我从直接的个人经验中知道,在XP后系统上禁用Windows防火墙服务可能会导致各种networking问题,禁用它的正确方法是将其configuration为不阻止任何stream量,而使实际服务保持运行。 这是因为从Vista开始,Windows防火墙服务是Windowsnetworking协议栈的重要组成部分,停止它将会以完全随意的方式造成严重破坏。 但是,我一直在磕磕碰碰,认为停止和停用服务是一个很好的解决scheme,并且花时间去适当地禁用它是一件不必要的工作。 那么,当各种各样的networking痛苦接踵而至时,他们就不会承认真正的原因,而会在勉强接受之前尝试其他的东西 ,是的,也许这个服务应该是真的留下来的。 除了用沉重的(和/或尖锐的)物体击中那些人以外,真正的解决办法是一个官方文件,说明“不要禁用这项服务,或者你只是要求麻烦”。 然而, 我所能find的这个话题中唯一的一篇文章只是说,“停止与高级安全Windows防火墙相关的服务不被Microsoft支持”,这看起来不足以阻止他们做愚蠢的事情。 有什么更好的,我可以参考为了备份我的声明,Windows防火墙服务应该不会停止? 稍微澄清一点:我其实并不是指用户,而是对pipe理员的态度太多,真正的知识太less,认为上述configuration是正确的, 在整个networking上通过GPO实现的 ,根本就不是当我告诉他们,他们正在经历的那些随机的networking问题很有可能是由它引起的。 我目前的任务是解决这些问题(并实施一些由于这个问题而不能按预期工作的新服务),我需要一种方法来说服他们仅仅离开这种服务。 可悲的是,个人经验似乎不够官方。
这应该是一个非常简单的: 在Windows Server 2008+的 高级Windows防火墙中 ,属性>高级,“ 边缘遍历 ”是什么意思? 当然,我用Googlesearch了一下,并且没有提出具体的答案,在Thomas Schinder的博客上看到以下内容我特别震惊: 边缘遍历选项是一个有趣的select,因为它没有很好的logging。 以下是帮助文件所说的内容: “边缘遍历这表示是否启用边缘遍历(是)还是禁用(否)。 启用边缘遍历后,应用该规则的应用程序,服务或端口是全局可寻址的,并可从networking地址转换(NAT)或边缘设备外部访问。 你觉得这可能意味着什么? 通过在服务器前面的NAT设备上使用端口转发,我们可以在NAT设备上提供服务。 这可能与IPsec有关吗? 难道它与NAT-T有关吗? 难道这个function的帮助文件编写者也不知道,而且做了一些代表重言式的东西? 我不知道这是什么,但如果我发现,我会确保将这些信息包含在我的博客中。 我很欣赏他的诚实,但如果这个家伙不知道,谁呢?! 一旦机器在路由器的另一端,我们很难连接到VPN,我想知道这是否可以帮助? 所以我非常渴望听到“边缘遍历”的正确描述!
背景/研究 我真的相信这样的问题: 在Active Directory域中使用GPO强制工作站Windows防火墙禁用 – 如何? 因为一般的Windowspipe理员早就被教过: “与域计算机打交道时最容易做的事情就是在域上只有一个GPO来禁用Windows防火墙……这将最终导致你更less的心痛。 – 随机的IT老师/导师 我也可以说,在MOST公司,我已经做了这方面的工作,GPO至less在域名configuration文件中禁用了Windows防火墙,而在WORST禁用了它也是为了公共configuration文件。 更进一步,有些会为服务器本身禁用它: 通过GPO为Windows Server 2008 R2上的所有networkingconfiguration文件禁用防火墙 WINDOWS FIREWALL上的Microsoft Technet文章build议您不要禁用Windows防火墙: 由于具有高级安全性的Windows防火墙在帮助保护您的计算机免受安全威胁方面起着重要作用,因此我们build议您不要将其禁用,除非您从信誉良好的供应商那里安装另一个防火墙,以提供相同级别的防护。 这个ServerFault问题提出了一个真正的问题: 是否可以使用组策略closures局域网中的防火墙? – 这里的专家们甚至混在一起。 并理解我并不是指禁用/启用服务: 我如何备份我的build议,不禁用Windows防火墙服务? – 要清楚这是关于防火墙服务是否启用防火墙或禁用防火墙。 问题在手 所以我回到这个问题的标题… 可以做些什么来正确地重新启用域上的Windows防火墙? 特别适用于客户端工作站及其域名configuration文件。 在简单地将GPO从“禁用”切换到“启用”之前, 应该采取哪些规划步骤来确保翻转交换机不会导致严重的客户端/服务器应用程序,允许的stream量等突然失败? 大多数地方都不会容忍“改变它,看看谁叫服务台”的心态。 是否有微软提供的清单/实用程序/程序来处理这种情况? 你自己是否处于这种状况,你是如何处理的?