AD域要开放的端口

1、AD域要开放的端口i. 用户登录与验证身份时会用到的连接端口Microsoft-DS traffic : 445/TCP 445/UDPKerberos : 88/TCP 88/UDPLDAP pi ng : 389/UDPDNS : 53/TCP 53/UDP2. 计算机登录与验证身份时会用到的连接端口Microsoft-DS traffic : 445/TCP 445/UDPKerberos : 88/TCP 88/UDPLDAP pi ng : 389/UDPDNS : 53/TCP 53/UDP3. 建立域信任时会用到的连接端口位于不同林的域在建立 显性信任(explict trust

2、 )”关系时，会用到以下的服务Microsoft-DS traffic : 445/TCP 445/UDPKerberos : 88/TCP 88/UDPLDAP :389/TCPAK 636/TCP（如果使用 SSL）LDAP pi ng : 389/UDPDNS : 53/TCP 53/UDP4. 验证域信任时会用到的连接端口两个域内的域控制器在验证信任关系时会用到以下的服务Microsoft-DS traffic : 445/TCP 445/UDPKerberos : 88/TCP 88/UDPLDAP : 389/TCPAK 636/TCP（如果使用 SSL）LDAP pi ng :

3、389/UDPDNS : 53/TCP 53/UDPNet Logon service无法被锁定在固定的一个 RPC连接端口，也就是它是使用动态的 RPC 连接端口，此时我们如何开放连接端口呢还好动态的RPC连接端口可以被限制在一个范围内，因此我们只在防火墙上开放这些范围内的RPC连接端口即可。RPC endpoint mapper : 135/TCP 135/UDP 使用动态 RPC连接端口时，需要搭配 RPC endpoint mapper服务，因此请在防火墙上开放此服务的连接端口。5. 访问文件资源时会用到的连接端口SMB over IP : 445/TCP 445/UDP6. 执行DN

4、S查询会用到的连接端口DNS : 53/TCP 53/UDP7.执行Active Directory复制会用到的连接端口两台域控制器之间在进行Active Directory复制工作时会用到以下服务。Active Directory复制：它是使用动态的RPC连接端口，如果动态的 RPC连接端口被 限制在一段范围内，我们则只需要在防火墙上开放这段范围的RPC连接端口即可（参见本节中 限制动态RPC连接端口的范围”的内容）。不过您也可以自行指定一个固定的连 接端口。kerberos : 88/TCP 88/UDPLDAP : 389/TCPAK 636/TCP(如果使用 SSL)LDAP pi n

5、g : 389/UDPDNS : 53/TCP 53/UDPSMB over IP : 445/TCP 445/UDPFile Replication Service(FRS):同一个域的域控制器之间在复制 SYSVOL文件夹内的文 件时，还会用到FRS FRS也是采用动态的RPC连接端口，如果将动态的 RPC连接端口 限制在一段范围内，就只要在防火墙开放这段范围内的RPC连接端口即可。RPC endpoint mapper : 135/TCP 135/UDP 使用动态的 RPC连接端口时，需要搭配 RPC endpoint mapper服务,因此请在防火墙开放此服务的连接端口。8.其他可能需

6、要开放的连接端口Global Catalog : 3268/TCP 3269/TCP(如果使用SSL)假设用户登录时，负责验证用户身 份的域控制器需要通过防火墙，来向 全局编录”查询用户所隶属的通用组数据时，就需 要在防火墙上开放连接端口 3268。又例如Microsoft Exchange Server需要访问位于防火墙另外一端的全局编录”您也需要开放连接端口 3268。Network Time Protocol(NTP) : 123/UDP它负责时间的同步NetBIOS的相关服务：137/TCP 137/UDP 138/UDP 139/UDP 开放这些连续的端口, 以便于通过防火墙来使用

7、NetBIOS服务，例如支持旧客户端来登录、浏览网上邻居等。9.限制动态RPC连接端口的范围Active Directory 的复制，Exchange Server的复制、Net Logon等服务是使用动态 RPC 连接端口的，也就是没有固定的连接端口，这将造成在防火墙设置上的困扰，但动态的RPC连接端口可以被限制在一段范围内，因此我们只要在防火墙上开放这段范围内的RPC连接端口即可。将动态的RPC端口限制在指定的范围内，建议从 5000开始，而且因为可能有多个应用 都在使用RPC连接端口，因此建议至少包含 20个以上的连接端口。我们需要修改注册表的方式来将动态 RPC端口限制在指定范围内。到

8、要限制动态RPC端 口范围的计算机上运行注册表编辑程序，然后通过以下路径来设置：HKEY_LOCAL_MACHINESOFTWAREMicrosoftRpc步骤1:在上述路径下添加一个名为In ternet的项步骤2 :请在In ternet的项之下添加如下三个数值步骤3:完成修改后，重新启动计算机，检查计算机内所有用到动态RPC端口的程序,是否都会使用50005020之间的端口C:> n etstat -n10.限制Active Directory数据库复制使用指定的静态端口若域功能级别不是windows Server 2008，则同一个域的域控制器之间在复制 SYSVOL 文件夹时，

9、会使用 FRS( File Replication Service ) .FRS默认使用动态 RPC端口，但是我 可以指定一个静态端口。到域控制器上运行注册表编辑程序，然后通过以下路径来设置：HKEY_LOCAL_MACHINESYSTEMCurre ntCo ntrolSetServicesNTDSParameters在上述路径添加一个如下表所示的数值，我们将端口号设置为45678，注意此端口不可以与其他服务所使用的端口相同.完成后重新启动。以后这台域控制器的FRS服务所使用 的端口将会是45678.数值名称?数据类型?数值RPC TCP/IP Port Assig nment?REG_DWORD?自定义，例如4567811.限制FRS使用指定的静态端口若域功能级别为 Windows Server 2008，贝U Windows Server 2008 域控制器之间在复制 SYSVOL文件夹时需要利用DFS复制服务，而DFS也是采用动态RPC