您目前已離線,請等候您的網際網路重新連線

如何設定網域和信任的防火牆

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:179442
結論
本文將告訴您如何設定網域和信任的防火牆。

附註:並非所有的表格中所列的連接埠必須在所有案例中。比方說,如果防火牆隔開成員和網域控制站,您不必開啟 FRS 或 DFSR 的連接埠。此外,如果您知道沒有用戶端使用 LDAP,使用 SSL/TLS,您不必開啟連接埠 636 和 3269。
其他相關資訊
若要建立跨越防火牆的網域信任或安全性通道,必須先開啟下列連接埠。請注意可能會有防火牆的兩端的用戶端和伺服器扮演角色的主機。因此,連接埠規則可能要進行鏡像處理。

Windows NT

在此環境中,一方的信任是 Windows NT 4.0 信任,或信任已經建立使用 NetBIOS 名稱。
用戶端的連接埠伺服器連接埠服務
137/UDP137/UDPNetBIOS 名稱
138/UDP138/UDPNetBIOS Netlogon 和瀏覽
1024-65535/TCP139/TCPNetBIOS 的工作階段
1024-65535/TCP42/TCPWINS 複寫

Windows Server 2003 」 和 「 Windows 2000 Server

使用 Windows NT 的網域控制站或傳統用戶端為混合模式網域,信任 Windows Server 2003 網域控制站和 Windows 2000 Server 為基礎的網域控制站可能會需要除了下列的連接埠開啟的所有 Windows NT 的前一個表格中所列的連接埠之間的關聯性。

附註這兩個網域控制站都在同一個樹系中或兩個網域控制站都會在另一個樹系。此外,在樹系信任是Windows Server 2003 信任或較新版本的信任。
用戶端的連接埠伺服器連接埠服務
1024-65535/TCP135/TCPRPC 端點對應程式
1024-65535/TCP1024-65535/TCPRPC 的 LSA,SAM,Netlogon (1)
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP GC SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
1024-65535/TCP1024-65535/TCPFRS RPC (1)
NETBIOS 連接埠所列的 Windows NT 也都需要 Windows 2000 及 Windows Server 2003,當信任網域的設定支援僅 NETBIOS 為基礎的通訊。範例是以 Windows NT 為基礎的作業系統或 Samba 為基礎的協力廠商網域控制站。

(*)如需有關如何定義由 LSA RPC 服務的 RPC 伺服器連接埠的資訊,請參閱下列微軟知識庫文件:

Windows Server 2008 」 和 「 Windows Server 2008 R2

Windows Server 2008 及 Windows Server 2008 R2 增加動態用戶端連接埠範圍為輸出連線。新的預設起始連接埠為 49152,並預設的結束連接埠是 65535。因此,您必須在您的防火牆來增加的 RPC 連接埠範圍。這項變更的目的是為了遵守網際網路指派數字授權單位 (IANA) 建議事項。這不同於 Windows Server 2003 網域控制站、 Windows 2000 Server 為基礎的網域控制站或傳統的用戶端所組成,其中預設動態連接埠範圍是介於 1025 到 5000 混合模式網域。

如需有關 Windows Server 2008 及 Windows Server 2008 R2 的動態連接埠範圍變更的詳細資訊,請參閱下列資源:
用戶端的連接埠伺服器連接埠服務
49152-65535/UDP123/UDPW32Time
49152-65535/TCP135/TCPRPC 端點對應程式
49152-65535/TCP464/TCP/UDPKerberos 密碼變更
49152-65535/TCP49152-65535/TCPRPC 的 LSA,SAM,Netlogon (1)
49152-65535/TCP/UDP389/TCP/UDPLDAP
49152-65535/TCP636/TCPLDAP SSL
49152-65535/TCP3268/TCPLDAP GC
49152-65535/TCP3269/TCPLDAP GC SSL
53、 49152-65535/TCP/UDP53/TCP/UDPDNS
49152-65535/TCP49152-65535/TCPFRS RPC (1)
49152-65535/TCP/UDP88/TCP/UDPKerberos
49152-65535/TCP/UDP445/TCPSMB
49152-65535/TCP49152-65535/TCPDFSR RPC (1)
當信任網域的設定支援僅 NETBIOS 為基礎的通訊,還有需要 Windows 2000 及 2003 伺服器的 NETBIOS 連接埠所列的 Windows NT。範例是以 Windows NT 為基礎的作業系統或 Samba 為基礎的協力廠商網域控制站。

(*)如需有關如何定義由 LSA RPC 服務的 RPC 伺服器連接埠的資訊,請參閱下列微軟知識庫文件:
附註:如果您以手動方式已設定與伺服器同步的 [Windows Time] 服務,在外部信任,才需要使用外部信任 123/UDP。

使用中的目錄

在 Windows 2000 和 Windows XP 中,網際網路控制訊息通訊協定 (ICMP) 必須允許通過防火牆從用戶端的網域控制站,以便穿越防火牆 Active Directory 群組原則用戶端可以正確地運作。ICMP 用來判斷是否該連結為慢速連結還是快速連結。

在 Windows Server 2008 及更新版本中,網路位置感知服務會提供與網路上的其他工作站根據流量的頻寬估計值。會產生估計值沒有資料流。

Windows 重新導向器也會使用 ICMP 來確認伺服器的 IP 解決 DNS 服務連線之前,而且當伺服器位於使用 DFS。這適用於 SYSVOL 延緩的存取。

如果您想要降低 ICMP 流量,您可以使用下列防火牆規則範例:
<any> ICMP -> DC IP addr = allow

不像 TCP 通訊協定層級和 UDP通訊協定層級,ICMP 並沒有連接埠號碼。這是因為 ICMP直接由 IP 層所裝載。

預設情況下,Windows Server 2003 和 Windows 2000 伺服器的 DNS 伺服器會使用暫時的用戶端連接埠,當他們所查詢其他 DNS 伺服器。不過,這種行為可能會變更的特定登錄設定。如需詳細資訊,請參閱 Microsoft 知識庫文件 260186: 傳送埠的 DNS 登錄機碼未如預期般運作

如需有關 Active Directory 及防火牆設定的詳細資訊,請參閱 使用中的目錄,在網路防火牆區隔Microsoft 白皮書 (英文)。或者,您可以建立透過點對點通道通訊協定 (PPTP) 的強迫通道信任。這會限制的防火牆有開啟的連接埠的數目。針對 pptp 一樣,則必須啟用下列連接埠。
用戶端連接埠伺服器連接埠通訊協定
1024-65535/TCP1723/TCPPPTP
此外,您可能需要啟用 IP 通訊協定 47」 (GRE)。

附註當您新增至信任的網域中的使用者的信任網域上的資源的權限時,但也有一些 Windows 2000 和 Windows NT 4.0 行為之間的差異。如果電腦無法顯示遠端網域的使用者清單,請考慮下列行為:
  • Windows NT 4.0 嘗試藉由手動輸入的名稱解析遠端使用者的網域 (UDP 138) 的話,連絡 PDC。如果這樣還沒有通訊失敗,Windows NT 4.0 的電腦會連絡其本身的 PDC,並然後會要求解析名稱。
  • Windows 2000 及 Windows Server 2003 也嘗試透過 UDP 138 尋求解決方法的遠端使用者的 PDC。不過,它們並不依賴使用他們自己的 PDC。請確定所有的 Windows 2000 為基礎的成員伺服器和授與存取資源的 Windows Server 2003 成員伺服器都有 UDP 138 連線到遠端的 PDC。
其他資源
tcpip

Warning: This article has been translated automatically

內容

文章識別碼:179442 - 最後檢閱時間:07/16/2013 07:34:00 - 修訂: 4.1

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Windows Web Server 2008 R2

  • kbenv kbhowto kbnetwork kbmt KB179442 KbMtzh
意見反應