在有网络安全策略的环境加域所需要启开的端口

客户要求AD服务器和应用服务器分开部署,分别放置于不同的工作区域。2台服务器之间通过路由做访问策略。

经过查看微软白皮书,域需要开启如下端口:

DNS : 53/TCP,53/UDP
Kerberos : 88/TCP,88/UDP
Network Time Protocol(NTP) : 123/UDP
NetBIOS的相关服务 : 137/UDP,138/UDP,139/TCP
LDAP : 389/TCP,389/UDP
SMB over IP : 445/TCP,445/UDP
Global Catalog : 3268/TCP

接着,问题来了,加域过程能正常解析,但是在最终确认后出现如下报错:

“终结点映射器中没有更多的终结点可用”

 

 

第一次遇到过,google,baidu找了一个便,众说纷纭。没有任何正确答案!更有号称是微软的MVP直接推荐AD和需要加域的服务器之间不建议使用网络策略!真心想骂这种不负责的微软MVP

 

只能自己找环境测试。在AD上使用网络防火墙,开启上述的端口做测试,整个加域过程中出现如下端口不能访问的日志:(需要一个TCP1026 入站)

开启相应端口,顺利加入到域

 

 

 

后期是否还需要进一步开一些端口,有待测试

本文出自 “fishvsfrog” 博客,谢绝转载!

你可能感兴趣的:(防火墙,端口,ad,域控)