如何開最少的Port讓Server能運作？

mis339

目前公司內部有一台Windows Server 2003，主要提供AD、File Server、DNS、DHCP和Wins。之前並沒有特別鎖Port，但是後來來了一個新主管，稍微懂一點，就叫我們把所有Port全關，只開必要的。可是現在一個一個開還是有一些問題，請問要滿足以上的需要至少需要開那些Port啊？

另外，請問一下，一般要開網路芳鄰的話，要開137、138、139和445，可是只開137也可以用？那有必要全開嗎？還是它們各有什麼作用？

rushoun

這個，給您參考:http://www.klcconsulting.net/securit...s_list.htm#TCP Ports

mis339

這個我有！只是有些不是很明確！
目前有開的Port，
53
137
138
139
389
445
547
有沒有還有建議開的或建議關的？

rushoun

25 TCP smtp Simple Mail Transfer
25 UDP smtp Simple Mail Transfer
37 TCP time Time
37 UDP time Time
67 DHCP
68 DHCP
80 TCP www-http World Wide Web
80 UDP www-http World Wide Web HTTP
82
110 TCP pop3 Post Office Protocol - Version 3
110 UDP pop3 Post Office Protocol - Version 3
119 NEWS
123 ntp Network Time Protocol
443 TCP https http protocol over TLS/SSL
443 UDP https http protocol over TLS/SSL
8080 http
8088 TCP radan-http Radan HTTP
8088 UDP radan-http Radan HTTP
加上您設定的，大概這樣，應該就差不多了吧!
MSN或是YAHOO MESSENGER大概不會開放吧!?

mis339

問題是這樣設之後AD有點不正常？但只要把防火牆關掉就正常，所以應該還是少設了什麼！再找看看……謝謝回應。

Schnaufer

　　花點時間去看一下 MS KB832017 和 Windows Server 2003 電子雜誌第 003 期！

mis339

謝謝Schnaufer的文章，雖然我已經看過了，該開的Port，除了Randomly allocated high TCP ports TCP random port number between 1024 - 65534外，我大多也都開了，但是AD還是不正常！最簡單的，電腦要加入網域都不行！可是，總不能叫我把1024到65534都開吧！那跟不開防火牆有什麼不同呢！

Schnaufer再給點提示吧！

藍色

引用:

作者: rushoun

25 TCP smtp Simple Mail Transfer
25 UDP smtp Simple Mail Transfer
37 TCP time Time
37 UDP time Time
67 DHCP
68 DHCP
80 TCP www-http World Wide Web
80 UDP www-http World Wide Web HTTP
82
110 TCP pop3 Post Office Protocol - Version 3
110 UDP pop3 Post Office Protocol - Version 3
119 NEWS
123 ntp Network Time Protocol
443 TCP https http protocol over TLS/SSL
443 UDP https http protocol over TLS/SSL
8080 http
8088 TCP radan-http Radan HTTP
8088 UDP radan-http Radan HTTP
加上您設定的，大概這樣，應該就差不多了吧!
MSN或是YAHOO MESSENGER大概不會開放吧!?

• 53 (傳輸控制通訊協定 [TCP]、使用者資料包通訊協定 [UDP]) - 網域名稱系統 (DNS)。
• 80 (TCP) - Outlook Web Access 5.5 存取所需連接埠，以便能夠在 Exchange 前端與後端伺服器之間通訊。
• 88 (傳輸控制通訊協定 [TCP]、UDP) - Kerberos 驗證。
• 123 (UDP) - Windows 時間同步化通訊協定 (NTP)。Windows 2000 不需要這項通訊協定也能夠登入，但是網路系統管理員可能會設定它或是需要它。
• 135 (TCP) - EndPointMapper。
• 389 (TCP、UDP) - 輕量型目錄存取通訊協定 (LDAP)。
• 445 (TCP) - Netlogon 的伺服器訊息區 (SMB，Server Message Block)、LDAP 轉換和 Microsoft 分散式檔案系統 (DFS) 探索。
• 3268 (TCP) - 與通用類別目錄伺服器之間的 LDAP。

mis339

我說了，這些我都開了，但AD還是不能用！

Wanderium

你是用那一種防火牆？搞不好是它把 RPC 擋掉了造成 AD 不正常

rushoun 散人	這個，給您參考:http://www.klcconsulting.net/securit...s_list.htm#TCP Ports
	回覆

mis339 我是嫩咖	這個我有！只是有些不是很明確！目前有開的Port， 53 137 138 139 389 445 547 有沒有還有建議開的或建議關的？
	回覆

Schnaufer WebSphereMania	花點時間去看一下 MS KB832017 和 Windows Server 2003 電子雜誌第 003 期！
	回覆

Wanderium 會員	你是用那一種防火牆？搞不好是它把 RPC 擋掉了造成 AD 不正常
	回覆