AD域要开放的端口.docxVIP

AD域要开放的端口 1.用户登录与验证身份时会用到的连接端口Microsoft-DS traffic : 445/TCP 445/UDPKerberos : 88/TCP 88/UDPLDAP ping : 389/UDPDNS : 53/TCP 53/UDP2.计算机登录与验证身份时会用到的连接端口Microsoft-DS traffic : 445/TCP 445/UDPKerberos : 88/TCP 88/UDPLDAP ping : 389/UDPDNS : 53/TCP 53/UDP3.建立域信任时会用到的连接端口位于不同林的域在建立“显性信任（explict trust）”关系时，会用到以下的服务。Microsoft-DS traffic : 445/TCP 445/UDPKerberos : 88/TCP 88/UDPLDAP ： 389/TCPAK 636/TCP(如果使用SSL)LDAP ping : 389/UDPDNS : 53/TCP 53/UDP4.验证域信任时会用到的连接端口两个域内的域控制器在验证信任关系时会用到以下的服务。Microsoft-DS traffic : 445/TCP 445/UDPKerberos : 88/TCP 88/UDPLDAP : 389/TCPAK 636/TCP(如果使用SSL)LDAP ping : 389/UDPDNS : 53/TCP 53/UDPNet Logon service无法被锁定在固定的一个RPC连接端口，也就是它是使用动态的RPC连接端口，此时我们如何开放连接端口呢？还好动态的RPC连接端口可以被限制在一个范围内，因此我们只在防火墙上开放这些范围内的RPC连接端口即可。RPC endpoint mapper : 135/TCP 135/UDP 使用动态RPC连接端口时，需要搭配RPC endpoint mapper服务，因此请在防火墙上开放此服务的连接端口。5.访问文件资源时会用到的连接端口SMB over IP : 445/TCP 445/UDP6.执行DNS查询会用到的连接端口DNS : 53/TCP 53/UDP7.执行Active Directory复制会用到的连接端口两台域控制器之间在进行Active Directory复制工作时会用到以下服务。Active Directory 复制 ： 它是使用动态的RPC连接端口，如果动态的RPC连接端口被限制在一段范围内，我们则只需要在防火墙上开放这段范围的RPC连接端口即可（参见本节中“限制动态RPC连接端口的范围”的内容）。不过您也可以自行指定一个固定的连接端口。kerberos : 88/TCP 88/UDPLDAP : 389/TCPAK 636/TCP(如果使用SSL)LDAP ping : 389/UDPDNS : 53/TCP 53/UDPSMB over IP : 445/TCP 445/UDPFile Replication Service(FRS) : 同一个域的域控制器之间在复制SYSVOL文件夹内的文件时，还会用到FRS。FRS也是采用动态的RPC连接端口，如果将动态的RPC连接端口限制在一段范围内，就只要在防火墙开放这段范围内的RPC连接端口即可。RPC endpoint mapper : 135/TCP 135/UDP 使用动态的RPC连接端口时，需要搭配RPC endpoint mapper服务,因此请在防火墙开放此服务的连接端口。8.其他可能需要开放的连接端口Global Catalog : 3268/TCP 3269/TCP(如果使用SSL)假设用户登录时，负责验证用户身份的域控制器需要通过防火墙，来向“全局编录”查询用户所隶属的通用组数据时，就需要在防火墙上开放连接端口3268。又例如Microsoft Exchange Server需要访问位于防火墙另外一端的“全局编录”，您也需要开放连接端口3268。Network Time Protocol(NTP) : 123/UDP 它负责时间的同步NetBIOS的相关服务 ： 137/TCP 137/UDP 138/UDP 139/UDP 开放这些连续的端口，以便于通过防火墙来使用NetBIOS服务，例如支持旧客户端来登录、浏览网上邻居等。9.限制动态RPC连接端口的范围Active Directory 的复制，Exchange Server的复制、Net Logon等服务是使用动态RPC连接端口的，