我正在尝试为Windows Server 2012主机(域控制器)设置防火墙,该主机也充当我们的路由器。 它有两个网卡 – 面向networking的和面向内部networking的网卡。 显然,我想阻止很多面向互联网的端口,而不会在内部阻塞它们。
最直接的方法就是进入服务器的Windows防火墙,点击“Windows防火墙属性”。 在“受保护的networking连接”下,我将域和私有configuration文件设置为包含Intranet,但取消选中了Internet,在公共configuration文件中,我只检查了Internet NIC。
我从TCP和UDP的特定端口规则中删除了公共configuration文件。 所有三个适配器都有“与规则不匹配的传入连接被阻止”。 但是,当我使用Internettesting工具检查端口时,端口仍显示“打开”。 我错过了什么?
当我通过日志排除故障时,我看到一个不熟悉的IP地址条目,显示“允许”。 没有迹象表明为什么这是允许的或什么configuration文件相关联。 我尝试了服务器重新启动没有区别。
不要这样做 – 特别是如果你关心安全。
多归属域控制器是不好的做法。
在域控制器上运行DNS和AD DS以外的angular色是不好的做法。
在充当路由器的服务器上安装其他angular色是不好的做法。
暴露一个域控制器到互联网是不好的做法。
安装两个独立的服务器来支持这些完全不同的function。
我相信我已经解决了我自己的问题,贴在这里为了我的问题的任何人的利益。 我省略的一个细节是有问题的端口是DNS,端口53. DNS服务器被设置为监听两个接口IP地址。 因此,DNS服务器正在调用防火墙并要求打开该端口。 只要我将DNS服务器限制到内部IP地址,端口就会被注册为closures到互联网。 所以如果有其他人遇到类似的问题,一定要考虑是否有任何应用程序可能会推动端口打开,尽pipe你的防火墙的努力。