDP giao thức lớp, ICMP không có số hiệu cổng. Điều này là do ICMP trực tiếp được tổ chức bởi các lớp IP.

theo mặc định, Windows Server 2003 và Windows 2000 Server DNS máy chủ sử dụng cổng phía khách hàng không lâu, khi họ truy vấn các máy chủ DNS khác. Tuy nhiên, hành vi này có thể được thay đổi bởi một thiết lập cụ thể kiểm nhập. Để biết thêm thông tin, hãy xem bài viết Cơ sở tri thức Microsoft 260186: Khóa sổ kiểm nhập SendPort DNS không làm việc như mong đợi

Để biết thêm chi tiết về Thư mục Họat động và cấu hình tường lửa, xem các mục tin thư thoại hoạt động trong mạng xạ bởi bức tường lửaMicrosoft trắng giấy.Hoặc, bạn có thể thiết lập một sự tin tưởng qua đường hầm bắt buộc Tunneling Point-to-Point Protocol (PPTP). Điều này giới hạn số lượng cổng tường lửa có để mở. Cho PPTP, các cổng sau đây phải được bật.
Cổng khách hàngCổng máy chủGiao thức
1024 – 65535/TCP1723/TCPPPTP
Ngoài ra, bạn sẽ phải kích hoạt tính năng IP giao thức 47 (GRE).

Lưu ý Khi bạn thêm quyền truy cập đến một nguồn tài nguyên trên một tên miền tin tưởng của người dùng trong một tên miền đáng tin cậy, có một số khác biệt giữa Windows 2000 và Windows NT 4.0 hành vi. Nếu máy tính không thể hiển thị một danh sách người dùng tên miền từ xa, hãy xem xét hành vi sau đây:
  • Windows NT 4.0 cố gắng xử lý tự, gõ tên của liên hệ với PDC cho tên miền của người dùng từ xa (UDP 138). Nếu mà thất bại giao tiếp, liên hệ với một máy tính Windows NT 4.0 dựa trên PDC riêng của mình, và sau đó yêu cầu độ phân giải tên.
  • Windows 2000 và Windows Server 2003 cũng cố gắng liên hệ với người dùng từ xa PDC để giải quyết trên UDP 138. Tuy nhiên, họ không dựa vào bằng cách sử dụng PDC riêng của họ. Hãy chắc chắn rằng tất cả các máy chủ dựa trên Windows 2000 thành viên và các máy chủ Windows Server 2003 dựa trên thành viên sẽ cấp quyền truy cập vào tài nguyên có UDP 138 Kết nối từ xa PDC.
Tài nguyên bổ sung
tcpip

Cảnh báo: Bài viết này được dịch tự động

属性

文章 ID:179442 - 上次审阅时间:08/10/2012 17:46:00 - 修订版本: 6.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Microsoft Windows Server Foundation 2008 Windows Server Foundation, Windows Web Server 2008 R2

  • kbenv kbhowto kbnetwork kbmt KB179442 KbMtvi
反馈