域控制器需要相当开放，以便为您的networking提供服务; 它不应该直接连接到互联网。

编辑

好的，让我们看看你能在这里做什么。

像现在这样运行的东西肯定是麻烦的源头，你应该不惜一切代价避免它。

你有两个解决scheme：

• 从所有服务器上删除“专用”网卡，只使用公共IP地址（但使用静态的，而不是DHCP！），并在每台服务器上configuration防火墙，以允许它们之间的连接以及从哪里RDP到他们。
• 从他们中删除“公共”网卡，有效地把它们放在一个专用局域网中，并用两块网卡，一个公用网卡和一个私有networking添加另一台运行Windows RRAS或ISA Server（或者FFTMG或Linux，或者其他任何你想要的）的计算机，充当您的networking的防火墙。

无论您做什么，都不要在所有计算机上同时使用两个NIC和公共/私有IP地址。 这样，你就会遇到两种解决scheme和多重归属的麻烦，而且没有任何好处。

如果您正在使用Windows防火墙（或机器上运行的任何其他types的软件防火墙）来保护您的机器免受互联网攻击，那么您的做法是错误的。 首先它意味着你的每一个盒子都与互联网有直接的联系，其次它使你处于一个你需要configuration和pipe理多个防火墙的情况。

您需要获取适当的防火墙设备并configuration您的路由，以便所有Internet访问都可以通过。 给自己一个访问互联网的单一点是一个基本的安全要求。 这不需要复杂或昂贵，并且可以帮助你在夜间更容易入睡。

尝试使用高级安全性的Windows防火墙 ，使您可以做的不仅仅是“消费者友好”的控制面板用户界面。

您也可以考虑第三方防火墙提供商。

尝试以下链接：

Windows Server系统的服务概述和networking端口要求http://support.microsoft.com/kb/832017

希望这会有所帮助。