域控制器与防火墙

最新推荐文章于 2024-05-26 14:47:55 发布

转载最新推荐文章于 2024-05-26 14:47:55 发布 · 1.3k 阅读

文章标签：

域控制器防火墙。我的Windows server 2003 域控制器想启用windows的防火墙,可否照如何为域控制器配置 Windows Server2003SP 防火墙中的方法去做.
    a Windows 防火墙保护所有网络连接 - 启用：
    b Windows 防火墙（启用端口 135 和 445 其中都进行域控制器需要）允许远程管理例外 - 启用：
    b Windows 防火墙: 允许文件和打印机共享例外： - 启用
    c Windows 防火墙: 定义端口例外的下面, 端口例外列表中指示将接受来自任何 IP 地址的传入请求 - 启用： (*。其他值是可能的详细设置在组策略编辑器选项卡上看到文字。 localsubnet for example, 可能适用于某些情况）。下面字符串是什么需要的端口例外列表中将完全。您看到的文章来自活动目录 seo http://gnaw0725.blogbus.com/c1404552/

         123:udp: * 启用： NTP：
         3268:tcp: * 启用： LDAP 全局编录：
         389:tcp: * 启用： LDAP：
         389:udp: * 启用： LDAP：
         53:tcp: * 启用： DNS：
         53:udp: * 启用： DNS：
         53211:tcp： *)：便笺启用 AD 复制：使用上述 1.b.i 中选定端口号（：
         53212:tcp： *)：便笺启用 FileReplicationService：使用上述 1.b.ii 中选定端口号（：
         88:tcp: * 启用： Kerberos：
         88:udp: * 启用： Kerberos：
还有我的一台域成员服务器是exchang 2003其上还做了ca,我的域控上是否后还要启用以下端口,
636/TCP 3269/TCP 443/TCP 您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

回答：是的，这篇文章正是在域控上开启Windows防火墙您所需要做的。

1. 在域控上添加下面的注册表键值来配置AD 和 FRS 以使用特定端口（例如 53211 和 53212）

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NTDS/Parameters
Registry value: TCP/IP Port
Value type: REG_DWORD
Value data: available port 例如53211

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NTFRS/Parameters
Registry value: RPC TCP/IP Port Assignment
Value type: REG_DWORD
Value data: available port 例如53212

请参考下面两篇文章

Restricting Active Directory replication traffic and client RPC traffic to a specific port
http://support.microsoft.com/?id=224196

How to restrict FRS replication traffic to a specific static port
http://support.microsoft.com/kb/319553/

2. 在域控上配置Windows Firewall您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

步骤请参考文章KB555381。由于机器翻译难免不准确，请参照原文来做：

How to configure Windows Server 2003 SP1 firewall for a Domain Controller
http://support.microsoft.com/kb/555381

关于Exchange 服务器需要开启的端口，请看这篇文章：

Windows 服务器系统的服务概述和网络端口要求
http://support.microsoft.com/kb/832017/zh-cn

参照“Exchange Server”这一段

这些设置是通过组策略编辑的。请编辑Default Domain Controller Policy，找到下面的结点：

Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/ Domain Profile
Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/ Standard Profile

然后启用下面这些设置：您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

a. Windows Firewall: Protect all network connections
b. Windows Firewall: All remote administration exceptions
c. Windows Firewall: Allow file and printer sharing exception
d. Windows Firewall: Define port exceptions

然后添加下面的exceptions: (保证格式完全一致)

         123:udp:*:enabled:NTP
         3268:tcp:*:enabled:Global Catalog LDAP
         389:tcp:*:enabled:LDAP
         389:udp:*:enabled:LDAP
         53:tcp:*:enabled:DNS
         53:udp:*:enabled:DNS
         53211:tcp:*:enabled:AD Replication
         53212:tcp:*:enabled:File Replication Service
         88:tcp:*:enabled:Kerberos
         88:udp:*:enabled:Kerberos

马宁微软全球技术支持中心