Active Directory与防火墙

Active Directory 与防火墙

服务	TCP 连接端口	UDP 连接端口
RPC endpoint mapper	135	135
RPC static port for Active Directory replication	自定义
Kerberos	88	88
LDAP	389
LDAP over SSL	636
Global Catalog LDAP	3268
Global Catalog LDAP over SSL	3269
SMB over IP (Mvvicrosoft-DS)	445	445
DNSs	53	53
Network Time Protocol (NTP)		123
与 Active Directory 无关，但可能会用到的连接端口
NetBIOS name service	137	137
NetBIOS NetLogon and browsing		138
NetBIOS session service	139

一、 用户登录与验证身份时会用到的连接端口

服务	TCP 连接端口	UDP 连接端口
Microsoft-DS traffic	445	445
Kerberos	88	88
LDAP ping		389
DNS	53	53

 

二、 计算机登录与验证身份时会用到的连接端口

服务	TCP 连接端口	UDP 连接端口
Kerberos	88	88
LDAP ping		389
DNS	53	53

 

三、 建立域信任时会用到的连接端口

服务	TCP 连接端口	UDP 连接端口
Microsoft-DS traffic	445	445
Kerberos	88	88
LDAP	389 或 636 （使用 SSL ）
LDAP ping		389
DNS	53	53

 

四、 验证域信任时会用到的连接端口

服务	TCP 连接端口	UDP 连接端口
Microsoft-DS traffic	445	445
Kerberos	88	88
LDAP	389 或 636 （使用 SSL ）
LDAP ping		389
DNS	53	53
Net Logon Service	使用动态连接的端口
RPC endpoint mapper	135	135

 

五、 反问文件资源时会用到的连端口

服务	TCP 连接端口	UDP 连接端口
SMB over IP	445	445

 

六、 执行 DNS 查询时会用到的连接端口

服务	TCP 连接端口	UDP 连接端口
DNS service	53	53

 

七、 执行 Active Directory 复制会用到的连接端口

服务	TCP 连接端口	UDP 连接端口
Kerberos	88	88
LDAP	389 或 636 （使用 SSL ）
LDAP ping		389
DNS	53	53
RPC endpoint mapper	135	135
Active Directory 复制	使用动态连接的端口
File Replication Service （ FRS ）	使用动态连接的端口

 

八、 其他可能需要开放连接的端口

服务	TCP 连接端口	UDP 连接端口
Network Time Protocol （ NTP ） 负责时间同步		123
NetBIOS 的相关服务	137 和 139	137 和 138
Global Catalog	389 或 636 （使用 SSL ）

 

九、 限制动态 RPC 连接端口的范围

步骤一：运行 regedit

步骤二：查找路径： HKEY_LOCAL_MACHINE\SOFTWARE\Microsort\Rvpc

步骤三：修改 ports 键值范围（即为端口号范围）

数值名称	数据类型	数值
Ports	REG_MULTI_SZ	自定义，例如 5000~5020
PortsInternetAvailable	REG_SZ	Y
UserInternetPorts	REG_SZ	Y

 

十、让 Active Directory 复制时使用指定连接端口

步骤一：运行 regedit

步骤二：查找路径：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

步骤三：添加一个 DWORD 值，定义的数值即为端口号

数值名称	数据类型	数值
TCP/IP Port	REG_DOWORD	自定义，例如 56789