9 ответов в этой теме

[marat-209]

Добрый день. Стоит 10 версия на windows server 2008 r2, добавил компонент брандмауэр и стала выходить ошибка

Сервер проверки: Default-First-Site-Name\SERV4

   Запуск проверки: Connectivity

      Для сервера SERV4 было выполнено разрешение в следующие IP-адреса:

      10.169.169.56, однако все они недоступны (связь отсутствует).

      Проверьте сеть.

      Ошибка: 0x2b02 "Произошла ошибка из-за недостатка ресурсов."

      Чаще всего данная ошибка означает, что целевой сервер выключен  или

      отключен от сети.

      Получена ошибка при проверке подключения LDAP и RPC. Проверьте

      параметры брандмауэра.

      ......................... SERV4 - не пройдена проверка Connectivity

 

При отключении брандмауэра ошибка пропадает. Как его настроить?

[Kirill Polubelov]

Майкрософт не рекомендует использовать, на постоянной основе, фаерволлы на DC https://msdn.microsoft.com/ru-ru/library/cc782770%28v=ws.10%29.aspx

Майкрософт рекомендует использовать фаерволлы на точке входа в вашу защищенную (корпоративную) сеть:

https://msdn.microsoft.com/en-us/library/bb727066.aspx

https://msdn.microsoft.com/fr-fr/library/cc780637%28v=ws.10%29.aspx

https://support.microsoft.com/en-us/kb/822158

[IlyaS]

Какие-то старые статьи про Windows 2000-2003. В 822158 firewall вскользь упоминают, что малварь оптимально ловить в самой ранней точке.
Аналогичных рекомендаций для 2008+ нет?

[Konstantin Yudin]

домашнему файерволу не место в энтерпрайзе и на серверах.

[Kirill Polubelov]

>> Аналогичных рекомендаций для 2008+ нет?

Думаете, в этом плане, что-то поменялось, в сторону уменьшения кол-ва используемых портов и кол-ва задействованных процессов?

[Kirill Polubelov]

В одной из указазнных, в ссылках, статей, правильно замечено -- фактически, вам придется _открыть_ бОльшую часть портов, из всех имеющихся, и разрешить бОльшую часть сервисов, из всех работающих. В этих условиях, просто теряется смысл в fw на домен-контроллере.

[IlyaS]

ИМХО, стандартный фаер в 2008+ не мешает работать штатным сервисам КД, поэтому и надобность в этих статьях отсутствует.
Ну а то, что фаер Доктора не учитывает все эти потребности, то тут согласен с КЮ - нафиг не нужен пользовательский фаер на сервере.

[chs]

ИМХО, стандартный фаер в 2008+ не мешает работать штатным сервисам КД, поэтому и надобность в этих статьях отсутствует.
Ну а то, что фаер Доктора не учитывает все эти потребности, то тут согласен с КЮ - нафиг не нужен пользовательский фаер на сервере.

 

Ещё как мешает. А ещё и, иногда, включается сам при применении обновлений.

[IlyaS]

Сколько работает на серверах, и не мешает. Все службы сами свои исключения включают.
Проблема может возникнуть, если вдруг неправильно определен тип сети - общественная вместо доменная, что бывает крайне редко.

[basid]

... а поскольку любая программа считает своим долгом упихнуть себя в исключения файервола, то получаем, что:

1. Штатные службы надо разрешать;

2. Нештатные разрешают себя сами и без ограничений.

По итогу файервол может быть полезен только в какой-то бипнутой ситуации, когда ваша локалка "открыта всем ветрам".