戴尔R710瓦特/英特尔82576千兆网卡(最新的英特尔驱动程序)。 我正在设置一个新的Windows Server 2008 R2 SP1,到目前为止,我已经安装了更新并configuration了文件服务和Web服务器(IIS)angular色。 Windows高级防火墙已打开(默认情况下),并且configurationangular色似乎激活了一些规则以允许Web服务器端口和文件共享。 问题:我可以连接到一个testing文件共享的罚款,但复制大文件是非常慢。 我正在从Windows 7客户端复制〜10MB / s。 同一个客户端可以很容易地获得80-90MB / s到不同的文件服务器(所以它不是客户端)。 如果我禁用防火墙,我会得到完整的千兆位速度。 如果我启用它,它会下降到10MB /秒。 我正在使用启用“文件共享”angular色时configuration的默认防火墙设置。 显然我需要启用别人,但哪些? 经过进一步调查,似乎是“networking发现”入站/出站规则中的一个(或全部)。 我注意到Windows在“私人”configuration文件启用这些规则,但不是“域”configuration文件。 如果我为“域”configuration文件启用它们,问题就会消失。 我不喜欢盲目地启用规则。 我回到上面的评论。 启用“networking发现”规则似乎只是简单的工作,但现在停止了。 那么,这是一个networking问题。 就在我把这台服务器上网的同时,恰巧发生了一个难看的事情。 我不认为我在这里提到的额外防火墙规则是必需的。
我有一个在Windows 2012 R2上运行的SQL Server 2014实例。 如果我closures域的Windows FW,我可以使用SSMS远程连接到SQL实例。 如果我打开它,我无法连接。 我收到一个错误,指出连接超时已过期。 我在FW上添加了1433和1434的SQL规则无济于事。 我甚至在服务器FW上添加了任何/任何入站和出站规则,也无济于事。 似乎无论FW设置如果打开,我都无法远程连接到SQL。 任何帮助将不胜感激!
我正在使用Hyper-V的Windows Server 2008设置虚拟机。 我试图设置FTP访问本机,但是我无法从本地机器连接到FTP服务器。 我可以ping它并访问Web服务器部分。 这是我迄今为止所做的: 我安装了最新的FTP发布服务 设置一个名为“ftp”的新用户 从我的IISpipe理器中添加一个新的FTP站点 指定我的服务器的IP地址(192.168.1.97),允许使用SSL 为我的用户“ftp”设置基本身份validation 我也尝试添加匿名访问,但我仍然从FileZilla得到这个错误: 状态:连接到192.168.1.97:21 … 错误:连接超时 错误:无法连接到服务器 状态:正在等待重试… 有没有人有在Windows Server 2008上设置FTP服务器的经验? 谢谢!
如何在其他工作的IPSec规则中添加“只允许连接到这些计算机”设置中断连接? 背景: 我正在设置一组基本的客户端规则,将出站SMB访问限制为只能访问某些服务器。 假设从黑名单开始,并需要将所需的通信列入白名单。 服务器端的设置和function应该没有任何问题。 设置使用传统IPSec接口服务器端和Windows高级防火墙客户端configuration。 首先将身份validation设置为Kerberos(计算机)或计算机证书。 双方使用'请求入站和出站'作为他们的validation模式。 双方都使用“请求IPSec”模式,因为可能有非IPSecstream量传递给其他设备。 客户端上的Windows高级防火墙规则function完美, 直到我定义“只允许连接到这些计算机”选项。 wireshark捕获显示ISAKMP和ESPstream量,我正在看安全关联列表中的主模式和快速模式关联。 编辑: 根据MS文档,我启用了以下日志logging来debugging我的连接问题。 auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable auditpol /set /subcategory:"IPsec Driver" /success:enable /failure:enable auditpol /set /subcategory:"IPsec Main Mode" /success:enable /failure:enable auditpol /set /subcategory:"IPsec Quick Mode" /success:enable /failure:enable auditpol /set /subcategory:"IPsec Extended Mode" /success:enable […]
在新join域的服务器2012 R2安装我看到一个特殊的地方启用“远程桌面”规则设置为阻止在域configuration文件: 由于阻止规则优先于允许规则,我似乎无法有效插入允许RDP通信到本机的防火墙例外。 我无法编辑此规则为“此规则已由系统pipe理员应用,无法修改” 。 我也无法通过组策略中的“远程桌面”预定义规则来覆盖它,因为这不会更新“远程桌面”规则,而是引入了一个新的“远程桌面(TCP-In)”规则, “远程桌面”阻断规则仍然存在,优先。 与规则源列(上面的屏幕截图中的第一列)告诉我的情况相反,规则未在机器的本地策略中定义: 老年人(Windows 7/2008 R2)上似乎也遇到过这个问题 ,但在这些情况下似乎没有有效的解决scheme。 那么这是从哪里来的,以及如何禁用这个阻止规则?
看来,当我安装TFS时,我失去了所有的Windows防火墙设置。 我如何备份并在Windows 2003上恢复它们?
由于人们越来越未经授权访问我的Windows服务器(bruteforced几个月..),我想build立一个RDP访问的白名单。 我已经使用Windows防火墙入站规则尝试了以下内容: 这仍然允许其他用户通过RDP连接。 有没有办法通过白名单来阻止这种未经授权的访问? 编辑:防火墙已启用,它是唯一在机器上运行的防火墙。 诸如允许端口80stream量的规则行为正确。
我试图运行一个RRAS VPN服务器,从同一个盒子上的Windows DHCP服务器上运行。 我发现AWS DHCP首先受到DHCP请求的攻击,并向我的客户提供了无效信息。 我需要从本地DHCP服务器获取DHCP提供的附加选项字段(不能在VPC DHCP选项集中指定)而不是VPC DHCP服务器。 有什么办法可以完全禁用VPC DHCP或阻止RRAS防火墙上的外部提供? 更新1/30/2015: 由于克雷格·沃森的精彩build议,我能够解决这个问题。 我的最终目标是在各种平台上使用DHCPINFORM机制将多条路由推送到我的L2TP VPN客户端,而不会影响供应商特定的问题。 最后的设置如下: Windows 2012 R2 RRAS / DHCP服务器: 在VPC子网10.150 / 16上使用静态IP的物理LAN适配器 在子网10.250.0 / 24上使用静态IP(10.250.0.1)的Microsoft环回适配器 configurationDHCP服务器以提供范围为10.250.0.10-10.250.0.250的租约 DHCP服务器只绑定到回送接口 RRASconfiguration为使用Loopback适配器用于DHCP / DNS / WINS configuration了Internal和Loopback接口的DHCP中继代理。 DHCP中继代理configuration为指向10.250.0.1 DHCP中继代理在两个接口上的启动阈值都设置为0秒(这解决了由于某种原因,DHCP请求被拒绝的问题) 通过这个设置,我可以提供从Windows Server到我的VPN客户端的完整的DHCP服务,尽pipe在VPC中存在AWS提供的DHCP。 请注意,为此,所有IP分配必须是静态的,否则DHCP和RRAS服务将无法看到接口。 在连接到L2TP隧道时,我已经成功地在OSX和Windows上接收了所有正确的路由,而无需其他客户端configuration。 让我知道如果有什么遗漏的意见,我会更新这个职位。
我想在几台服务器之间运行DFS复制。 我的理解是服务器需要成为这个领域的一部分。 能够给所有服务器上的用户名和密码也是有用的,所以我可以lockingpipe理员密码。 所有的机器都将运行Windows 2008 R2,他们都将运行Windows防火墙,所以我需要能够让其他机器连接到这台服务器,但locking其他人。 所以我的问题是:什么端口,我需要让机器连接到域控制器了?
首先解释一下我的networking拓扑结构。 我有一个内部域和边缘networking域。 两个域之间没有信任(IT不允许在内部和边缘networking域之间build立单向信任) 通过路由器时,它将NATstream量到边缘networking。 所以所有的stream量dmzHost.edgeNetwork.local看到,并不是源于它自己的子网出现将有一个源IP为192.168.10.10 。 有趣的是,当连接到10.0.0.0/8子网中的计算机时,来自192.168.10.0/24子网的任何stream量都不会被NAT转换(我向IT发送了一封电子邮件,问为什么这样,因为我不明白NAT到边缘networking,但从边缘networking开放访问。我可以看到背后的原因10.x -> 192.x = NAT和192.x -> 10.x = Dropped connection但事实上,他们允许通过连接迷惑我) 我想要做的是禁用任何授权的计算机的防火墙,所以它可以做远程pipe理。 我试图做的方法是 在dmzHost上,使用以下设置创build一个连接安全规则条目: Endpoint 1设置为192.168.10.40到192.168.10.49 (这将GPO推送到几台计算机) Endpoint 2被设置为Any IP address 协议和端口设置为Any 身份validation要求设置为Request inbound and outbound 身份validation方法设置为Advanced ,第一个身份validation方法设置为Preshared Key 在lanPC上,按照相同的设置执行: 将Endpoint 1设置为Any IP address 将Endpoint 2设置为192.168.10.40到192.168.10.49 检查安全关联下的Main Mode和Quick Mode我可以看到build立的连接。 Main Mode: Local Address Remote Address 1st Authentication Method 2nd Authentication […]