如何为域和信任关系配置防火墙
2007-05-04 11:13
295 查看
要通过防火墙建立域信任关系或安全通道,必须打开下列端口。请注意,在防火墙的两端可能有同时充当客户端和服务器角色的主机。因此,可能需要镜像端口规则。
要使 Active Directory 通过防火墙正常工作,必须允许 Internet 控制消息协议 (ICMP) 通过防火墙从客户端到达域控制器,以便客户端可以接收组策略信息。ICMP 用于确定链接是慢速链接还是快速链接。ICMP 是 Active Directory 用于组策略检测和最大传送单位 (MTU) 检测的合法协议。
如果要最大限度地减小 ICMP 流量,可以使用下面的示例防火墙规则:
与 TCP 协议层和 UDP 协议层不同,ICMP 没有端口号。这是因为 ICMP 直接由 IP 层主持。
注意:对于超出本表列出的范围的 RPC 通信,有特定的要求。 有关如何为防火墙配置 RPC 通信的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
154596 (http://support.microsoft.com/kb/154596/) 如何配置与防火墙一起使用的 RPC 动态端口分配 默认情况下,当 Windows Server 2003 服务器和 Windows 2000 Server DNS 服务器查询其他 DNS 服务器时,它们使用临时客户端端口。不过,可以使用特定的注册表设置来修改这一行为,下面的 Microsoft 知识库文章中描述了该注册表设置:
260186 (http://support.microsoft.com/kb/260186/) SendPort DNS 注册表项没有按预期运行
有关 Active Directory 和防火墙配置的更多信息,请参阅下面的 Microsoft 白皮书:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en)或者,您也可以通过点对点隧道协议 (PPTP) 强制隧道建立信任关系,这将限制防火墙需要打开的端口数量。对于 PPTP,必须启用下列端口:
此外,还需要启用 IP PROTOCOL 47 (GRE)。
注意:当您为受信任域中的用户添加对信任域上的资源的权限时,Windows 2000 和 Windows NT 4.0 的行为之间有一些差异。如果计算机无法显示远程域的用户列表:
Windows NT
客户端端口 | 服务器端口 | 服务 |
---|---|---|
1024-65535/TCP | 135/TCP | RPC * |
137/UDP | 137/UDP | NetBIOS 名称 |
138/UDP | 138/UDP | NetBIOS Netlogon 和浏览 |
1024-65535/TCP | 139/TCP | NetBIOS 会话 |
1024-65535/TCP | 42/TCP | WINS 复制 |
Windows Server 2003 和 Windows 2000 Server
对于混合模式域(具有 Windows NT 域控制器或旧客户端,或者在位于不同林中的两个基于 Windows Server 2003 或基于 Windows 2000 Server 的域控制器之间存在信任关系),除了下列端口之外,可能还需要为 Windows NT 打开上述所有端口:客户端端口 | 服务器端口 | 服务 |
---|---|---|
1024-65535/TCP | 135/TCP | RPC * |
1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
1024-65535/TCP | 636/TCP | LDAP SSL |
1024-65535/TCP | 3268/TCP | LDAP GC |
1024-65535/TCP | 3269/TCP | LDAP GC SSL |
53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
1024-65535/TCP | 445/TCP | SMB |
如果要最大限度地减小 ICMP 流量,可以使用下面的示例防火墙规则:
<any> ICMP -> DC IP addr = allow
与 TCP 协议层和 UDP 协议层不同,ICMP 没有端口号。这是因为 ICMP 直接由 IP 层主持。
注意:对于超出本表列出的范围的 RPC 通信,有特定的要求。 有关如何为防火墙配置 RPC 通信的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
154596 (http://support.microsoft.com/kb/154596/) 如何配置与防火墙一起使用的 RPC 动态端口分配 默认情况下,当 Windows Server 2003 服务器和 Windows 2000 Server DNS 服务器查询其他 DNS 服务器时,它们使用临时客户端端口。不过,可以使用特定的注册表设置来修改这一行为,下面的 Microsoft 知识库文章中描述了该注册表设置:
260186 (http://support.microsoft.com/kb/260186/) SendPort DNS 注册表项没有按预期运行
有关 Active Directory 和防火墙配置的更多信息,请参阅下面的 Microsoft 白皮书:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en)或者,您也可以通过点对点隧道协议 (PPTP) 强制隧道建立信任关系,这将限制防火墙需要打开的端口数量。对于 PPTP,必须启用下列端口:
客户端端口 | 服务器端口 | 协议 |
---|---|---|
1024-65535/TCP | 1723/TCP | PPTP |
注意:当您为受信任域中的用户添加对信任域上的资源的权限时,Windows 2000 和 Windows NT 4.0 的行为之间有一些差异。如果计算机无法显示远程域的用户列表:
• | Windows NT 4.0 会尝试联系远程用户的域的 PDC 来解析手动键入的名称 (UDP 138)。如果该通信失败,基于 Windows NT 4.0 的计算机会联系它自己的 PDC,然后请求对名称进行解析。 |
• | Windows 2000 和 Windows Server 2003 也会尝试联系远程用户的 PDC 以通过 UDP 138 进行解析,但不会回来使用它们自己的 PDC。请确保将被授权访问资源的所有基于 Windows 2000 的成员服务器和基于 Windows Server 2003 的成员服务器都具有到远程 PDC 的 UDP 138 连接。 |
相关文章推荐
- 如何应用 AutoIt 修改本机的防火墙配置?(开启,关闭防火墙,添加程序信任到防火墙)
- 如何在Win2000上安装配置防火墙
- CentOS防火墙配置方法-详细解读如何配置CentOS防火墙
- linux如何配置双机SSH信任然后双向免密码登陆
- 如何为被动模式 FTP 服务器配置 Windows 防火墙
- linux下的ssh——如何建立linux下的机器信任关系
- 如何配置Windows 2008高级防火墙
- 如何对CentOS防火墙进行配置
- 如何建立域信任关系
- 如何在本地配置域名和ip对应关系
- AIX主机信任关系配置
- shell登录时的环境是如何配置的呢?—— bashrc、profile、bash.bashrc关系
- 配置多台虚拟机间的ssh信任关系
- Win7系统自带防火墙介绍以及如何与多个防火墙政策配置的问题
- linux下如何禁用防火墙? linux 防火墙配置命令 iptables
- Windows Server 2008防火墙如何配置
- 如何删除子域信任关系?
- 在jeecg中如何配置多对一和多对多的关系
- [转]SharePoint 2007 and 2010 Farm ports – configuring firewall(如何配置服务器场中的防火墙)