如何为域和信任关系配置防火墙
概要
更多信息
Windows NT
| 客户端端口 | 服务器端口 | 服务 |
|---|---|---|
| 1024-65535/TCP | 135/TCP | RPC * |
| 137/UDP | 137/UDP | NetBIOS 名称 |
| 138/UDP | 138/UDP | NetBIOS Netlogon 和浏览 |
| 1024-65535/TCP | 139/TCP | NetBIOS 会话 |
| 1024-65535/TCP | 42/TCP | WINS 复制 |
Windows Server 2003 和 Windows 2000 Server
对于混合模式域(具有 Windows NT 域控制器或旧客户端,或者在位于不同林中的两个基于 Windows Server 2003 或基于 Windows 2000 Server 的域控制器之间存在信任关系),除了下列端口之外,可能还需要为 Windows NT 打开上述所有端口:
| 客户端端口 | 服务器端口 | 服务 |
|---|---|---|
| 1024-65535/TCP | 135/TCP | RPC * |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
要使 Active Directory 通过防火墙正常工作,必须允许 Internet 控制消息协议 (ICMP) 通过防火墙从客户端到达域控制器,以便客户端可以接收组策略信息。ICMP 用于确定链接是慢速链接还是快速链接。ICMP 是 Active Directory 用于组策略检测和最大传送单位 (MTU) 检测的合法协议。
如果要最大限度地减小 ICMP 流量,可以使用下面的示例防火墙规则:
<any> ICMP -> DC IP addr = allow
与 TCP 协议层和 UDP 协议层不同,ICMP 没有端口号。这是因为 ICMP 直接由 IP 层主持。
注意:对于超出本表列出的范围的 RPC 通信,有特定的要求。 有关如何为防火墙配置 RPC 通信的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
默认情况下,当 Windows Server 2003 服务器和 Windows 2000 Server DNS 服务器查询其他 DNS 服务器时,它们使用临时客户端端口。不过,可以使用特定的注册表设置来修改这一行为,下面的 Microsoft 知识库文章中描述了该注册表设置:
有关 Active Directory 和防火墙配置的更多信息,请参阅下面的 Microsoft 白皮书:
或者,您也可以通过点对点隧道协议 (PPTP) 强制隧道建立信任关系,这将限制防火墙需要打开的端口数量。对于 PPTP,必须启用下列端口:
| 客户端端口 | 服务器端口 | 协议 |
|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
此外,还需要启用 IP PROTOCOL 47 (GRE)。
注意:当您为受信任域中的用户添加对信任域上的资源的权限时,Windows 2000 和 Windows NT 4.0 的行为之间有一些差异。如果计算机无法显示远程域的用户列表:
| • | Windows NT 4.0 会尝试联系远程用户的域的 PDC 来解析手动键入的名称 (UDP 138)。如果该通信失败,基于 Windows NT 4.0 的计算机会联系它自己的 PDC,然后请求对名称进行解析。 |
| • | Windows 2000 和 Windows Server 2003 也会尝试联系远程用户的 PDC 以通过 UDP 138 进行解析,但不会回来使用它们自己的 PDC。请确保将被授权访问资源的所有基于 Windows 2000 的成员服务器和基于 Windows Server 2003 的成员服务器都具有到远程 PDC 的 UDP 138 连接。 |
apache连接数设置(转)
prefork几乎还是目前的唯一MPM,我在下面主要还是讨论它的工作原理和相关指令调整。查看缺省生成的httpd.conf配置文件,会发现里面包含如下的配置段:
<IfModule prefork.c>
StartServers 5
MinSpareServers 5
MaxSpareServers 10
MaxClients 150
MaxRequestsPerChild 0
</IfModule>
prefork的工作原理是这样的:控制进程在最初建立StartServers个子进程后, 为了满足MinSpareServers设置的需要,创建一个进程,等待一秒钟,继续创建第二个,等待一秒钟,继而创建四个,如此按指数级增加创建的进程数,最多达到每秒32个,直到满足MinSpareServers设置的值为止,这也就是预派生(prefork)的由来。这种模式可以使得不必在请求到来时再产生新的进程,从而减小了系统开销以增加性能。
HP iLo2 试用序列号
32Q8W-GKHTR-NPDKY-5CD79-T525H
hp的ilo2功能实在太有用了,不用往那个恶劣的机房跑了,系统重装也直接远程完成。
这个试用序列号用60天,时间到了重新初始化一下ilo2,就可以重新用了,呵呵。
透明防火墙架设的完全攻略(转)
http://bbs.chinaunix.net/viewthread.php?tid=197703
架设透明代理和防火墙是linux平台上很热的话题,在水木上也有相关文章,但完全的攻略在公网上也很少,最近架了一台,前后花去一个多星期(我这人手脚慢,别笑,中间笑话也颇多)觉得还是把过程写下来的好,可以让人依葫芦画瓢。
先把网络环境说一下,一个200人左右的局域网,一个C class,一台路由器做NAT(一个公网ip)。网络环境还是很简单的,目的就是在路由器和局域网间加一台透明防火墙进去,同时完成cache server的功能。我不想让防火墙做nat,一是因为已经有了一台路由器,要物尽其用。二是nat其实也是很耗资源的事(尤其当下面的clients特别多时,对router cpu的要求还是很高的,我就碰到过一台cisco 75XX 路由器拖1000个用户5分钟死一次机的事,后来不得已架了一台PIX做NAT)还是分分开的好。三是万一cache server 趴下了,只要把链路重新旁接一下,网络照样用(顶多性能不好),不会影响用户。
发觉在linux下面作开发不错
主要的原因是桌面挺多的,呵呵。
很多窗口可以放到不同的桌面上面,比较爽。
最近学习java编程,开发工具eclipse,在linux下面和windows下面界面一模一样。
它本身是用java开发的,发觉用java开发的东西好阿,虽然速度相对来说慢了一点点,但跨平台作的非常不错。
eclipse在windows下和linux下使用一点都没变。
