|
|
|||||||
| 論壇說明 |
|
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
 |
|
|
主題工具 | 顯示模式 |
2004-09-15, 03:04 PM
|
#1 |
|
註冊會員
|
防火牆設定
在設定 Microsoft Active Directory (目錄服務)與網際網路伺服器中間的防火牆時,發現微軟有許多的服務是會動態使用不一定的 TCP ports
Randomly allocated high TCP ports (http://support.microsoft.com/?id=832017) 請問各位有經驗設定嗎? 謝謝 |
|
送花文章: 6,
|
|
2004-09-15, 06:12 PM
|
#2 (permalink) | |
|
管理員
 
|
引用:
那你只好針對他的範圍做開放囉..除非可以設定它固定使用某port |
|
__________________ 我是史版A大,錢的數量決定電腦的力量  我是給女孩修電腦長大的,經驗豐富技術過硬,就沒有我修不好的電腦 
|
||
|
|
送花文章: 79393,
|
|
2004-09-21, 11:11 PM
|
#5 (permalink) |
|
註冊會員
|
http://support.microsoft.com/?kbid=154596
HOWTO:設定 RPC 動態連接埠配置以使用防火牆 適用於 重要:本文包含有關修改登錄的相關資訊。建議您在編輯登錄前先將其備份,並瞭解在發生問題時如何還原登錄。如需有關如何備份、還原和編輯登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件: 256986 Microsoft Windows 登錄說明 結論 遠端系統管理應用程式 (像是 Dynamic Host Configuration Protocol (DHCP) 管理員、Windows Internet Name Service (WINS) 管理員,以此類推) 會使用遠端程序呼叫 (RPC,Remote Procedure Call) 動態連接埠配置。RPC 動態連接埠配置將指示 RPC 程式使用大於 1024 的特定隨機連接埠。 使用防火牆的客戶可能想要控制 RPC 所使用的連接埠,以便設定防火牆路由器只轉寄這些「傳輸控制通訊協定」(TCP,Transmission Control Protocol) 連接埠。 下列登錄項目可以套用至 Windows NT 4.0 和更新的版本。但並不適用於舊版的 Windows NT。雖然您可以設定用戶端用來與伺服器進行通訊的連接埠,但是用戶端必須能夠透過實際的 IP 位址連接至伺服器。您無法透過處理位址轉譯的防火牆 (例如,用戶端連線至虛擬位址 198.252.145.1,而防火牆會透通性地對應至伺服器的實際位址,像是 192.100.81.101) 使用 DCOM (分散式元件物件模式 )。這是因為 DCOM 會儲存介面封送處理封包中未經處理的 IP 位址,而如果用戶端無法連線至封包中指定的位址時,便無法正常運作。 如需詳細資訊,請參閱下列 Microsoft 白皮書: 搭配防火牆使用 DCOM 其他相關資訊 下列討論的值 (和網際網路機碼) 並不會出現在登錄中;您必須使用「登錄編輯器」手動加入。同時請注意,必須使用 Regedt32.exe 取代 Regedit.exe 來新增 REG_MULTI_SZ 值。 警告:不當使用「登錄編輯程式」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 並不保證可以解決您不當使用「登錄編輯程式」所導致的問題。請自行承擔使用「登錄編輯程式」的風險。 您可以使用「登錄編輯器」修改下列 RPC 的參數。下列討論的 RPC 連接埠機碼值都位於登錄的下列機碼中: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\ 機碼資料類型 連接埠 REG_MULTI_SZ 指定一組 IP 連接埠範圍,由所有網際網路中可用的連接埠或無法使用的連接埠所組成。每個字串代表單一連接埠或一組連接埠間隔 (例如,"5000-5050" "5984")。如果任何項目在 0 到 65535 的範圍之外,或是無法解譯任何字串,RPC Run-Time 會將整個設定視為無效。 PortsInternetAvailable REG_SZ Y 或 N (沒有區分大小寫) 如果是 Y,「連接埠」機碼中所列出的連接埠,都是電腦上可以使用的網際網路連接埠。如果是 N,「連接埠」機碼中所列出的連接埠,都是無法使用的網際網路連接埠。 UseInternetPorts REG_SZ ) Y 或 N (沒有區分大小寫) 指定系統預設原則。 如果是 Y,將會如同之前的設定,從可以使用的一組網際網路連接埠中,指定連接埠給使用預設值的處理程序。 如果是 N,便會從一組僅供內部網路使用的連接埠中,指定連接埠給使用預設值的處理程序。 範例: 新增網際網路機碼於: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc 在網際網路機碼中,新增值 "Ports" (MULTI_SZ)、"PortsInternetAvailable" (REG_SZ) 和 "UseInternetPorts" (REG_SZ)。 在此範例中使用介於 5000 到 5020 的連接埠,因此新增的登錄機碼會顯示如下: Ports: REG_MULTI_SZ: 5000-5020 PortsInternetAvailable:REG_SZ: Y UseInternetPorts:REG_SZ: Y 重新啟動伺服器。所有使用 RPC 動態連接埠配置的應用程式,會使用介於 5000 到 5020 的連接埠。 在大部份的環境中,最少應該打開 20 個連接埠,因為有些系統服務依靠這些 RPC 連接埠相互進行通訊。 您應該開啟大於 5000 的連接埠範圍。其他應用程式可能已經使用小於 5000 的連接埠,並且會與您的 DCOM 應用程式發生衝突。此外,之前的經驗顯示最少應該打開 20 個連接埠,因為有些系統服務依靠這些 RPC 連接埠相互進行通訊。 如需詳細資訊,請參閱「Microsoft 知識庫」中的下列文件: 167128 SMS:Network Ports Used by Remote Helpdesk Functions 263293 Windows 2000 NAT Does Not Translate Netlogon Traffic 172227 Network Address Translators (NATs) Can Block Netlogon Traffic 這篇文章中的資訊適用於: Microsoft Windows 2000 Server Microsoft Windows 2000 Advanced Server Microsoft Windows 2000 Professional Microsoft Windows 2000 Datacenter Server Microsoft Windows NT Server 4.0 更新日期: 2004/4/13 (4.0) 關鍵字: kbDCOM kbhowto kbnetwork KB154596 Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。 |
|
|
送花文章: 6,
|
|
2004-09-22, 04:20 PM
|
#7 (permalink) |
|
註冊會員
|
這個 Active Directory 是提供給系統管理帳號用的,理論上前端 (兩防火牆間的 DMZ 區) 應該有自己的 Active Directory,後端的資料庫應該有自己的 Active Directory,為了省錢,就兩個 Active Directory 一起用了(反正只有幾個管理帳號),再透過 FW 來區隔,這是微軟最新對網際網路電子商務的建議架構 (MSIB - Microsoft Solution for Internet Business) [url]http://www.microsoft.com/windowsserversystem/ebusiness/msib/default.mspx,這裡光網路伺服器就有十六台了,加/url][入 AD 會比較好管。
防火牆是 NetScreen 208,對了!這個防火牆在設定的時候還要設定從哪個 port 到哪個 port 的 policy,以前設定都只是設從哪個 IP 到哪個 IP 的哪個 port 通,沒想到現在要設定 從哪個 port 的哪個 IP 到哪個 port 的哪個 IP 通,好像複雜太多了。 謝謝 |
|
|
送花文章: 6,
|
平板模式
