Открыть порт Windows Server 2016

Обновлено: 03.07.2024

В этой статье описывается, как настроить брандмауэр для доменов и доверительных отношений Active Directory.

Применимо к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Исходный номер базы знаний: 179442

Не все порты, перечисленные в таблицах, необходимы во всех сценариях. Например, если брандмауэр разделяет участников и контроллеры домена, вам не нужно открывать порты FRS или DFSR. Кроме того, если вы знаете, что ни один клиент не использует LDAP с SSL/TLS, вам не нужно открывать порты 636 и 3269.

Подробнее

Два контроллера домена находятся в одном лесу или оба контроллера домена находятся в отдельном лесу. Кроме того, доверительные отношения в лесу — это доверительные отношения Windows Server 2003 или более поздних версий.

< td>1024-65535/TCP < td>LDAP SSL < td>88/TCP/UDP < /tr>

Порт(ы) клиента	Порт сервера	Служба
135/TCP	Сопоставитель конечных точек RPC
1024-65535/TCP	1024-65535/TCP	RPC для LSA, SAM, NetLogon (*)
1024-65535/TCP/UDP	389/TCP/UDP	LDAP
1024-65535/TCP	636/TCP
1024-65535/TCP	3268/TCP	LDAP GC
1024-65535/TCP	3269/TCP	LDAP GC SSL
53,1024-65535 /TCP/UDP	53/TCP/UDP	DNS
1024-65535/TCP/UDP	Kerberos
1024-65535/TCP	445/TCP	SMB
1024-65535/TCP	1024-65535/TCP	FRS RPC (*)

Порты NetBIOS, перечисленные для Windows NT, также необходимы для Windows 2000 и Windows Server 2003, когда настроены доверительные отношения с доменами, которые поддерживают только связь на основе NetBIOS. Примерами являются операционные системы на базе Windows NT или сторонние контроллеры домена, основанные на Samba.

Для получения дополнительной информации о том, как определить порты сервера RPC, которые используются службами RPC LSA, см.:

Раздел «Контроллеры домена и Active Directory» в разделе «Обзор служб и требования к сетевым портам для Windows».

Windows Server 2008 и более поздние версии

В более поздних версиях Windows Server 2008 расширен динамический диапазон клиентских портов для исходящих подключений. Новый начальный порт по умолчанию — 49152, а конечный порт — 65535. Поэтому вы должны увеличить диапазон портов RPC в своих брандмауэрах. Это изменение было внесено в соответствии с рекомендациями Управления по присвоению номеров в Интернете (IANA). Это отличается от домена смешанного режима, состоящего из контроллеров домена Windows Server 2003, серверных контроллеров домена Windows 2000 или устаревших клиентов, где динамический диапазон портов по умолчанию составляет от 1025 до 5000.

Дополнительные сведения об изменении динамического диапазона портов в Windows Server 2012 и Windows Server 2012 R2 см. в следующих разделах:

Порты NetBIOS, перечисленные для Windows NT, также необходимы для Windows 2000 и Server 2003, когда настроены доверительные отношения с доменами, которые поддерживают только связь на основе NetBIOS. Примерами являются операционные системы на базе Windows NT или сторонние контроллеры домена, основанные на Samba.

(*) Сведения о том, как определить порты сервера RPC, которые используются службами LSA RPC, см.:

Раздел «Контроллеры домена и Active Directory» в разделе «Обзор служб и требования к сетевым портам для Windows».

(**) Для работы траста этот порт не требуется, он используется только для создания траста.

Внешнее доверие 123/UDP требуется только в том случае, если вы вручную настроили службу времени Windows для синхронизации с сервером через внешнее доверие.

Активный каталог

Клиент Microsoft LDAP использует эхо-запрос ICMP, когда запрос LDAP ожидает ответа в течение длительного времени. Он отправляет запросы ping, чтобы убедиться, что сервер все еще находится в сети. Если он не получает ответов на проверку связи, он не выполняет запрос LDAP с LDAP_TIMEOUT.

Перенаправитель Windows также использует сообщения ICMP Ping, чтобы убедиться, что IP-адрес сервера разрешается службой DNS перед установлением подключения, а также при обнаружении сервера с помощью DFS. Если вы хотите свести к минимуму трафик ICMP, вы можете использовать следующий образец правила брандмауэра:

В отличие от уровня протокола TCP и уровня протокола UDP, ICMP не имеет номера порта. Это связано с тем, что ICMP напрямую размещается на уровне IP.

По умолчанию DNS-серверы Windows Server 2003 и Windows 2000 Server используют эфемерные клиентские порты при запросе других DNS-серверов. Однако это поведение можно изменить с помощью определенного параметра реестра. Или вы можете установить доверие через обязательный туннель протокола туннелирования «точка-точка» (PPTP). Это ограничивает количество портов, которые должен открыть брандмауэр.Для PPTP должны быть включены следующие порты.

< td>1024-65535/TCP

Порты клиента	Порт сервера	Протокол
1723/TCP	PPTP

Кроме того, вам потребуется включить IP PROTOCOL 47 (GRE).

При добавлении разрешений к ресурсу в доверенном домене для пользователей в доверенном домене существуют некоторые различия между поведением Windows 2000 и Windows NT 4.0. Если компьютер не может отобразить список пользователей удаленного домена, рассмотрите следующее поведение:

Windows NT 4.0 пытается разрешить введенные вручную имена, обращаясь к основному контроллеру домена удаленного пользователя (UDP 138). Если такая связь не удалась, компьютер под управлением Windows NT 4.0 связывается со своим собственным основным контроллером домена, а затем запрашивает разрешение имени.
Windows 2000 и Windows Server 2003 также пытаются связаться с PDC удаленного пользователя для разрешения проблемы по протоколу UDP 138. Однако они не полагаются на использование собственного PDC. Убедитесь, что все рядовые серверы под управлением Windows 2000 и рядовые серверы под управлением Windows Server 2003, которые будут предоставлять доступ к ресурсам, имеют подключение UDP 138 к удаленному основному контроллеру домена.

Ссылка

Обзор служб и требования к сетевым портам для Windows — это ценный ресурс с описанием необходимых сетевых портов, протоколов и служб, используемых клиентскими и серверными операционными системами Microsoft, серверными программами и их подкомпонентами в системе Microsoft Windows Server. . Администраторы и специалисты службы поддержки могут использовать эту статью в качестве дорожной карты, чтобы определить, какие порты и протоколы требуются операционным системам и программам Microsoft для подключения к сети в сегментированной сети.

Не следует использовать информацию о порте в обзоре службы и требованиях к сетевому порту для Windows для настройки брандмауэра Windows. Сведения о настройке брандмауэра Windows см. в разделе Брандмауэр Windows в режиме повышенной безопасности.

Здравствуйте! Одним из механизмов защиты сервера является реализация Брандмауэра. Хотя есть сторонние варианты, Microsoft предлагает брандмауэр, интегрированный в операционную систему. Он очень эффективен и легко настраивается. Кроме того, он может разрешать или блокировать соединения или перенаправлять запросы на соединение. Кроме того, настроив правила, можно разрешить только авторизованные сообщения. С другой стороны, управление портами жизненно важно для брандмауэра. Так как они обеспечивают связь между сервером и внешней сетью. На самом деле через эти порты осуществляется подавляющее большинство атак. По этой причине Брандмауэр блокирует большинство портов. Однако иногда приложению необходимо иметь доступ к одному из них. В этом случае администратор должен разрешить программе доступ к требуемому порту. Итак, давайте посмотрим, как открыть порт брандмауэра в Windows Server 2019/2016.

Как открыть порт брандмауэра с помощью дополнительных настроек.

В первую очередь необходимо войти в Панель управления и пройти по следующему пути:

Немедленно отобразятся дополнительные параметры брандмауэра Windows. Существуют правила входа и выхода, а также правила безопасности для соединений. Наконец, есть параметры контроля брандмауэра.

Дополнительные настройки брандмауэра Windows Server

При нажатии на правила ввода отобразятся предварительно настроенные правила Windows Server. Как следует из названия, они связаны с входящими сетевыми соединениями и пакетами. Также некоторые правила не активированы по умолчанию. Поэтому вам просто нужно дважды щелкнуть по ним, а затем включить их.

Включение правила в правилах для входящего трафика.

Создание нового правила в брандмауэре Windows Server.

Нажав правой кнопкой мыши на входящие правила, вы можете создать новое правило.

Создание нового правила для входящего трафика.

Есть несколько вариантов создания правила. Однако вам следует выбрать только Порт. Нажмите "Далее", чтобы продолжить

Пожалуйста, выберите порт

Теперь пришло время настроить параметры подключения:

TCP: это протокол, ориентированный на соединение.Другими словами, его функция заключается в создании соединений с целью отправки потока данных.
UDP: это протокол, не ориентированный на установление соединения. Следовательно, его развитие основано на обмене датаграммами.

С другой стороны, можно включить все порты для подключения. Очевидно, что это небезопасный вариант. Или вы можете настроить определенные порты.

Установка значений подключения порта.

Теперь пора определить, какое действие предпримет новое правило:

Разрешить подключение через порт.
Разрешить подключение, если оно защищено. То есть разрешить передачу данных только в том случае, если соединение аутентифицировано через Ipsec.
Заблокировать подключение через порт.

Пожалуйста, выберите вариант, соответствующий Разрешить подключение, и нажмите Далее. Теперь пришло время определить, к каким профилям будет применяться новое правило.

Выберите профили подключения для нового правила.

Наконец, вы можете присвоить новому правилу имя и описание. Так его будет легче найти позже.

При желании вы можете назначить имя и описание для нового правила.

Вернувшись к предыдущему экрану, вы можете увидеть созданное новое правило.

Недавно созданное правило для входящих подключений.

В итоге мы увидели, как открыть порт брандмауэра в Windows Server 2019/2016. Кроме того, учебник также служит для блокировки определенного порта. Таким образом, администратор может увеличить функциональность брандмауэра. Ладно, это пока. Приветствую!

Вы должны включить несколько портов или программ в брандмауэре, чтобы образцы Windows Communication Foundation (WCF) могли работать. Многие образцы обмениваются данными, используя порты в диапазоне 8000–8003 и порт 9000. Брандмауэр включен по умолчанию и запрещает доступ к этим портам. Чтобы включить брандмауэр для примеров, выполните одну из следующих процедур в зависимости от ваших требований и среды безопасности:

Вариант 1. Активируйте образцы во время работы в интерактивном режиме. Не вносите предварительных изменений в конфигурацию брандмауэра и приступайте к сборке и запуску примеров. При запуске примера появляется диалоговое окно предупреждения системы безопасности Windows. Затем рассматриваемый пример программы можно интерактивно добавить в незаблокированный список. При использовании этой процедуры вам, возможно, придется перезапустить образец.

Вариант 2. Заранее включите примеры программ. Запустите апплет панели управления брандмауэра Windows и включите примеры программ, которые вы планируете запускать. Сначала вы должны собрать программы, чтобы исполняемые файлы существовали. Вы можете найти более подробные инструкции в следующей процедуре.

Вариант 3. Заранее включите диапазон портов. Запустите апплет панели управления брандмауэром Windows и включите порты 80, 443, 8000–8003 и 9000, которые используются в примерах. Вы можете найти более подробные инструкции в следующей процедуре. Этот вариант менее безопасен, чем другие, поскольку позволяет любой программе использовать эти порты, а не только образцы.

Если вы не знаете, какую процедуру использовать, выберите первый вариант. Если вы используете брандмауэр другого производителя, вам может потребоваться внести аналогичные изменения.

Изменение конфигурации брандмауэра влияет на вашу безопасность. Рекомендуется записывать внесенные изменения и удалять их после завершения работы с образцами.

Заранее включить примеры программ

Создайте образец.

Выберите «Пуск» > «Выполнить» и введите firewall.cpl. Откроется апплет панели управления брандмауэра Windows.

У вас должно быть разрешение на изменение настроек брандмауэра для запуска примеров, требующих возможности обмена данными через брандмауэр Windows. Если некоторые параметры брандмауэра недоступны, а ваш компьютер подключен к домену, ваш системный администратор может контролировать эти параметры с помощью групповой политики.

Выполните одно из следующих действий для конкретной операционной системы, чтобы разрешить программе доступ через брандмауэр Windows:

В Windows 7 или Windows Server 2008 R2 нажмите Разрешить программу или функцию через брандмауэр Windows. Нажмите «Изменить настройки» > «Разрешить другую программу».

В Windows Vista или Windows Server 2008 нажмите Разрешить программу через брандмауэр Windows.

На вкладке "Исключения" нажмите "Добавить программу".

Нажмите кнопку "Обзор" и выберите исполняемый файл образца, который вы планируете запустить.

Повторяйте шаги 4 и 5, пока не добавите исполняемые файлы всех образцов, которые вы планируете запустить.

Нажмите "ОК", чтобы закрыть апплет брандмауэра.

Заранее включите диапазон портов

Выберите «Пуск» > «Выполнить» и введите firewall.cpl. Откроется апплет панели управления брандмауэра Windows.

В Windows 7 или Windows Server 2008 R2 выполните следующие действия.

Нажмите Дополнительные параметры в левом столбце окна брандмауэра Windows.

Нажмите «Правила для входящих подключений» в левом столбце.

Нажмите «Новые правила» в правом столбце.

Выберите порт и нажмите "Далее".

Выберите TCP и введите 8000, 8001, 8002, 8003, 9000, 80, 443 в поле Конкретные локальные порты.

Нажмите "Далее".

Выберите Разрешить подключение и нажмите Далее .

Выберите «Домен и частный» и нажмите «Далее».

Назовите это правило Образцы WCF-WF 4.0 и нажмите Готово.

Нажмите «Правила для исходящих подключений» и повторите шаги с c по h.

В Windows Vista или Windows Server 2008 выполните следующие действия.

Нажмите Разрешить программу через брандмауэр Windows.

На вкладке "Исключения" нажмите "Добавить порт".

Введите имя, введите 8000 в качестве номера порта и выберите параметр TCP.

Нажмите кнопку "Изменить область", выберите параметр "Только моя сеть (подсеть)" и нажмите "ОК".

Повторите шаги b–d для портов 8001, 8002, 8003, 9000, 80 и 443.

Нажмите "ОК", чтобы закрыть апплет брандмауэра.

По завершении работы с примерами удалите все исключения брандмауэра. Для этого откройте апплет панели управления брандмауэра Windows и удалите все программы или записи портов, которые были добавлены предыдущими процедурами.

В этом разделе описывается, как настроить брандмауэр Windows для доступа к компоненту Database Engine в SQL Server с помощью диспетчера конфигурации SQL Server. Системы брандмауэров помогают предотвратить несанкционированный доступ к ресурсам компьютера. Чтобы получить доступ к экземпляру ядра базы данных SQL Server через брандмауэр, необходимо настроить брандмауэр на компьютере, на котором работает SQL Server, чтобы разрешить доступ.

Дополнительные сведения о параметрах брандмауэра Windows по умолчанию и описание портов TCP, влияющих на ядро СУБД, службы Analysis Services, службы отчетов и службы интеграции, см. в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server. Доступно множество систем брандмауэров. Информацию о вашей системе см. в документации по брандмауэру.

Настройте компонент Database Engine для использования определенного порта TCP/IP. Экземпляр компонента Database Engine по умолчанию использует порт 1433, но это можно изменить. Порт, используемый компонентом Database Engine, указан в журнале ошибок SQL Server. Экземпляры SQL Server Express, SQL Server Compact и именованные экземпляры компонента Database Engine используют динамические порты. Чтобы настроить эти экземпляры для использования определенного порта, см. раздел Настройка сервера для прослушивания определенного порта TCP (диспетчер конфигурации SQL Server).

Настройте брандмауэр, чтобы разрешить доступ к этому порту авторизованным пользователям или компьютерам.

Служба обозревателя SQL Server позволяет пользователям подключаться к экземплярам компонента Database Engine, которые не прослушивают порт 1433, не зная номера порта. Чтобы использовать обозреватель SQL Server, необходимо открыть UDP-порт 1434. Чтобы создать наиболее безопасную среду, оставьте службу обозревателя SQL Server остановленной и настройте клиентов для подключения с использованием номера порта.

По умолчанию Microsoft Windows включает брандмауэр Windows, который закрывает порт 1433, чтобы предотвратить подключение компьютеров в Интернете к экземпляру SQL Server по умолчанию на вашем компьютере. Подключения к экземпляру по умолчанию с использованием TCP/IP невозможны, если вы не откроете порт 1433 повторно. Основные шаги по настройке брандмауэра Windows представлены в следующих процедурах. Дополнительные сведения см. в документации по Windows.

В качестве альтернативы настройке SQL Server для прослушивания фиксированного порта и открытия порта вы можете добавить исполняемый файл SQL Server (Sqlservr.exe) в список исключений из заблокированных программ. Используйте этот метод, если вы хотите продолжать использовать динамические порты. Таким образом можно получить доступ только к одному экземпляру SQL Server.

Прежде чем начать

Безопасность

Открытие портов в брандмауэре может сделать ваш сервер уязвимым для вредоносных атак. Прежде чем открывать порты, убедитесь, что вы понимаете системы брандмауэров. Дополнительные сведения см. в разделе Вопросы безопасности при установке SQL Server

Использование брандмауэра Защитника Windows в режиме повышенной безопасности

Следующие процедуры настраивают брандмауэр Windows с помощью брандмауэра Защитника Windows с оснасткой консоли управления Advanced Security (MMC). Брандмауэр Защитника Windows в режиме повышенной безопасности настраивает только текущий профиль. Дополнительные сведения о брандмауэре Защитника Windows в режиме повышенной безопасности см. в статье Настройка брандмауэра Windows для разрешения доступа к SQL Server

Чтобы открыть порт в брандмауэре Windows для TCP-доступа

В меню "Пуск" выберите "Выполнить", введите WF.msc и нажмите "ОК".

В брандмауэре Windows в режиме повышенной безопасности на левой панели щелкните правой кнопкой мыши "Правила для входящих подключений" и выберите "Новое правило" на панели действий.

В диалоговом окне "Тип правила" выберите "Порт", а затем нажмите "Далее".

В диалоговом окне "Протокол и порты" выберите TCP. Выберите Определенные локальные порты, а затем введите номер порта экземпляра компонента Database Engine, например 1433 для экземпляра по умолчанию. Выберите Далее.

В диалоговом окне "Действие" выберите "Разрешить подключение", а затем нажмите "Далее".

В диалоговом окне "Профиль" выберите любые профили, описывающие среду подключения к компьютеру, когда вы хотите подключиться к компоненту Database Engine, а затем нажмите кнопку "Далее".

В диалоговом окне "Имя" введите имя и описание этого правила, а затем нажмите "Готово".

Чтобы открыть доступ к SQL Server при использовании динамических портов

В меню "Пуск" выберите "Выполнить", введите WF.msc и нажмите "ОК".

В диалоговом окне "Тип правила" выберите "Программа" и нажмите "Далее".

В диалоговом окне "Программа" выберите "Путь к этой программе". Выберите Обзор и перейдите к экземпляру SQL Server, к которому вы хотите получить доступ через брандмауэр, а затем выберите Открыть. По умолчанию SQL Server находится в папке C:\Program Files\Microsoft SQL Server\MSSQLXX.MSSQLSERVER\MSSQL\Binn\Sqlservr.exe. Выберите Далее. Версия MSSQLXX будет зависеть от вашей версии SQL Server.

В диалоговом окне "Действие" выберите "Разрешить подключение", а затем нажмите "Далее".

В диалоговом окне "Имя" введите имя и описание этого правила, а затем нажмите "Готово".

Читайте также: