資源描述:
《AD域要開放的端口》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、AD域要開放的端口1.用戶登錄與驗(yàn)證身份時(shí)會(huì)用到的連接端口Microsoft-DStraffic:445/TCP445/UDPKerberos:88/TCP88/UDPLDAPping:389/UDPDNS:53/TCP53/UDP2.計(jì)算機(jī)登錄與驗(yàn)證身份時(shí)會(huì)用到的連接端口Microsoft-DStraffic:445/TCP445/UDPKerberos:88/TCP88/UDPLDAPping:389/UDPDNS:53/TCP53/UDP3.建立域信任時(shí)會(huì)用到的連接端口位于不同林的域在建立“顯性信任(explicttrust)”關(guān)系時(shí),會(huì)用到以下的服務(wù)。Microsoft-D
2、Straffic:445/TCP445/UDPKerberos:88/TCP88/UDPLDAP:389/TCPAK636/TCP(如果使用SSL)LDAPping:389/UDPDNS:53/TCP53/UDP4.驗(yàn)證域信任時(shí)會(huì)用到的連接端口兩個(gè)域內(nèi)的域控制器在驗(yàn)證信任關(guān)系時(shí)會(huì)用到以下的服務(wù)。Microsoft-DStraffic:445/TCP445/UDPKerberos:88/TCP88/UDPLDAP:389/TCPAK636/TCP(如果使用SSL)LDAPping:389/UDPDNS:53/TCP53/UDPNetLogonservice無法被鎖定在固定的一個(gè)RPC
3、連接端口,也就是它是使用動(dòng)態(tài)的RPC連接端口,此時(shí)我們?nèi)绾伍_放連接端口呢?還好動(dòng)態(tài)的RPC連接端口可以被限制在一個(gè)范圍內(nèi),因此我們只在防火墻上開放這些范圍內(nèi)的RPC連接端口即可。RPCendpointmapper:135/TCP135/UDP使用動(dòng)態(tài)RPC連接端口時(shí),需要搭配RPCendpointmapper服務(wù),因此請(qǐng)?jiān)诜阑饓ι祥_放此服務(wù)的連接端口。5.訪問文件資源時(shí)會(huì)用到的連接端口SMBoverIP:445/TCP445/UDP6.執(zhí)行DNS查詢會(huì)用到的連接端口DNS:53/TCP53/UDP7.執(zhí)行ActiveDirectory復(fù)制會(huì)用到的連接端口兩臺(tái)域控制器之間在進(jìn)行Act
4、iveDirectory復(fù)制工作時(shí)會(huì)用到以下服務(wù)。ActiveDirectory復(fù)制:它是使用動(dòng)態(tài)的RPC連接端口,如果動(dòng)態(tài)的RPC連接端口被限制在一段范圍內(nèi),我們則只需要在防火墻上開放這段范圍的RPC連接端口即可(參見本節(jié)中“限制動(dòng)態(tài)RPC連接端口的范圍”的內(nèi)容)。不過您也可以自行指定一個(gè)固定的連接端口。kerberos:88/TCP88/UDPLDAP:389/TCPAK636/TCP(如果使用SSL)LDAPping:389/UDPDNS:53/TCP53/UDPSMBoverIP:445/TCP445/UDPFileReplicationService(FRS):同一個(gè)域的
5、域控制器之間在復(fù)制SYSVOL文件夾內(nèi)的文件時(shí),還會(huì)用到FRS。FRS也是采用動(dòng)態(tài)的RPC連接端口,如果將動(dòng)態(tài)的RPC連接端口限制在一段范圍內(nèi),就只要在防火墻開放這段范圍內(nèi)的RPC連接端口即可。RPCendpointmapper:135/TCP135/UDP使用動(dòng)態(tài)的RPC連接端口時(shí),需要搭配RPCendpointmapper服務(wù),因此請(qǐng)?jiān)诜阑饓﹂_放此服務(wù)的連接端口。8.其他可能需要開放的連接端口GlobalCatalog:3268/TCP3269/TCP(如果使用SSL)假設(shè)用戶登錄時(shí),負(fù)責(zé)驗(yàn)證用戶身份的域控制器需要通過防火墻,來向“全局編錄”查詢用戶所隸屬的通用組數(shù)據(jù)時(shí),就需要
6、在防火墻上開放連接端口3268。又例如MicrosoftExchangeServer需要訪問位于防火墻另外一端的“全局編錄”,您也需要開放連接端口3268。NetworkTimeProtocol(NTP):123/UDP它負(fù)責(zé)時(shí)間的同步NetBIOS的相關(guān)服務(wù):137/TCP137/UDP138/UDP139/UDP開放這些連續(xù)的端口,以便于通過防火墻來使用NetBIOS服務(wù),例如支持舊客戶端來登錄、瀏覽網(wǎng)上鄰居等。9.限制動(dòng)態(tài)RPC連接端口的范圍ActiveDirectory的復(fù)制,ExchangeServer的復(fù)制、NetLogon等服務(wù)是使用動(dòng)態(tài)RPC連接端口的,也就是沒有固
7、定的連接端口,這將造成在防火墻設(shè)置上的困擾,但動(dòng)態(tài)的RPC連接端口可以被限制在一段范圍內(nèi),因此我們只要在防火墻上開放這段范圍內(nèi)的RPC連接端口即可。將動(dòng)態(tài)的RPC端口限制在指定的范圍內(nèi),建議從5000開始,而且因?yàn)榭赡苡卸鄠€(gè)應(yīng)用都在使用RPC連接端口,因此建議至少包含20個(gè)以上的連接端口。我們需要修改注冊(cè)表的方式來將動(dòng)態(tài)RPC端口限制在指定范圍內(nèi)。到要限制動(dòng)態(tài)RPC端口范圍的計(jì)算機(jī)上運(yùn)行注冊(cè)表編輯程序REGEDIT.EXE,然后通過以下路徑來設(shè)置:HKEY_LOCAL