域控制器防火墙
上一篇 /
下一篇 2008-09-03 14:36:55
/ 个人分类:FAQ
域控制器防火墙。我的Windows server 2003域控制器想启用windows的防火墙,可否照如何为域控制器配置 Windows Server2003SP 防火墙中的方法去做.
a Windows 防火墙保护所有网络连接 - 启用:
b Windows 防火墙 (启用端口 135 和 445 其中都进行域控制器需要) 允许远程管理例外 - 启用:
b Windows 防火墙: 允许文件和打印机共享例外: - 启用
c Windows 防火墙: 定义端口例外的下面, 端口例外列表中指示将接受来自任何 IP 地址的传入请求 - 启用: (*。 其他值是可能的详细设置在组策略编辑器选项卡上看到文字。 localsubnet for example, 可能适用于某些情况)。 下面字符串是什么需要的端口例外列表中将完全。您看到的文章来自活动目录seohttp://gnaw0725.blogbus.com/c1404552/
123:udp: * 启用: NTP:
3268:tcp: * 启用: LDAP 全局编录:
389:tcp: * 启用: LDAP:
389:udp: * 启用: LDAP:
53:tcp: * 启用: DNS:
53:udp: * 启用: DNS:
53211:tcp: *): 便笺启用 AD 复制: 使用上述 1.b.i 中选定端口号 (:
53212:tcp: *): 便笺启用 FileReplicationService: 使用上述 1.b.ii 中选定端口号 (:
88:tcp: * 启用: Kerberos:
88:udp: * 启用: Kerberos:
还有我的一台域成员服务器是exchang 2003其上还做了ca,我的域控上是否后还要启用以下端口,
636/TCP 3269/TCP 443/TCP 您看到的文章来自活动目录seohttp://gnaw0725.blogbus.com/c1404552/
回答:是的,这篇文章正是在域控上开启Windows防火墙您所需要做的。
1. 在域控上添加下面的注册表键值来配置AD 和 FRS 以使用特定端口 (例如 53211 和 53212)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Registry value: TCP/IP Port
Value type: REG_DWORD
Value data: available port 例如53211
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters
Registry value: RPC TCP/IP Port Assignment
Value type: REG_DWORD
Value data: available port 例如53212
请参考下面两篇文章
Restricting Active Directory replication traffic and client RPC traffic to a specific port
http://support.microsoft.com/?id=224196
How to restrict FRS replication traffic to a specific static port
http://support.microsoft.com/kb/319553/
2. 在域控上配置Windows Firewall您看到的文章来自活动目录seohttp://gnaw0725.blogbus.com/c1404552/
步骤请参考文章KB555381。 由于机器翻译难免不准确,请参照原文来做:
How to configure Windows Server 2003 SP1 firewall for a Domain Controller
http://support.microsoft.com/kb/555381
关于Exchange 服务器需要开启的端口,请看这篇文章:
Windows 服务器系统的服务概述和网络端口要求
http://support.microsoft.com/kb/832017/zh-cn
参照“Exchange Server”这一段
这些设置是通过组策略编辑的。 请编辑Default Domain Controller Policy, 找到下面的结点:
Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/ Domain Profile
Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/ Standard Profile
然后启用下面这些设置:您看到的文章来自活动目录seohttp://gnaw0725.blogbus.com/c1404552/
a. Windows Firewall: Protect all network connections
b. Windows Firewall: All remote administration exceptions
c. Windows Firewall: Allow file and printer sharing exception
d. Windows Firewall: Define port exceptions
然后添加下面的exceptions: (保证格式完全一致)
123:udp:*:enabled:NTP
3268:tcp:*:enabled:Global Catalog LDAP
389:tcp:*:enabled:LDAP
389:udp:*:enabled:LDAP
53:tcp:*:enabled:DNS
53:udp:*:enabled:DNS
53211:tcp:*:enabled:AD Replication
53212:tcp:*:enabled:File Replication Service
88:tcp:*:enabled:Kerberos
88:udp:*:enabled:Kerberos
相关阅读:
- 华狼IE防火墙 看H片还中马那就没道理了 (mir3000, 2008-8-29)
- 流氓和木马结合 强行关闭你的防火墙 (qqmuma, 2008-8-30)
- 网管必读--解读防火墙记录 (yckzmm, 2008-8-31)
- 一夫当关!谈垃圾邮件防火墙产品 (蚂蚁当家, 2008-9-01)
- 国内外企业级反垃圾邮件防火墙选购指南(1) (蚂蚁当家, 2008-9-01)
- 国内外企业级反垃圾邮件防火墙选购指南(2) (蚂蚁当家, 2008-9-01)
- 国内外企业级反垃圾邮件防火墙选购指南(3) (蚂蚁当家, 2008-9-01)
- 垃圾邮件防火墙产品介绍 (蚂蚁当家, 2008-9-01)
- 强大的Windows Server 2008防火墙 (业界动态-win200, 2008-9-01)
- 只读域控制器在Server Core中的部署 (ServerCore-win2, 2008-9-03)
导入论坛
引用链接
收藏
分享给好友
推荐到圈子
管理
举报
TAG:
防火墙
控制器
