我正在尝试为 Windows Server 2012 主机(域控制器)设置防火墙,该主机也充当我们的路由器。它有两个 NIC - 一个面向互联网,一个面向内联网。显然,我想阻止许多面向互联网的端口,而不是在内部阻止它们。
最直接的方法似乎是进入服务器上的 Windows 防火墙并点击“Windows 防火墙属性”。在“受保护的网络连接”下,我将域和私有配置文件设置为包括内联网,但取消选中互联网,在公共配置文件中,我只选中了互联网 NIC。
我从 TCP 和 UDP 的特定端口规则中删除了公共配置文件。所有三个适配器都显示“与规则不匹配的传入连接将被阻止”。但是,当我使用 Internet 测试实用程序检查端口时,端口仍然显示“打开”。我遗漏了什么?
当我通过日志进行故障排除时,我看到一个陌生 IP 地址的条目,上面只显示“允许”。没有迹象表明为什么允许它或与哪个配置文件相关联。我尝试重新启动服务器,但没有任何变化。
答案1
不要这样做——特别是如果你关心安全的话。
多宿主域控制器是一种不好的做法。
在域控制器上运行 DNS 和 AD DS 之外的角色是不好的做法。
在充当路由器的服务器上安装额外的角色是不好的做法。
将域控制器暴露在互联网上是不好的做法。
安装两个独立的服务器来支持这些截然不同的功能。
答案2
我相信我已经解决了自己的问题,在此发布,以便其他遇到同样问题的人可以参考。我省略的一个细节是,有问题的端口是 DNS,即端口 53。DNS 服务器设置为侦听两个接口 IP 地址。因此,DNS 服务器正在调用防火墙并要求打开该端口。一旦我将 DNS 服务器限制为内部 IP 地址,该端口就会注册为对互联网关闭。因此,如果其他人遇到类似的问题,请务必考虑是否有任何应用程序可能会尽管防火墙进行了努力,但仍将端口推开。