AD域要开放的端口 下载本文

内容发布更新时间 : 2024/12/23 14:29:06星期一 下面是文章的全部内容请认真阅读。

精心整理

AD域要开放的端口

1.用户登录与验证身份时会用到的连接端口

Microsoft-DS traffic : 445/TCP 445/UDP

Kerberos : 88/TCP 88/UDP

LDAP ping : 389/UDP DNS : 53/TCP 53/UDP 2.计算机登录与验证身份时会用到的连接端口 Microsoft-DS traffic : 445/TCP 445/UDP Kerberos : 88/TCP 88/UDP LDAP ping : 389/UDP DNS : 53/TCP 53/UDP 3.建立域信任时会用到的连接端口 位于不同林的域在建立“显性信任(explict trust)”关系时,会用到以下的服务。 Microsoft-DS traffic : 445/TCP 445/UDP Kerberos : 88/TCP 88/UDP LDAP : 389/TCPAK 636/TCP(如果使用SSL)

LDAP ping : 389/UDP

DNS : 53/TCP 53/UDP

4.验证域信任时会用到的连接端口

两个域内的域控制器在验证信任关系时会用到以下的服务。

精心整理

Microsoft-DS traffic : 445/TCP 445/UDP

Kerberos : 88/TCP 88/UDP

LDAP : 389/TCPAK 636/TCP(如果使用SSL)

LDAP ping : 389/UDP

DNS : 53/TCP 53/UDP Net Logon service无法被锁定在固定的一个RPC连接端口,也就是它是使用动态的RPC连接端口,此时我们如何开放连接端口呢?还好动态的RPC连接端口可以被限制在一个范围内,因此我们只在防火墙上开放这些范围内的RPC连接端口即可。 RPC endpoint mapper : 135/TCP 135/UDP 使用动态RPC连接端口时,需要搭配RPC endpoint mapper服务,因此请在防火墙上开放此服务的连接端口。 5.访问文件资源时会用到的连接端口 SMB over IP : 445/TCP 445/UDP 6.执行DNS查询会用到的连接端口 DNS : 53/TCP 53/UDP 7.执行Active Directory复制会用到的连接端口 两台域控制器之间在进行Active Directory复制工作时会用到以下服务。 Active Directory 复制 : 它是使用动态的RPC连接端口,如果动态的RPC连接端口被限制在一段范围内,我们则只需要在防火墙上开放这段范围的RPC连接端口即可(参见本节中“限制动态RPC连接端口的范围”的内容)。不过您也可以自行指定一个固定的连接端口。

kerberos : 88/TCP 88/UDP

LDAP : 389/TCPAK 636/TCP(如果使用SSL)

LDAP ping : 389/UDP

DNS : 53/TCP 53/UDP

精心整理

SMB over IP : 445/TCP 445/UDP

File Replication Service(FRS) : 同一个域的域控制器之间在复制SYSVOL文件夹内的文件时,还会用到FRS。FRS也是采用动态的RPC连接端口,如果将动态的RPC连接端口限制在一段范围内,就只要在防火墙开放这段范围内的RPC连接端口即可。

RPC endpoint mapper : 135/TCP 135/UDP 使用动态的RPC连接端口时,需要搭配RPC endpoint mapper服务,因此请在防火墙开放此服务的连接端口。 8.其他可能需要开放的连接端口 Global Catalog : 3268/TCP 3269/TCP(如果使用SSL)假设用户登录时,负责验证用户身份的域控制器需要通过防火墙,来向“全局编录”查询用户所隶属的通用组数据时,就需要在防火墙上开放连接端口3268。 又例如Microsoft Exchange Server需要访问位于防火墙另外一端的“全局编录”,您也需要开放连接端口3268。 Network Time Protocol(NTP) : 123/UDP 它负责时间的同步 NetBIOS的相关服务 : 137/TCP 137/UDP 138/UDP 139/UDP 开放这些连续的端口,以便于通过防火墙来使用NetBIOS服务,例如支持旧客户端来登录、浏览网上邻居等。 9.限制动态RPC连接端口的范围 Active Directory 的复制,Exchange Server的复制、Net Logon等服务是使用动态RPC连接端口的,也就是没有固定的连接端口,这将造成在防火墙设置上的困扰,但动态的RPC连接端口可以被限制在一段范围内,因此我们只要在防火墙上开放这段范围内的RPC连接端口即可。 将动态的RPC端口限制在指定的范围内,建议从5000开始,而且因为可能有多个应用都在使用RPC连接端口,因此建议至少包含20个以上的连接端口。 我们需要修改注册表的方式来将动态RPC端口限制在指定范围内。到要限制动态RPC端口范围的计算机上运行注册表编辑程序REGEDIT.EXE,然后通过以下路径来设置:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Rpc 步骤1:在上述路径下添加一个名为Internet的项

步骤2:请在Internet的项之下添加如下三个数值

步骤3:完成修改后,重新启动计算机,检查计算机内所有用到动态RPC端口的程序,是否都会使用5000~5020之间的端口