域控制器与防火墙
做域控部署的朋友们肯定都头疼过一个问题那就是域控制器与防火墙的问题,在例如军工等企业中网络环境是需要经过测评的,所以网络建设也是规规矩矩的途径来走,服务器就是在服务器区,客户就是在客户区,中间防火墙为隔,那么就有一个问题出现了,域客户端在和域控制器之间正常交互的时候会涉及到很多的动态端口,如果这些端口有问题例如没有在防火墙上开放那么就会出现各种郁闷的问题,所以此处就给大家列出了域控制器与域控制器及客户端之间正常交互需要开放的端口,以及动态端口的设置方案;
![clip_p_w_picpath002[4] clip_p_w_picpath002[4]](https://s1.51cto.com/attachment/201401/14/8362123_1389706359xABF.jpg)
![clip_p_w_picpath004 clip_p_w_picpath004](https://s1.51cto.com/attachment/201401/14/8362123_1389706359wKfN.jpg)
防止图像不能显示,下面附上文字部分;
域控制器防火墙配置参考 |
|
|
|
| 服务 | 端口号 | 作用 | 备注 |
| TCP | UDP |
|
|
| Microsoft-DS traffic | 445 | 445 | 用户登录、计算机登录、建立域间信任、域控制器间同步复制 |
| Kerberos | 88 | 88 | 用户登录、计算机登录、建立域间信任、域控制器间同步复制 |
| LDAP ping |
| 389 | 用户登录、计算机登录、建立域间信任、域控制器间同步复制 |
| DNS | 53 | 53 | 用户登录、计算机登录、建立域间信任、DNS查询及复制、域控制器间同步复制 |
| LDAP | 389或636 |
| 建立域间信任、域控制器间同步复制 | 如果使用SSL,则是636 | RPC | 动态 |
| 建立域间信任、域控制器间同步复制、Exchange Server的复制、Net Logon等服务是使用 | 1.运行注册表编辑程序REGEDIT.EXE,然后通过以下路径来设置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc在上述路径下添加一个名为Internet的项 2.在Internet的项之下添加如下三个数值 Ports (多字符串) 数值:5000-5020(自定义) PortsInternetAvailable(字符串) 数值:Y UseInternetPorts (字符串) 数值:Y 3.重启计算机 建议端口范围至少包含20个以上。 | RPC endpoint mapper | 135 | 135 | 建立域间信任、域控制器间同步复制 |
| SMB over IP | 445 | 445 | 访问文件资源、域控制器间同步复制 |
| File Replication Service(FRS) | 动态 |
| 域控制器间同步复制(域功能级别windows server 2003及以下使用) | 1.域控制器上运行注册表编辑程序REGEDIT.EXE,然后通过以下路径来设置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters 2.添加 RPC TCP/IP Port Assignment(REG_DWORD) 数值:45678(自定义) 3.重启计算机 | Distributed File System Replication (DFSR) | 动态 |
| 域控制器间同步复制(域功能级别windows server 2008及以上使用) | 1.执行命令dfsrdiag staticRPC /port:34567(自定义) 2. 重启域控制器 | NTDS | 动态 |
| 活动目录数据库同步 | 1.域控制器上运行注册表编辑程序REGEDIT.EXE,然后通过以下路径来设置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters 2.添加 TCP/IP Port(REG_DWORD) 数值:56789(自定义) 3.重启计算机 | Global Catalog(GC) | 3268、3269 |
| 全局编录服务器使用端口 |
| Network Time Protocol(NTP) |
| 123 | 时钟同步 |
| NetBIOS | 137、139 | 137、138 | 支持旧客户端登录以及浏览网上邻居 |
|
|
其中涉及到了部分动态端口,可以按照上表备注部分提示到域控制器注册表中修改设置,此处为了大家的方便写出了注册表的导入文件,拷贝到目标域控制器双击即可,然后找到对应的注册表项即可获得设置后的静态端口范围;下载链接:动态端口设置http://pan.baidu.com/share/link?shareid=2768872186&uk=3627816260
(注意,此处只是动态端口的设置,静态端口依旧需要参考上诉端口依次开放);
![clip_p_w_picpath006 clip_p_w_picpath006](https://s1.51cto.com/attachment/201401/14/8362123_1389706359pZtz.jpg)
转载于:https://blog.51cto.com/guozhengyuan/1351661