[Fighter]

Цитата:

Win2003 standart, AD

domain controller значит

Цитата:

В firewall разрешен File and printing sharing, чего еще не хватает?

этого недостаточно
How to configure Windows 2003 SP1 firewall for a Domain Controller

[SkyF]

PRUHA
После установки на Windows Server 2003 Пакета исправлений SP1 - появляется возможность установки на систему дополнительного компанента - Мастера настройки безопасности (scw.exe)
Специальный файл справки по этому компоненту появляется даже на рабочем столе.

Кроме множества действий по конфигурации безопасности он также выполняет настройку брандмауэра для сетевой карты. Даже если ваша система является контроллером домена.

вот пример его настроек брандмауэра для контроллера домена (примерная конфигурация):

Цитата:

... Конфигурация профиля Domain: ------------------------------------------------------------------- Рабочий режим = Enable Режим исключения = Enable Режим многоадресных и широковещательных ответов = Enable Режим уведомления = Enable Конфигурация службы для профиля Domain: Режим Настройка Имя ------------------------------------------------------------------- Enable Нет Общий доступ к файлам и принтерам Enable Нет Дистанционное управление рабочим столом Конфигурация разрешенных программ для профиля Domain: Режим Имя / Программа ------------------------------------------------------------------- Enable C:\WINDOWS\system32\lsass.exe / C:\WINDOWS\system32\lsass.exe Enable C:\WINDOWS\system32\ntfrs.exe / C:\WINDOWS\system32\ntfrs.exe Enable C:\WINDOWS\system32\scshost.exe / C:\WINDOWS\system32\scshost.exe Конфигурация порта для профиля Domain: Порт Протокол Режим Имя ------------------------------------------------------------------- 53 TCP Enable Порт 53 TCP 88 TCP Enable Порт 88 TCP 135 TCP Enable Порт 135 TCP 137 TCP Enable Порт 137 TCP 389 TCP Enable Порт 389 TCP 464 TCP Enable Порт 464 TCP 636 TCP Enable Порт 636 TCP 3268 TCP Enable Порт 3268 TCP 3269 TCP Enable Порт 3269 TCP 53 UDP Enable Порт 53 UDP 67 UDP Enable Порт 67 UDP 88 UDP Enable Порт 88 UDP 123 UDP Enable Порт 123 UDP 389 UDP Enable Порт 389 UDP 464 UDP Enable Порт 464 UDP 139 TCP Enable Порт 139 TCP 445 TCP Enable Порт 445 TCP 137 UDP Enable Порт 137 UDP 138 UDP Enable Порт 138 UDP 3389 TCP Enable Порт 3389 TCP Конфигурация ICMP для профиля Domain: Режим Тип Описание ------------------------------------------------------------------- Enable 8 Разрешать запрос входящего эха ... Конфигурация журнала: ------------------------------------------------------------------- Размещение файла = C:\WINDOWS\pfirewall.log Наибольший размер файла = 4096 КБ Пропущенные пакеты = Disable Подключения = Disable Конфигурация брандмауэра Подключение по локальной сети: ------------------------------------------------------------------- Рабочий режим = Enable

PS
Рекомендую воспользоваться именно им.
Однако, перед всяким изменением конфигурации рабочих сисстем необоходимо вначале протестировать эти изменения! Вот вы включили брандмауэр на вашем контроллере и получили проблемы - этого и следовало ожидать - даже если вспомнить что одна из основных задач его - блокировать входящие подключения к системе - что клиенты домена непременно должны делать - хотябы для обращениям к объектам Active Directory

[Max2k]

Доброго времени суток всем. У меня возникла такая проблемка. Использую в качестве контроллера домена windows server 2003 sp1, когда включаю встроенный брандмауэр windows то не могу подключить к домену ни один компьютер, выскакивает предупреждение, что не удаётся соединиться с dns сервером по указанному IP, а когда брандмауэр отключаю, то всё становится на свои места, и компьютеры к домену можно спокойно подключать. В брандмауэре разрешал исключения для службы доступа к файлам и принтерам и запрос входящего эха. Поскажите как настроить правильно брандмауэр windows чтобы он не мешал подключениям компьютеров к домену и вообще работе контроллера домена? Заранее благодарен.

[SkyF]

Max2k
Приветствуем на нашем форуме!

Дело в том что так уж изревно повелось что людям нравится придумывать разные правила и ограничения.
Раз уж мы у нас новичок (чему мы рады), то прочитайте наши правила и требования.

ваша тема уже обсуждалась и имеет решение. fix! Настройка брандмауэра (Firewall) на контроллере домена Windows 2003
спасибо за вопрос.

тему склеиваю.

[Max2k]

Спасибо большое за подсказки, я обязательно попробу. приведённую конфигурацию, да и хотел ещё спросить, а какой firewall выможете порекомендовать (крове встроенного конечно) для контроллера домена windows server 2003? Очень благодарен за ответ.

[monkkey]

Max2k
Всё зависит от того, чего Вы хотите добиться с помощью файерволла. В корпоративных сетях для защиты атак извне принято ставить отдельные серверы с файерволлами типа MS ISA.

[XPurple]

monkkey
Вы ничего не путаете ? MS ISA -прокси сервер, насколько я помню.

[RaZZoRRo]

2 XPurple
у MS ISA может быть 3 режима работы (выбираются при установке)

1. Firewall mode
2.Integrated mode
3. Caсhe mode

[Fighter]

Max2k & All
для обсуждения ПО ака Firewall,
в т.ч. и касательно серверных ОС
в разделе "Информационная безопасность"
существует топик
FAQ | Firewalls (AKA Файеры, AKA брандмауэры, АКА МЭ или ПСЭ)