AD域要開放的端口
1.用戶登錄與驗證身份時會用到的連接端口
Microsoft-DS traffic : 445/TCP 445/UDP
Kerberos : 88/TCP 88/UDP
LDAP ping : 389/UDP
DNS : 53/TCP 53/UDP
2.計算機登錄與驗證身份時會用到的連接端口
Microsoft-DS traffic : 445/TCP 445/UDP
Kerberos : 88/TCP 88/UDP
LDAP ping : 389/UDP
DNS : 53/TCP 53/UDP
3.建立域信任時會用到的連接端口
位於不同林的域在建立“顯性信任(explict trust)”關係時,會用到以下的服務。
Microsoft-DS traffic : 445/TCP 445/UDP
Kerberos : 88/TCP 88/UDP
LDAP : 389/TCPAK 636/TCP(如果使用SSL)
LDAP ping : 389/UDP
DNS : 53/TCP 53/UDP
4.驗證域信任時會用到的連接端口
兩個域內的域控制器在驗證信任關係時會用到以下的服務。
Microsoft-DS traffic : 445/TCP 445/UDP
Kerberos : 88/TCP 88/UDP
LDAP : 389/TCPAK 636/TCP(如果使用SSL)
LDAP ping : 389/UDP
DNS : 53/TCP 53/UDP
Net Logon service無法被鎖定在固定的一個RPC連接端口,也就是它是使用動態的RPC連接端口,此時我們如何開放連接端口呢?還好動態的RPC連接端口可以被限制在一個範圍內,因此我們只在防火牆上開放這些範圍內的RPC連接端口即可。
RPC endpoint mapper : 135/TCP 135/UDP 使用動態RPC連接端口時,需要搭配RPC endpoint mapper服務,因此請在防火牆上開放此服務的連接端口。
5.訪問文件資源時會用到的連接端口
SMB over IP : 445/TCP 445/UDP
6.執行DNS查詢會用到的連接端口
DNS : 53/TCP 53/UDP
7.執行Active Directory複製會用到的連接端口
兩臺域控制器之間在進行Active Directory複製工作時會用到以下服務。
Active Directory 複製 : 它是使用動態的RPC連接端口,如果動態的RPC連接端口被限制在一段範圍內,我們則只需要在防火牆上開放這段範圍的RPC連接端口即可(參見本節中“限制動態RPC連接端口的範圍”的內容)。不過您也可以自行指定一個固定的連接端口。
kerberos : 88/TCP 88/UDP
LDAP : 389/TCPAK 636/TCP(如果使用SSL)
LDAP ping : 389/UDP
DNS : 53/TCP 53/UDP
SMB over IP : 445/TCP 445/UDP
File Replication Service(FRS) : 同一個域的域控制器之間在複製SYSVOL文件夾內的文件時,還會用到FRS。FRS也是採用動態的RPC連接端口,如果將動態的RPC連接端口限制在一段範圍內,就只要在防火牆開放這段範圍內的RPC連接端口即可。
RPC endpoint mapper : 135/TCP 135/UDP 使用動態的RPC連接端口時,需要搭配RPC endpoint mapper服務,因此請在防火牆開放此服務的連接端口。
8.其他可能需要開放的連接端口
Global Catalog : 3268/TCP 3269/TCP(如果使用SSL)假設用戶登錄時,負責驗證用戶身份的域控制器需要通過防火牆,來向“全局編錄”查詢用戶所隸屬的通用組數據時,就需要在防火牆上開放連接端口3268。
又例如Microsoft Exchange Server需要訪問位於防火牆另外一端的“全局編錄”,您也需要開放連接端口3268。
Network Time Protocol(NTP) : 123/UDP 它負責時間的同步
NetBIOS的相關服務 : 137/TCP 137/UDP 138/UDP 139/UDP 開放這些連續的端口,以便於通過防火牆來使用NetBIOS服務,例如支持舊客戶端來登錄、瀏覽網上鄰居等。
9.限制動態RPC連接端口的範圍
Active Directory 的複製,Exchange Server的複製、Net Logon等服務是使用動態RPC連接端口的,也就是沒有固定的連接端口,這將造成在防火牆設置上的困擾,但動態的RPC連接端口可以被限制在一段範圍內,因此我們只要在防火牆上開放這段範圍內的RPC連接端口即可。
將動態的RPC端口限制在指定的範圍內,建議從5000開始,而且因爲可能有多個應用都在使用RPC連接端口,因此建議至少包含20個以上的連接端口。
我們需要修改註冊表的方式來將動態RPC端口限制在指定範圍內。到要限制動態RPC端口範圍的計算機上運行註冊表編輯程序REGEDIT.EXE,然後通過以下路徑來設置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
步驟1:在上述路徑下添加一個名爲Internet的項
步驟2:請在Internet的項之下添加如下三個數值
步驟3:完成修改後,重新啓動計算機,檢查計算機內所有用到動態RPC端口的程序,是否都會使用5000~5020之間的端口
C:\> netstat –n
10.限制Active Directory數據庫複製使用指定的靜態端口
若域功能級別不是windows Server 2008,則同一個域的域控制器之間在複製SYSVOL文件夾時,會使用FRS(File Replication Service).FRS默認使用動態RPC端口,但是我可以指定一個靜態端口。到域控制器上運行註冊表編輯程序REGEDIT.EXE,然後通過以下路徑來設置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
在上述路徑添加一個如下表所示的數值,我們將端口號設置爲45678,注意此端口不可以與其他服務所使用的端口相同.完成後重新啓動。以後這臺域控制器的FRS服務所使用的端口將會是45678.
數值名稱
數據類型
數值
RPC TCP/IP Port Assignment
REG_DWORD
自定義,例如45678
11.限制FRS使用指定的靜態端口
若域功能級別爲Windows Server 2008,則Windows Server 2008域控制器之間在複製SYSVOL文件夾時需要利用DFS複製服務,而DFS也是採用動態RPC端口,但是我們可以使用DFSRDIAG.EXE程序來將其設置到一個靜態端口。到域控制器上打開命令提示符,然後執行以下命令:
C:\> dfsrdiag staticRPC /port:34567
注意:此端口不可以與其他服務所用的端口相同。完成後,重新起動這臺域控制器,以後DFS複製服務所使用的端口爲34567.