AD域要開放的端口

1、AD域要開放的端口1. 用戶登錄與驗證身份時會用到的連接端口Microsoft-DS traffic : 445/TCP 445/UDPKerberos : 88/TCP 88/UDPLDAP pi ng : 389/UDPDNS : 53/TCP 53/UDP2. 計算機(jī)登錄與驗證身份時會用到的連接端口Microsoft-DS traffic : 445/TCP 445/UDPKerberos : 88/TCP 88/UDPLDAP pi ng : 389/UDPDNS : 53/TCP 53/UDP3. 建立域信任時會用到的連接端口位于不同林的域在建立 顯性信任(explict trust

2、 )”關(guān)系時，會用到以下的服務(wù)Microsoft-DS traffic : 445/TCP 445/UDPKerberos : 88/TCP 88/UDPLDAP :389/TCPAK 636/TCP（如果使用 SSL）LDAP pi ng : 389/UDPDNS : 53/TCP 53/UDP4. 驗證域信任時會用到的連接端口兩個域內(nèi)的域控制器在驗證信任關(guān)系時會用到以下的服務(wù)。Microsoft-DS traffic : 445/TCP 445/UDPKerberos : 88/TCP 88/UDPLDAP : 389/TCPAK 636/TCP（如果使用 SSL）LDAP pi ng :

3、 389/UDPDNS : 53/TCP 53/UDPNet Logon service無法被鎖定在固定的一個 RPC連接端口，也就是它是使用動 態(tài)的RPC連接端口，此時我們?nèi)绾伍_放連接端口呢？還好動態(tài)的RPC連接端口可以被限制在一個范圍內(nèi)，因此我們只在防火墻上開放這些范圍內(nèi)的RPC連接端口即可。RPC en dpoi nt map per : 135/TCP 135/UDP 使用動態(tài) RPC 連接端口時，需要搭 配RPC en dpoi nt map per服務(wù)，因此請在防火墻上開放此服務(wù)的連接端口。5. 訪問文件資源時會用到的連接端口SMB over IP : 445/TCP 445/UD

4、P6. 執(zhí)行DNS查詢會用到的連接端口DNS : 53/TCP 53/UDP7. 執(zhí)行Active Directory復(fù)制會用到的連接端口兩臺域控制器之間在進(jìn)行Active Directory復(fù)制工作時會用到以下服務(wù)。Active Directory 復(fù)制：它是使用動態(tài)的RPC連接端口，如果動態(tài)的RPC連接 端口被限制在一段范圍內(nèi)，我們則只需要在防火墻上開放這段范圍的RPC連接端口即可（參見本節(jié)中 限制動態(tài)RPC連接端口的范圍”的內(nèi)容）。不過您也可以 自行指定一個固定的連接端口。kerberos : 88/TCP 88/UDPLDAP : 389/TCPAK 636/TCP(如果使用 SSL)

5、LDAP pi ng : 389/UDPDNS : 53/TCP 53/UDPSMB over IP : 445/TCP 445/UDPFile Replicatio n Service(FRS):同一個域的域控制器之間在復(fù)制 SYSVOL文件夾 內(nèi)的文件時，還會用到FRS。FRS也是采用動態(tài)的RPC連接端口，如果將動態(tài) 的RPC連接端口限制在一段范圍內(nèi)，就只要在防火墻開放這段范圍內(nèi)的RPC連接端口即可。RPC en dpoi nt map per : 135/TCP 135/UDP 使用動態(tài)的 RPC 連接端口時，需要 搭配RPC en dpoi nt map per服務(wù),因此請在防火墻開放

6、此服務(wù)的連接端口。8. 其他可能需要開放的連接端口Global Catalog : 3268/TCP 3269/TCP(如果使用SSL)假設(shè)用戶登錄時，負(fù)責(zé)驗證 用戶身份的域控制器需要通過防火墻， 來向全局編錄”查詢用戶所隸屬的通用組 數(shù)據(jù)時，就需要在防火墻上開放連接端口 3268。又例如Microsoft Exchange Server需要訪問位于防火墻另外一端的全局編錄”您也需要開放連接端口 3268。Network Time Protocol(NTP) : 123/UDP它負(fù)責(zé)時間的同步NetBIOS的相關(guān)服務(wù)：137/TCP 137/UDP 138/UDP 139/UDP 開放這些連續(xù)

7、的 端口，以便于通過防火墻來使用 NetBIOS服務(wù)，例如支持舊客戶端來登錄、瀏 覽網(wǎng)上鄰居等。9. 限制動態(tài)RPC連接端口的范圍Active Directory 的復(fù)制，Excha nge Server的復(fù)制、Net Log on等服務(wù)是使用動 態(tài)RPC連接端口的，也就是沒有固定的連接端口，這將造成在防火墻設(shè)置上的 困擾，但動態(tài)的RPC連接端口可以被限制在一段范圍內(nèi)，因此我們只要在防火 墻上開放這段范圍內(nèi)的RPC連接端口即可。將動態(tài)的RPC端口限制在指定的范圍內(nèi)，建議從5000開始，而且因為可能有多 個應(yīng)用都在使用RPC連接端口，因此建議至少包含 20個以上的連接端口。我們需要修改注冊表的方

8、式來將動態(tài) RPC端口限制在指定范圍內(nèi)。到要限制動I 態(tài)RPC端口范圍的計算機(jī)上運行注冊表編輯程序 REGEDIT.EXE然后通過以下 路徑來設(shè)置：HKEY_LOCAL_MACHINESOFTWAREMicrosoftRpc步驟1:在上述路徑下添加一個名為In ternet的項步驟2 :請在In ternet的項之下添加如下三個數(shù)值步驟3:完成修改后，重新啟動計算機(jī)，檢查計算機(jī)內(nèi)所有用到動態(tài) RPC端口的 程序，是否都會使用50005020之間的端口C:> n etstat -n10. 限制Active Directory數(shù)據(jù)庫復(fù)制使用指定的靜態(tài)端口若域功能級別不是windows Ser

9、ver 2008，則同一個域的域控制器之間在復(fù)制 SYSVOL文件夾時，會使用 FRS (File Replication Service ) .FRS默認(rèn)使用動態(tài) RPC端口，但是我可以指定一個靜態(tài)端口。到域控制器上運行注冊表編輯程序 REGEDIT.EXE,然后通過以下路徑來設(shè)置：HKEY_LOCAL_MACHINESYSTEMCurre ntC on trolSetServicesNTDSParamete rs在上述路徑添加一個如下表所示的數(shù)值，我們將端口號設(shè)置為45678，注意此端口不可以與其他服務(wù)所使用的端口相同.完成后重新啟動。以后這臺域控制器的 FRS服務(wù)所使用的端口將會是45678.數(shù)值名稱數(shù)據(jù)類型 數(shù)值RPC TCP/IP Port Assig nmentREG DWORD自定義，例如4567811. 限制FRS使用指定的靜態(tài)端口若域功能級別為 Windows Server 2008，則 Windows Server 2008域控制器之間 在復(fù)制SYSVOL文件夾時需要利用DFS復(fù)制服務(wù)，而DFS也是采用動態(tài)RPC端 口，但是我們可