AD域要开放的端口.doc
4页
AD域要开放的端口1. 用户登录与验证身份时会用到的连接端口Microsoft-DStraffic:445/TCP445/UDPKerberos:88/TCP88/UDPLDAPping:389/UDPDNS:53/TCP53/UDP2. 计算机登录与验证身份时会用到的连接端口Microsoft-DStraffic:445/TCP445/UDPKerberos:88/TCP88/UDPLDAPping:389/UDPDNS:53/TCP53/UDP3. 建立域信任时会用到的连接端口位于不同林的域在建立''显性信任(explicttrust)〃关系时,会用到以下的服务Microsoft-DStraffic:445/TCP445/UDPKerberos:88/TCP88/UDPLDAP:389/TCPAK636/TCP(如果使用SSL)LDAPping:389/UDPDNS:53/TCP53/UDP4. 验证域信任时会用到的连接端口两个域内的域控制器在验证信任关系时会用到以下的服务Microsoft-DStraffic:445/TCP445/UDPKerberos:88/TCP88/UDPLDAP:389/TCPAK636/TCP(如果使用SSL)LDAPping:389/UDPDNS:53/TCP53/UDPNetLogonservice无法被锁定在固定的一个RPC连接端口,也就是它是使用动态的RPC连接端口,此时我们如何开放连接端口呢?还好动态的RPC连接端口可以被限制在一个范围内,因此我们只在防火墙上开放这些范围内的RPC连接端口即可。
RPCendpointmapper:135/TCP135/UDP使用动态RPC连接端口时,需要搭配RPCendpointmapper服务,因此请在防火墙上开放此服务的连接端口5. 访问文件资源时会用到的连接端口SMBoverIP:445/TCP445/UDP6. 执行DNS查询会用到的连接端口DNS:53/TCP53/UDP7执行ActiveDirectory复制会用到的连接端口两台域控制器之间在进行ActiveDirectory复制工作时会用到以下服务ActiveDirectory复制:它是使用动态的RPC连接端口,如果动态的RPC连接端口被限制在一段范围内,我们则只需要在防火墙上开放这段范围的RPC连接端口即可(参见本节中''限制动态RPC连接端口的范围〃的内容)不过您也可以自行指定一个固定的连接端口kerberos:88/TCP88/UDPLDAP:389/TCPAK636/TCP(如果使用SSL)LDAPping:389/UDPDNS:53/TCP53/UDPSMBoverIP:445/TCP445/UDPFileReplicationService(FRS):同一个域的域控制器之间在复制SYSVOL文件夹内的文件时,还会用到FRS。
FRS也是采用动态的RPC连接端口,如果将动态的RPC连接端口限制在一段范围内,就只要在防火墙开放这段范围内的RPC连接端口即可RPCendpointmapper:135/TCP135/UDP使用动态的RPC连接端口时,需要搭配RPCendpointmapper服务,因此请在防火墙开放此服务的连接端口8.其他可能需要开放的连接端口GlobalCatalog:3268/TCP3269/TCP(如果使用SSL)假设用户登录时,负责验证用户身份的域控制器需要通过防火墙,来向“全局编录”查询用户所隶属的通用组数据时,就需要在防火墙上开放连接端口3268又例如MicrosoftExchangeServer需要访问位于防火墙另外一端的“全局编录”,您也需要开放连接端口3268NetworkTimeProtocol(NTP):123/UDP它负责时间的同步NetBIOS的相关服务:137/TCP137/UDP138/UDP139/UDP开放这些连续的端口,以便于通过防火墙来使用NetBIOS服务,例如支持旧客户端来登录、浏览网上邻居等9限制动态RPC连接端口的范围ActiveDirectory的复制,ExchangeServer的复制、NetLogon等服务是使用动态RPC连接端口的,也就是没有固定的连接端口,这将造成在防火墙设置上的困扰,但动态的RPC连接端口可以被限制在一段范围内,因此我们只要在防火墙上开放这段范围内的RPC连接端口即可。
将动态的RPC端口限制在指定的范围内,建议从5000开始,而且因为可能有多个应用都在使用RPC连接端口,因此建议至少包含20个以上的连接端口我们需要修改注册表的方式来将动态RPC端口限制在指定范围内到要限制动态RPC端口范围的计算机上运行注册表编辑程序REGEDIT.EXE,然后通过以下路径来设置:HKEY_LOCAl__MACHINE\SOFTWARE\Microsoft\Rpc步骤1:在上述路径下添加一个名为Internet的项步骤2:请在Internet的项之下添加如下三个数值步骤3:完成修改后,重新启动计算机,检查计算机内所有用到动态RPC端口的程序,是否都会使用5000〜5020之间的端口C:\>netstat-n10.限制ActiveDirectory数据库复制使用指定的静态端口若域功能级别不是windowsServer2008,则同一个域的域控制器之间在复制SYSVOL文件夹时,会使用FRS(FileReplicationService).FRS默认使用动态RPC端口,但是我可以指定一个静态端口到域控制器上运行注册表编辑程序REGEDIT.EXE,然后通过以下路径来设置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters在上述路径添加一个如下表所示的数值,我们将端口号设置为45678,注意此端口不可以与其他服务所使用的端口相同.完成后重新启动。
以后这台域控制器的FRS服务所使用的端口将会是45678.数值名称数据类型数值RPCTCP/IPPortAssignmentREG_DWORD自定义,例如4567811.限制FRS使用指定的静态端口若域功能级别为WindowsServer2008,则WindowsServer2008域控制器之间在复制SYSVOL文件夹时需要利用DFS复制服务,而DFS也是采用动态RPC端口,但是我们可以使用DFSRDIAG.EXE程序来将其设置到一个静态端口到域控制器上打开命令提示符,然后执行以下命令:C:\>dfsrdiagstaticRPC/port:34567注意:此端口不可以与其他服务所用的端口相同完成后,重新起动这台域控制器,以后DFS复制服务所使用的端口为34567.。
