windows 域端口策略.docxVIP

域迁移，两台域控之间的端口策略 开通端口： 我们建议全部开放（我们迁移结束会邮件你们，就可以完全关闭这些端口了），因为windows有随即端口，怕对域服务器的迁移造成影响。 如果4A要求不能全部开放，请参考以下端口策略： （1）1025~5000 ? （2）49152~ 65535 （3）Active Directory 和 AD DS 复制的端口分配 ? 端口TCP 和 UDP 389TCP 636TCP 3268TCP 和 UDP 88TCP 和 UDP 53TCP 和 UDP 445TCP 25TCP 135 动态（4）Windows NT 4.0 域建立信任的端口 客户端端口服务器端口通信类型UDP 137UDP 137NetBIOS 名称解析UDP 138UDP 138NetBIOS 数据报服务TCP 动态TCP 139NetBIOS 会话服务（5）基于 Windows 2000 Server 的域控制器和基于 Windows Server 2003 的域控制器之间建立信任的端口 客户端端口服务器端口通信类型TCP 动态TCP 135RPC、EPMTCP 动态TCP 动态本地安全机构 (LSA) RPC 服务TCP 和 UDP 动态TCP389LDAPTCP 动态TCP 636LDAP SSLTCP 动态TCP 3268GCTCP 动态TCP 3269GC SSLTCP 和 UDP 53 动态TCP 和 UDP 53DNSTCP 和 UDP 动态TCP 和 UDP 88KerberosTCP 动态TCP 445SMB、DFS、LsaRPC、Nbtss、NetLogonR、SamR、SrvSvc（6）Windows Server 2003建立信任的端口 客户端端口服务器端口通信类型TCP 动态TCP 135、49152–65535RPC、EPMTCP 和 UDP 动态TCP 和 UDP 389LDAPTCP 动态TCP 636LDAP SSLTCP 动态TCP 3268GCTCP 动态TCP 3269GC SSLTCP 和 UDP 53 动态TCP 和 UDP 53DNSTCP 和 UDP 动态TCP 和 UDP 88KerberosTCP 和 UDP 动态TCP-NP 和 UDP-NP 445安全帐户管理器 (SAM)、LSATCP 动态UDP 138NetBIOS 数据报服务（7）全局编录，下表列出了全局编录服务器使用的端口。 端口通信类型TCP 3268GCTCP 3269GC SSL（8）只读域控制器，下表列出了您必须在防火墙上打开的端口，打开这些端口的目的是允许从企业网络中的可写域控制器到外围网络中只读域控制器 (RODC) 的通信。 端口通信类型TCP 135RPC、EPMTCP 静态 53248FRsRpcTCP 389LDAP（9）下表列出了必须在防火墙上打开的端口，打开这些端口的目的是允许从外围网络中 RODC 到企业网络中可写域控制器的通信 端口通信类型TCP 57344DRSUAPI、LsaRpc、NeLogonRTCP 静态 53248FRsRpcTCP 和 UDP 389LDAPTCP 3268GCTCP 445DFS、LsaRpc、NbtSS、NetLogonR、SamR、SMB、SrvSvcTCP 和 UDP 53DNSTCP 88KerberosUDP 123Windows 时间服务 (W32time)TCP 和 UDP 464Kerberos 更改/设置密码（10）下表列出了必须在防火墙上打开的端口，打开这些端口的目的是允许外围网络中成员服务器和外围网络中 RODC 的通信。只有存在将外围网络中的成员服务器与外围网络中的 RODC 隔离的内部防火墙时才必须打开这些端口。 端口通信类型TCP 135RPC、EPMTCP 和 UDP 389LDAPTCP 445DFS、LsaRpc、NbtSS、NetLogonR、SamR、SMB、SrvSvcUDP 53DNSTCP 88KerberosTCP 和 UDP 464Kerberos 更改/设置密码TCP 动态DNS、DRSUAPI、NetLogonR、SamR（11）DNS，下表列出了域名系统 (DNS) 的端口要求。 端口通信类型TCP 和 UDP 5