资料-AD域要开放的端口-20180611 下载本文

内容发布更新时间 : 2024/11/17 15:38:56星期一 下面是文章的全部内容请认真阅读。

资料-AD域要开放的端口

1. 用户登陆与验证身份时会用到的连接端口

Service Microsoft-DS traffic Kerberos LDAP Ping DNS 2. 建立去英国信任时会用到的连接端口

TCP Port 445 88 53 UDP Port 445 88 389 53 备注 位于不同林的域在建立“显示信任(explict trust)”关系时,会用到以下的服务。

Service Microsoft-DS traffic Kerberos LDAP Ping DNS LDAP 3. 验证信任时会用到的连接端口

TCP Port 445 88 389 53 636 UDP Port 445 88 389 53 备注 如果使用SSL 两个域内的域控制器在验证信任关系时会用到以下的服务

Service Microsoft-DS traffic Kerberos LDAP Ping DNS LDAP TCP Port 445 88 389 53 636 UDP Port 445 88 389 53 备注 如果使用SSL Net Logon service无法被锁在固定的一个RPC连接端口,也就是它是使用动态的RPC连接端口,此时我们如何开放连接端口呢?还好动态的RPC连接端口可以被限制在一个范围内,因此我们只在防火墙上开放这些范围内的RPC连接端口即可。 RPC endpoint mapper:

135/TCP 135/UDP 使用动态的RPC连接端口时,需要搭配RPC endpoint mapper服务,因此请在防火墙开放此服务的连接端口。 4. 访问文件资源时会用到的连接端口

Service SMB over IP 5. 执行DNS查询会用到的连接端口

TCP Port 445 UDP Port 445 备注 Service DNS TCP Port 53 UDP Port 53 备注 6. 执行Active Directory复制会用到的连接端口

两如域控制器之间在进行Active Directory复制工作时会用到以下服务。

Active Directory复制:它是使用动态的RPC连接端口,如果动态的RPC连接端口限制在一段范围内,我们则只需要在防火墙上开放这段范围的RPC连接端口即可(参见本节中“限制动态RPC连接端口的范围的内容)。不过您也可以自行指定一个固定的连接商品。 Service Microsoft-DS traffic Kerberos LDAP Ping DNS LDAP TCP Port 445 88 389 53 636 UDP Port 445 88 389 53 备注 如果使用SSL File Replication Service(FRS):

同一个域的域控制器之间在复制SYSVOL文件夹内的文件时,还会用到FRS。FRS也是采用动态的RPC连接端口,如果将动态的RPC连接端口限制在一段范围内,就只要在防火墙开放这段范围内的RPC连接端口即可。 RPC endpoint mapper:

135/TCP 135/UDP 使用动态的RPC连接端口时,需要搭配RPC endpoint mapper服务,因此请在防火墙开放此服务的连接端口。 7. 其他可能需要开放的连接端口

Global Catalog:

3268/TCP 3269/TCP(如果使用SSL)假设用户登录时,负责验证用户身份的域控制器需要通过防火墙,来向“全局编录”查询用户所隶属的通用组数据时,就需要在防火墙上开放连接端口3268。

又例如Microsoft Exchange Server需要访问位于防火墙另外一端的“全局编录”,你也需要开放连接端口3268。

Network Time Protocol(NTP):123/UDP Time rync

NetBIOS的相关服务:137/TCP 137/UDP 138/UDP 139/UDP开放这些连接的商品,以便于通过防火墙来使用NetBIOS服务,例如支持旧客户端来登录,浏览网上邻居等。

8. 限制动态RPC连接端口的范围

Active Directory的复制,Exchange Server的复制,Net Logon等服务是使用动态RPC连接端口的,也就是没有固定的连接端口,这将造成在防火墙设置上的困扰,但动态的RPC连接端口可以被限制在一段范围内,因此我们只要在防火墙上开放这段范围内的RPC连接端口即可。