none
Открытие портов в брандмауэре для авторизации в домене. RRS feed

  • Вопрос

  • Домен на samba. Нужно ввести машину на Windows 7 в домен для подключения к ней по RDP. Основная задача машины на Windows 7 - закрытый сервер. Т.е. закрыть всё, что можно закрыть, кроме общего доступа по сети и подключения по RDP.

    Если в брандмауэре разрешить все исходящие соединения - по RDP проходит мгновенная авторизация, логин-пароль с домена подцепляет.

    Если блокировать исходящие соединения в брандмауэре, оставляя только разрешенные - "достукивание" до удаленного рабочего стола может происходить в течение 15-20 минут. При чем, окно авторизации RDP с запросом логина-пароля доступно сразу, а авторизация на машине происходит очень долго. 

    Нашла тему https://social.technet.microsoft.com/Forums/ru-RU/cff26f64-e5cf-4745-9d86-298d45af56cf/-windows-7-?forum=ws2008r2ru, открыла указанные порты, включая Общий доступ к файлам и принтерам (эхо-запрос - входящий трафик ICMPv4), дополнительно Дистанционное управление рабочим столом (TCP - входящий) и всё равно, очень долгое подключение.

    Какие еще порты необходимо открыть?

    26 февраля 2017 г. 8:49

Ответы

  • Авторизация в домене при запрещающей политике и белых списках проходит, но очень долго (15-20 минут). "Мешают" быстрой авторизации неоткрытые порты на исходящий трафик. Вопрос в том и был - какие исходящие порты открыть....

    после авторизации, проверьте доступность контроллера домена и DNS (откройте 53 порт TCP&UDP)

    К серверу подключаются через шлюз (сервер стоит за роутером). Откуда удалить шлюз по умолчанию?
    если к "серверу" подключаются из интернета (или другой локальной сети) - то шлюз (на "сервере") удалять не надо.
    • Изменено AnahaymModerator 28 февраля 2017 г. 10:54
    • Помечено в качестве ответа manik207 1 марта 2017 г. 11:05
    28 февраля 2017 г. 10:52
    Модератор

Все ответы

  • Добрый день.

    Никаких волшебных настроек не требуется, что в домене, что без у Windows 7 при подключении по RDP не требуется доп. настроек. проверьте тот же сценарий с другой машиной. Возможно, Вам мешает доп. ПО или настройки на вашей машине.

    Вот в помощь два скриншота с портами по умолчанию для машины в домене.

    Но попробуйте в первую очередь проверить подключение RDP на другой машине.

    27 февраля 2017 г. 5:38
  • Спасибо за ответ. Входящие правила донастроила, а второго скриншота с исходящими правилами не могу найти. Или его нет?
    28 февраля 2017 г. 6:17
  • Нет, а зачем исходящие? Если к вашей машине входящие применяются подключения. Исходящий от нее трафик можно и не трогать.
    28 февраля 2017 г. 6:22
  • Хорошо, поясню логику своих действий, возможно вы меня поправите.

    Для пользователей должны быть закрыты доступы как в интернет (через все браузеры), ftp (пользователь не должен иметь возможность заходить на другие сервер), так и ко всем остальным доступам. Компьютер предназначен для работы  исключительно на нем (работа в MS Office, работа с файлами и т.д.), а не с внешними серверами.

    Для профиль домена в брандмауэре ставлю в Блокировать исходящие соединения. И доступ к домену становится очень длительным, потому что не открыты порты (?). Если включаю Разрешить исходящие соединения в профиле домена - подключение по RDP происходит мгновенно. 

    28 февраля 2017 г. 7:14
  • Да, потому что блокируете исходящие подключения. Вы сетевым монитором можете отследить и вычленить именно тот трафик, который нужен в принципе, но это задача не на пять минут.

    Поэтому просто определитесь: хотите заблокировать RDP на машине? Создайте новое правило в брандмауэре, которое запретит такой тип трафика с такого-то адреса на такие-то. Зaпретить SMB? Тоже самое. Браузеры? 80 и 443 порты. Вот какая-то такая логика должна быть. как мне сдается. 

    28 февраля 2017 г. 7:35
  • Компьютер предназначен для работы исключительно на нем (работа в MS Office, работа с файлами и т.д.), а не с внешними серверами
    удалите шлюз по умолчанию, если к "серверу" подключаются только из внутренней сети.
    28 февраля 2017 г. 8:41
    Модератор
  • Задача - блокировать всё, что не разрешено. Т.е. по белым спискам. В этом и вопрос. Какие порты на исходящие соединения открыть, чтобы авторизация через домен работала. 

    Ваш вариант с черным списком (запретить выборочно, остальное разрешить), нам не подходит. Мало ли какие лазейки останутся... 

    Авторизация в домене при запрещающей политике и белых списках проходит, но очень долго (15-20 минут). "Мешают" быстрой авторизации неоткрытые порты на исходящий трафик. Вопрос в том и был - какие исходящие порты открыть....

    28 февраля 2017 г. 10:46
  • К  серверу подключаются через шлюз (сервер стоит за роутером). Откуда удалить шлюз по умолчанию?
    28 февраля 2017 г. 10:50
  • Авторизация в домене при запрещающей политике и белых списках проходит, но очень долго (15-20 минут). "Мешают" быстрой авторизации неоткрытые порты на исходящий трафик. Вопрос в том и был - какие исходящие порты открыть....

    после авторизации, проверьте доступность контроллера домена и DNS (откройте 53 порт TCP&UDP)

    К серверу подключаются через шлюз (сервер стоит за роутером). Откуда удалить шлюз по умолчанию?
    если к "серверу" подключаются из интернета (или другой локальной сети) - то шлюз (на "сервере") удалять не надо.
    • Изменено AnahaymModerator 28 февраля 2017 г. 10:54
    • Помечено в качестве ответа manik207 1 марта 2017 г. 11:05
    28 февраля 2017 г. 10:52
    Модератор
  • Спасибо! При проброшенном 53-ем порте авторизация проходит быстро. 
    1 марта 2017 г. 11:06