locked
域控制器防火墙配置问题 RRS feed

  • 问题

  • 我搭建了一个活动目录环境,三台机器,分别是主域控制器,辅助域控制器,防火墙(ISA Server).

    问题是主域控制器与辅助域控制器自带防火墙会影响域控制器之间数据的传输.

    防火墙已开放的端口有

    TCP: 53   ,   445   ,  88    ,  636  ,  464   ,  389   ,  4500  ,   139    ,135   ,  137   ,138   ,  3268  ,3269   ,  42   ,1512

    UDP: 53  ,445  ,88 ,  636 , 464  ,389  , 4500  ,139,  135  ,137, 138  ,3268  ,3269  ,42  ,1512 

     

    通过日志文件,发现还有1026端口等一些1024以上的端口.

    我知道域控制器之间通过RPC 进行复制数据,RPC动态分配1024~65535之间的端口,我不想把这些端口开放,请问能不能有个 比较好的解决方案,windows内置防火墙该如何设置?

     

         望高手赐教!

        联系方式:tyzhangruquan@yahoo.com.cn

    2008年1月3日 11:04

答案

  •  

    如果你使用的2003sp1或以上,为什么不使用系统自带的安全优化向导来强化安全呢?
    2008年1月4日 8:11

全部回复

  •  

    如果你使用的2003sp1或以上,为什么不使用系统自带的安全优化向导来强化安全呢?
    2008年1月4日 8:11
  •  

    一般建议在域控制器上安装防火墙。根据网络拓扑结构,域控放在内网中相对安全的区域,为了安全起见,在上面尽量少跑一些第三方的软件,最多装个杀毒软件而已。系统自带的防火墙也不能用,这个问题的解决办法是希望微软在2008中的winodws防火墙中加入AD的发布。
    2008年1月7日 22:34
  • 请问,如果我用第三方的防火墙,该如何配置解决域控制器间信息复制的问题。比如说,华为的产品,思科的产品。

    2008年1月8日 1:21