域通讯过程中所需端口概述.docVIP

域通讯过程中所需端口概述在企业通讯中,域中经常遇到中间有防火墙隔离的情况,比如两个DC需要复制,而它们之间是通过ISASERVER之类的防火墙隔离的,那么因该开启那些端口呢?那么这篇文章可以带给你的就是在域的模式下各种通讯到底需要那些端口.首先我们先把所有需要的端口给大家一个总结表,然后在个大家说明各种通讯下所需要的端口.用户登录与验证身份时会用到的连接端口用户登录时会用到以下的服务，因此如果用户的计算机与域控制器之间被防火墙隔开，就必须在防火墙开放这些服务的连接端口。Microsoft-DS traffic: 445/TCP、445/UDPKerberos: 88/TCP、 88/UDPLDAP ping: 389/UDP DNS: 53/TCP、53/UDP计算机登录与验证身份时会用到的连接端口计算机登录到域控制器时会用到以下的服务，因此如果域的成员计算机与域控制之间被防火墙隔开，就必须在防火墙开放这些服务的连接端口。Microsoft-DS traffic: 445/TCP、445/UDPKerberos: 88/TCP、 88/UDPLDAP ping: 389/UDPDNS: 53/TCP、53/UDP建立域信任时会用到的连接端口位于不同林的域在建立“显性信任（explicit trust）”关系时，会用到以下的服务，因此如果这两个域的域控制器之间被防火墙隔开，就必须在防火墙开放这些服务的连接端口。Microsoft-DS traffic: 445/TCP、445/UDPKerberos: 88/TCP、 88/UDPLDAP：389/TCPAK 636/TCP（如果使用SSL）LDAP ping: 389/UDPDNS: 53/TCP、53/UDP验证域信任时会用到的连接端口两个域内的域控制器在验证信任关系时会用到以下的服务，因此如果这两台域控制器之间被防火墙隔开，必须在防火墙开放这些服务的连接端口。Microsoft-DS traffic: 445/TCP、445/UDPKerberos: 88/TCP、 88/UDPLDAP：389/TCPAK 636/TCP（如果使用SSL）LDAP ping: 389/UDPDNS: 53/TCP、53/UDPNet Logon service 无法被锁定在固定的一个RPC连接端口，也就是它是使用动态的RPC连接端口，此时我们如何开放连接端口呢？还好动态的RPC连接端口可以被限制在一个范围内因此我们只要在防火墙上开放这优范围内的RPC连接端口即可。RPC endpoint mapper:135/TCP、135/UDP 使用动态RPC连接端口时，需要搭配RPC endpoint mapper服务，因此请在防火墙开放此服务的连接端口。访问文件资源时会用到的连接端口访问文件资源时所使用的服务为SMB over IP (445/TCP, 445/UDP),因此如果用户的计算机与资源所在的计算机被防火墙隔开，就必须在防火墙开放这个服务的连接端口。执行DNS查询时会用到的连接端口如果要通过防火墙来向DNS服务器提出查询要求，例如查询域控制器的IP地址，就必须开放DNS服务的连接端口：53/TCP与53/UDP。执行Active Directory 复制会用到的连接端口两台域控制器之间在进行Active Directory 复制工作时会用到以下的服务，因此如果这两台域控制器之间被防火墙隔开，就必须在防火墙开放这些服务的连接端口：Active Directory复制 它是使用动态的RPC连接端口，如果动态的RPC连接端口被限制在一段范围内，我们则只要在防火墙内开放这段范围内的RPC连接端口即可（参见本节中“限制动态RPC连接端口的范围”的内容）。不过您也可以自行指定一个固定的连接端口Kerberos: 88/TCP、 88/UDPLDAP：389/TCPAK 636/TCP（如果使用SSL）LDAP ping: 389/UDPDNS: 53/TCP、53/UDPSMB overIP:445/TCP、445/UDPFile Replication Service(FRS) 同一个域的域控制器之间在复制SYSVOL文件夹内的文件时，还会用到FRS。FRS也是采用动态的RPC连接端口，如果将动态的RPC连接端口限制在一段范围内，就只要在防火墙开放这段范围内的RPC连接端口即可。RPC endpoint mapper:135/TCP、135/UDP 使用动态RPC连接端口时，需要搭配RPC endpoint mapper服务，因此请在防火墙开放此服务的连接端口。其他可能需要开放的连接端口Global Catalog