web-dev-qa-db-ja.com

ドメインコントローラー用にWindowsファイアウォールを構成するにはどうすればよいですか?

ドメインコントローラーのWindowsのデフォルトのファイアウォール設定は、「任意の」タイプの接続に対して多数のポートを開いているようです。インターネットに公開したいのはRDPポートだけです。

スコープが「ローカルサブネット」のみになるように、各インバウンドルールを手動で制限できますか?これを行う簡単な方法はありますか?

3
zsharp

ネットワークにサービスを提供するには、ドメインコントローラーをquite開く必要があります。インターネットに直接接続するべきではありません。


編集

では、ここで何ができるか見てみましょう。

あなたが今しているように物事を実行することは間違いなくトラブルの原因です、あなたはそれを絶対に避けるべきです。

2つの解決策があります。

  • すべてのサーバーから「プライベート」NIC)を削除し、サーバーでパブリックIPアドレスのみを使用し(ただし、DHCPではなく静的アドレスを使用します)、接続のみを許可するように各サーバーでファイアウォールを構成しますそれらの間と、そこからRDPを実行します。
  • それらから「パブリック」NICを削除し、効果的にプライベートLANに配置し、WindowsRRASまたはISAサーバー(またはFFTMG、またはLinux、またはその他の必要なもの)2つのネットワークカード(1つはパブリックカード、もう1つはプライベートカード)がネットワークのファイアウォールとして機能します。

何をするにしても、すべてのコンピューターで2つのNICとパブリック/プライベートIPアドレスを同時に使用しないでください。このようにして、両方のソリューションの問題plus multihoming、およびなしの利点が得られます。

1
Massimo

Windowsファイアウォール(またはマシン自体で実行されている他の種類のソフトウェアファイアウォール)を使用してボックスをインターネットから保護している場合は、何か問題があります。第一に、各ボックスがインターネットに直接接続していることを意味し、第二に、構成および管理するファイアウォールが複数ある状況になります。

適切なファイアウォールアプライアンスを導入し、すべてのインターネットアクセスが通過するようにルーティングを構成する必要があります。インターネットへの、またはインターネットからの単一のアクセスポイントを自分に与えることは、基本的なセキュリティ要件です。これは複雑で高価である必要はなく、夜の睡眠を楽にするのに役立ちます。

2
Maximus Minimus

セキュリティが強化されたWindowsファイアウォール を試してください。これにより、「消費者に優しい」コントロールパネルUI以上のことができます。

サードパーティのファイアウォールプロバイダーを検討することもできます。

1
Jack B Nimble

次のリンクを試してください。

Windows Serverシステムのサービスの概要とネットワークポートの要件 http://support.Microsoft.com/kb/832017

うまくいけば、これが役立つでしょう。

0
rmwetmore