После установки на Windows Server
После установки на Windows Server 2003 Пакета исправлений SP1 - появляется возможность установки на систему дополнительного компонента - Мастера настройки безопасности (scw.exe)
Специальный файл справки по этому компоненту появляется даже на рабочем столе.
Кроме множества действий по конфигурации безопасности он также выполняет настройку брандмауэра для сетевой карты. Даже если ваша система является контроллером домена.
вот пример его настроек брандмауэра для контроллера домена (примерная конфигурация):
Конфигурация профиля Domain:
-------------------------------------------------------------------
Рабочий режим = Enable
Режим исключения = Enable
Режим многоадресных и широковещательных ответов = Enable
Режим уведомления = Enable
Конфигурация службы для профиля Domain:
Режим Настройка Имя
-------------------------------------------------------------------
Enable Нет Общий доступ к файлам и принтерам
Enable Нет Дистанционное управление рабочим столом
Конфигурация разрешенных программ для профиля Domain:
Режим Имя / Программа
-------------------------------------------------------------------
Enable C:\WINDOWS\system32\lsass.exe / C:\WINDOWS\system32\lsass.exe
Enable C:\WINDOWS\system32\ntfrs.exe / C:\WINDOWS\system32\ntfrs.exe
Enable C:\WINDOWS\system32\scshost.exe / C:\WINDOWS\system32\scshost.exe
Конфигурация порта для профиля Domain:
Порт Протокол Режим Имя
-------------------------------------------------------------------
53 TCP Enable Порт 53 TCP
88 TCP Enable Порт 88 TCP
135 TCP Enable Порт 135 TCP
137 TCP Enable Порт 137 TCP
389 TCP Enable Порт 389 TCP
464 TCP Enable Порт 464 TCP
636 TCP Enable Порт 636 TCP
3268 TCP Enable Порт 3268 TCP
3269 TCP Enable Порт 3269 TCP
53 UDP Enable Порт 53 UDP
67 UDP Enable Порт 67 UDP
88 UDP Enable Порт 88 UDP
123 UDP Enable Порт 123 UDP
389 UDP Enable Порт 389 UDP
464 UDP Enable Порт 464 UDP
139 TCP Enable Порт 139 TCP
445 TCP Enable Порт 445 TCP
137 UDP Enable Порт 137 UDP
138 UDP Enable Порт 138 UDP
3389 TCP Enable Порт 3389 TCP
Конфигурация ICMP для профиля Domain:
Режим Тип Описание
-------------------------------------------------------------------
Enable 8 Разрешать запрос входящего эха
Конфигурация журнала:
-------------------------------------------------------------------
Размещение файла = C:\WINDOWS\pfirewall.log
Наибольший размер файла = 4096 КБ
Пропущенные пакеты = Disable
Подключения = Disable
Конфигурация брандмауэра Подключение по локальной сети:
-------------------------------------------------------------------
Рабочий режим = Enable
Рекомендую воспользоваться именно им.
Однако, перед всяким изменением конфигурации рабочих систем необходимо вначале протестировать эти изменения.
Вот вы включили брандмауэр на вашем контроллере и получили проблемы - этого и следовало ожидать - даже если вспомнить что одна из основных задач его - блокировать входящие подключения к системе - что клиенты домена непременно должны делать - хотябы для обращениям к объектам Active Directory