| Subcribe via RSS

如何为域和信任关系配置防火墙

11月 12th, 2008 | No Comments | Posted in 杂记

概要

本文介绍如何为域和信任关系配置防火墙。

更多信息

要通过防火墙建立域信任关系或安全通道,必须打开下列端口。请注意,在防火墙的两端可能有同时充当客户端和服务器角色的主机。因此,可能需要镜像端口规则。

Windows NT

客户端端口 服务器端口 服务
1024-65535/TCP 135/TCP RPC *
137/UDP 137/UDP NetBIOS 名称
138/UDP 138/UDP NetBIOS Netlogon 和浏览
1024-65535/TCP 139/TCP NetBIOS 会话
1024-65535/TCP 42/TCP WINS 复制

Windows Server 2003 和 Windows 2000 Server

对于混合模式域(具有 Windows NT 域控制器或旧客户端,或者在位于不同林中的两个基于 Windows Server 2003 或基于 Windows 2000 Server 的域控制器之间存在信任关系),除了下列端口之外,可能还需要为 Windows NT 打开上述所有端口:

客户端端口 服务器端口 服务
1024-65535/TCP 135/TCP RPC *
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB

要使 Active Directory 通过防火墙正常工作,必须允许 Internet 控制消息协议 (ICMP) 通过防火墙从客户端到达域控制器,以便客户端可以接收组策略信息。ICMP 用于确定链接是慢速链接还是快速链接。ICMP 是 Active Directory 用于组策略检测和最大传送单位 (MTU) 检测的合法协议。

如果要最大限度地减小 ICMP 流量,可以使用下面的示例防火墙规则:

<any> ICMP -> DC IP addr = allow

与 TCP 协议层和 UDP 协议层不同,ICMP 没有端口号。这是因为 ICMP 直接由 IP 层主持。

注意:对于超出本表列出的范围的 RPC 通信,有特定的要求。 有关如何为防火墙配置 RPC 通信的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

154596 (http://support.microsoft.com/kb/154596/) 如何配置与防火墙一起使用的 RPC 动态端口分配

默认情况下,当 Windows Server 2003 服务器和 Windows 2000 Server DNS 服务器查询其他 DNS 服务器时,它们使用临时客户端端口。不过,可以使用特定的注册表设置来修改这一行为,下面的 Microsoft 知识库文章中描述了该注册表设置:

260186 (http://support.microsoft.com/kb/260186/) SendPort DNS 注册表项没有按预期运行

有关 Active Directory 和防火墙配置的更多信息,请参阅下面的 Microsoft 白皮书:

http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en)

或者,您也可以通过点对点隧道协议 (PPTP) 强制隧道建立信任关系,这将限制防火墙需要打开的端口数量。对于 PPTP,必须启用下列端口:

客户端端口 服务器端口 协议
1024-65535/TCP 1723/TCP PPTP

此外,还需要启用 IP PROTOCOL 47 (GRE)。

注意:当您为受信任域中的用户添加对信任域上的资源的权限时,Windows 2000 和 Windows NT 4.0 的行为之间有一些差异。如果计算机无法显示远程域的用户列表:

Windows NT 4.0 会尝试联系远程用户的域的 PDC 来解析手动键入的名称 (UDP 138)。如果该通信失败,基于 Windows NT 4.0 的计算机会联系它自己的 PDC,然后请求对名称进行解析。
Windows 2000 和 Windows Server 2003 也会尝试联系远程用户的 PDC 以通过 UDP 138 进行解析,但不会回来使用它们自己的 PDC。请确保将被授权访问资源的所有基于 Windows 2000 的成员服务器和基于 Windows Server 2003 的成员服务器都具有到远程 PDC 的 UDP 138 连接。

apache连接数设置(转)

11月 5th, 2008 | No Comments | Posted in 杂记

prefork几乎还是目前的唯一MPM,我在下面主要还是讨论它的工作原理和相关指令调整。查看缺省生成的httpd.conf配置文件,会发现里面包含如下的配置段:

<IfModule prefork.c>
StartServers 5
MinSpareServers 5
MaxSpareServers 10
MaxClients 150
MaxRequestsPerChild 0
</IfModule>

prefork的工作原理是这样的:控制进程在最初建立StartServers个子进程后, 为了满足MinSpareServers设置的需要,创建一个进程,等待一秒钟,继续创建第二个,等待一秒钟,继而创建四个,如此按指数级增加创建的进程数,最多达到每秒32个,直到满足MinSpareServers设置的值为止,这也就是预派生(prefork)的由来。这种模式可以使得不必在请求到来时再产生新的进程,从而减小了系统开销以增加性能。
More »

HP iLo2 试用序列号

11月 5th, 2008 | No Comments | Posted in 网络管理

32Q8W-GKHTR-NPDKY-5CD79-T525H

hp的ilo2功能实在太有用了,不用往那个恶劣的机房跑了,系统重装也直接远程完成。

这个试用序列号用60天,时间到了重新初始化一下ilo2,就可以重新用了,呵呵。

透明防火墙架设的完全攻略(转)

11月 4th, 2008 | No Comments | Posted in 网络管理

http://bbs.chinaunix.net/viewthread.php?tid=197703

架设透明代理和防火墙是linux平台上很热的话题,在水木上也有相关文章,但完全的攻略在公网上也很少,最近架了一台,前后花去一个多星期(我这人手脚慢,别笑,中间笑话也颇多)觉得还是把过程写下来的好,可以让人依葫芦画瓢。

先把网络环境说一下,一个200人左右的局域网,一个C class,一台路由器做NAT(一个公网ip)。网络环境还是很简单的,目的就是在路由器和局域网间加一台透明防火墙进去,同时完成cache server的功能。我不想让防火墙做nat,一是因为已经有了一台路由器,要物尽其用。二是nat其实也是很耗资源的事(尤其当下面的clients特别多时,对router cpu的要求还是很高的,我就碰到过一台cisco 75XX 路由器拖1000个用户5分钟死一次机的事,后来不得已架了一台PIX做NAT)还是分分开的好。三是万一cache server 趴下了,只要把链路重新旁接一下,网络照样用(顶多性能不好),不会影响用户。
More »

发觉在linux下面作开发不错

11月 3rd, 2008 | No Comments | Posted in 杂记

主要的原因是桌面挺多的,呵呵。

很多窗口可以放到不同的桌面上面,比较爽。

最近学习java编程,开发工具eclipse,在linux下面和windows下面界面一模一样。

它本身是用java开发的,发觉用java开发的东西好阿,虽然速度相对来说慢了一点点,但跨平台作的非常不错。

eclipse在windows下和linux下使用一点都没变。

vsftpd新版本的问题

10月 25th, 2008 | No Comments | Posted in 网络管理

好久没看ftp服务器了,今天把系统升级了下。

发现用ie登陆ftp,中文出现乱码。但是用leapftp等客户端登陆却没问题。

搞了很久解决不了,就用回了vsftpd2.0.5。2.0.6 和2.0.7 这两个版本都有这个问题。

不知道是配置不好,还是bug,等以后再说吧。

mencoder 对于转换dvd格式 反拉丝参数

10月 19th, 2008 | No Comments | Posted in 杂记

由于dvd的容量比较大,我一般对其进行压缩。

用mencoder对其进行压缩后,发现一个问题,拉丝现在严重。

网上找了下,终于在国外找到了解决办法。

-vf lavcdeint
-vf kerndeint
-vf filmdint
-vf pp=lb
-vf pp=li
-vf pp=ci
-vf pp=md
-vf pp=fd

添加这些参数就可以了,我用了第一个,结果还不错。

问题:BUG: soft lockup detected on CPU

10月 12th, 2008 | No Comments | Posted in 网络管理

很多用linux系统的人都会碰到,在日志中发现BUG: soft lockup detected on CPU这个bug

但是系统有运行的好好的,没发现什么问题。保险起见还是想搞清楚是什么引起的这个问题。

搜索了下,发觉很多人都问这个问题,但都没用答案。

后来在一个国外的网站上看到,其实这个不算什么bug,只要你的系统io,或者某个服务10秒内都没反应,这个信息就会出现在你的日志中。

所以想把这个东西去掉的话,试着找找,你的系统哪个服务出问题了。

域中hp打印机共享不能打印的问题

10月 12th, 2008 | No Comments | Posted in 网络管理

公司网络架构是域模式.全部PC都加入到域,可有个部门的用户反映部门的HP 1020打印机无法打印。
打印机是设置在网内的一台已经加入域的机器上.打印机是HP1020的。
连接打印机的电脑本地打印没问题,此电脑的域用户也已经加入到本地管理员组。
可网络打印的时候,打印任务只显示的打印队列重,一直打印不出来,导致堵塞的打印任务越来越多。
刚开始想是打印机驱动的问题,可在HP官方网站下载了最新驱动,安装后故障依旧。
在打印任务堵塞在打印队列的时候,重启打印服务,所有的打印任务又立刻打印出来了:
为什么本地打印没有问题,可网络用户打印却总是失败?
后来猜测是不是交换机过滤掉了网络打印用户的数据包导致丢包,所以无法打印。
更改了交换机,故障依旧。
用域管理员登陆其他计算机居然可以打印。一般域用户却不能打印,但是不能把所有的用户全部加入管理员,那不乱套了,上网查了HP官方说明被告之,此型号打印机的网络域模块没有内置,域网络驱动程序也没有开发,
所以网络打印性能不稳定,不支持域网络打印。
这下郁闷了。除此之外没有其他解决办法了吗,当然有,说到这里我想大家应该明白是怎么回事了吧

很快就发送完毕,打印正常

 

解决方法在网上查的,听别人反应也一样可以解决这类问题

在打印机主机上打开“我的电脑-服务-print spooler-属性”将“登录”选项卡中的“允许服务与桌面交互”的勾去掉,重启print spooler服务

在虚拟机中安装备份域控制器

10月 8th, 2008 | No Comments | Posted in 网络管理

单位的规模不大,也就150左右的机子,所以就配了一台域控制器。

为了安全起见,有必要配一台备份域控制器,但服务器有限,所以就想在虚拟机里面配置一台,节约资源。

开始用virtualbox,这个软件不错,容量小,速度快,非常适合桌面应用。

相对服务器领域来说,它有个致命的弱点,不能开机自动运行,毕竟它不是为服务器版本设计的。

接下来用vmware server,这个软件不错,完全符合要求。

所有操作都是通过网页来完成,不管在本地还是远程,都能轻松的对其进行管理。

具体安装我就不说了,只是提几个需要注意的地方。

  1. 宿主系统不要加入域
  2. 客户系统的网络接入方式设置成 桥接方式

这样就能很轻松的配置客户系统成为备份域控制器,而且系统占用很少,因为是在后台运行的。

« Older Entries