下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、AD域要开放的端口i. 用户登录与验证身份时会用到的连接端口Microsoft-DS traffic : 445/TCP 445/UDPKerberos : 88/TCP 88/UDPLDAP pi ng : 389/UDPDNS : 53/TCP 53/UDP2. 计算机登录与验证身份时会用到的连接端口Microsoft-DS traffic : 445/TCP 445/UDPKerberos : 88/TCP 88/UDPLDAP pi ng : 389/UDPDNS : 53/TCP 53/UDP3. 建立域信任时会用到的连接端口位于不同林的域在建立 显性信任(explict trust
2、 )”关系时,会用到以下的服务Microsoft-DS traffic : 445/TCP 445/UDPKerberos : 88/TCP 88/UDPLDAP :389/TCPAK 636/TCP(如果使用 SSL)LDAP pi ng : 389/UDPDNS : 53/TCP 53/UDP4. 验证域信任时会用到的连接端口两个域内的域控制器在验证信任关系时会用到以下的服务Microsoft-DS traffic : 445/TCP 445/UDPKerberos : 88/TCP 88/UDPLDAP : 389/TCPAK 636/TCP(如果使用 SSL)LDAP pi ng :
3、389/UDPDNS : 53/TCP 53/UDPNet Logon service无法被锁定在固定的一个 RPC连接端口,也就是它是使用动态的 RPC 连接端口,此时我们如何开放连接端口呢还好动态的RPC连接端口可以被限制在一个范围内,因此我们只在防火墙上开放这些范围内的RPC连接端口即可。RPC endpoint mapper : 135/TCP 135/UDP 使用动态 RPC连接端口时,需要搭配 RPC endpoint mapper服务,因此请在防火墙上开放此服务的连接端口。5. 访问文件资源时会用到的连接端口SMB over IP : 445/TCP 445/UDP6. 执行DN
4、S查询会用到的连接端口DNS : 53/TCP 53/UDP7.执行Active Directory复制会用到的连接端口两台域控制器之间在进行Active Directory复制工作时会用到以下服务。Active Directory复制:它是使用动态的RPC连接端口,如果动态的 RPC连接端口被 限制在一段范围内,我们则只需要在防火墙上开放这段范围的RPC连接端口即可(参见本节中 限制动态RPC连接端口的范围”的内容)。不过您也可以自行指定一个固定的连 接端口。kerberos : 88/TCP 88/UDPLDAP : 389/TCPAK 636/TCP(如果使用 SSL)LDAP pi n
5、g : 389/UDPDNS : 53/TCP 53/UDPSMB over IP : 445/TCP 445/UDPFile Replication Service(FRS):同一个域的域控制器之间在复制 SYSVOL文件夹内的文 件时,还会用到FRS FRS也是采用动态的RPC连接端口,如果将动态的 RPC连接端口 限制在一段范围内,就只要在防火墙开放这段范围内的RPC连接端口即可。RPC endpoint mapper : 135/TCP 135/UDP 使用动态的 RPC连接端口时,需要搭配 RPC endpoint mapper服务,因此请在防火墙开放此服务的连接端口。8.其他可能需
6、要开放的连接端口Global Catalog : 3268/TCP 3269/TCP(如果使用SSL)假设用户登录时,负责验证用户身 份的域控制器需要通过防火墙,来向 全局编录”查询用户所隶属的通用组数据时,就需 要在防火墙上开放连接端口 3268。又例如Microsoft Exchange Server需要访问位于防火墙另外一端的全局编录”您也需要开放连接端口 3268。Network Time Protocol(NTP) : 123/UDP它负责时间的同步NetBIOS的相关服务:137/TCP 137/UDP 138/UDP 139/UDP 开放这些连续的端口, 以便于通过防火墙来使用
7、NetBIOS服务,例如支持旧客户端来登录、浏览网上邻居等。9.限制动态RPC连接端口的范围Active Directory 的复制,Exchange Server的复制、Net Logon等服务是使用动态 RPC 连接端口的,也就是没有固定的连接端口,这将造成在防火墙设置上的困扰,但动态的RPC连接端口可以被限制在一段范围内,因此我们只要在防火墙上开放这段范围内的RPC连接端口即可。将动态的RPC端口限制在指定的范围内,建议从 5000开始,而且因为可能有多个应用 都在使用RPC连接端口,因此建议至少包含 20个以上的连接端口。我们需要修改注册表的方式来将动态 RPC端口限制在指定范围内。到
8、要限制动态RPC端 口范围的计算机上运行注册表编辑程序,然后通过以下路径来设置:HKEY_LOCAL_MACHINESOFTWAREMicrosoftRpc步骤1:在上述路径下添加一个名为In ternet的项步骤2 :请在In ternet的项之下添加如下三个数值步骤3:完成修改后,重新启动计算机,检查计算机内所有用到动态RPC端口的程序,是否都会使用50005020之间的端口C:> n etstat -n10.限制Active Directory数据库复制使用指定的静态端口若域功能级别不是windows Server 2008,则同一个域的域控制器之间在复制 SYSVOL 文件夹时,
9、会使用 FRS( File Replication Service ) .FRS默认使用动态 RPC端口,但是我 可以指定一个静态端口。到域控制器上运行注册表编辑程序,然后通过以下路径来设置:HKEY_LOCAL_MACHINESYSTEMCurre ntCo ntrolSetServicesNTDSParameters在上述路径添加一个如下表所示的数值,我们将端口号设置为45678,注意此端口不可以与其他服务所使用的端口相同.完成后重新启动。以后这台域控制器的FRS服务所使用 的端口将会是45678.数值名称?数据类型?数值RPC TCP/IP Port Assig nment?REG_DWORD?自定义,例如4567811.限制FRS使用指定的静态端口若域功能级别为 Windows Server 2008,贝U Windows Server 2008 域控制器之间在复制 SYSVOL文件夹时需要利用DFS复制服务,而DFS也是采用动态RPC
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 井下电气设备防爆管理制度
- 3《荷花》核心素养分层学习任务单-2022-2023学年三年级语文下册新课标(部编版)
- 2024年海口客运驾驶从业资格证考试题库及答案
- 2024年广东道路客运资格证考试题
- 2024年云南申请客运从业资格证考试题和答案
- 2024年海口客运资格证必考题答案
- 2024年云南客运从业资格证考试题技巧和方法图片
- 2024年贵阳客运员考试题库答案解析
- 2024年青岛2024年道路旅客运输从业资格证模拟试题
- 2024年衡水大客车从业资格证考试试题
- 扣眼穿刺的护理体会
- 试验设计与数据处理(第二版)李云雁(全书ppt)PPT课件
- 七年级数学上册《同类项》课件_华东师大版
- 烹饪工艺与营养专业(高专)教学计划
- 安全教育教学大纲
- 西泠印社版书法指导五年级下册《左右结构》(二)
- 超星尔雅学习通《数学文化》章节测试含答案
- 初中英语过去式过去分词默写
- 中国中铁股份有限公司项目经理管理办法(试行)
- 水果验收标准全
- 玉柴任职资格管理办法--胜任力建设必须参考该文件
评论
0/150
提交评论