資源描述:
《AD域要開放的端口》由會員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�。
1、AD域要開放的端口1.用戶登錄與驗(yàn)證身份時(shí)會用到的連接端口Microsoft-DStraffic:445/TCP445/UDPKerberos:88/TCP88/UDPLDAPping:389/UDPDNS:53/TCP53/UDP2.計(jì)算機(jī)登錄與驗(yàn)證身份時(shí)會用到的連接端口Microsoft-DStraffic:445/TCP445/UDPKerberos:88/TCP88/UDPLDAPping:389/UDPDNS:53/TCP53/UDP3.建立域信任時(shí)會用到的連接端口位于不同林的域在建立“顯性信任(explicttrust)”關(guān)系時(shí)��,會用到以下的服務(wù)�����。Microsoft-D
2���、Straffic:445/TCP445/UDPKerberos:88/TCP88/UDPLDAP:389/TCPAK636/TCP(如果使用SSL)LDAPping:389/UDPDNS:53/TCP53/UDP4.驗(yàn)證域信任時(shí)會用到的連接端口兩個(gè)域內(nèi)的域控制器在驗(yàn)證信任關(guān)系時(shí)會用到以下的服務(wù)。Microsoft-DStraffic:445/TCP445/UDPKerberos:88/TCP88/UDPLDAP:389/TCPAK636/TCP(如果使用SSL)LDAPping:389/UDPDNS:53/TCP53/UDPNetLogonservice無法被鎖定在固定的一個(gè)RPC
3���、連接端口���,也就是它是使用動態(tài)的RPC連接端口����,此時(shí)我們?nèi)绾伍_放連接端口呢����?還好動態(tài)的RPC連接端口可以被限制在一個(gè)范圍內(nèi),因此我們只在防火墻上開放這些范圍內(nèi)的RPC連接端口即可���。RPCendpointmapper:135/TCP135/UDP使用動態(tài)RPC連接端口時(shí)���,需要搭配RPCendpointmapper服務(wù),因此請?jiān)诜阑饓ι祥_放此服務(wù)的連接端口�。5.訪問文件資源時(shí)會用到的連接端口SMBoverIP:445/TCP445/UDP6.執(zhí)行DNS查詢會用到的連接端口DNS:53/TCP53/UDP7.執(zhí)行ActiveDirectory復(fù)制會用到的連接端口兩臺域控制器之間在進(jìn)行Act
4、iveDirectory復(fù)制工作時(shí)會用到以下服務(wù)�����。ActiveDirectory復(fù)制:它是使用動態(tài)的RPC連接端口�����,如果動態(tài)的RPC連接端口被限制在一段范圍內(nèi)����,我們則只需要在防火墻上開放這段范圍的RPC連接端口即可(參見本節(jié)中“限制動態(tài)RPC連接端口的范圍”的內(nèi)容)����。不過您也可以自行指定一個(gè)固定的連接端口��。kerberos:88/TCP88/UDPLDAP:389/TCPAK636/TCP(如果使用SSL)LDAPping:389/UDPDNS:53/TCP53/UDPSMBoverIP:445/TCP445/UDPFileReplicationService(FRS):同一個(gè)域的
5����、域控制器之間在復(fù)制SYSVOL文件夾內(nèi)的文件時(shí),還會用到FRS�����。FRS也是采用動態(tài)的RPC連接端口�����,如果將動態(tài)的RPC連接端口限制在一段范圍內(nèi)�,就只要在防火墻開放這段范圍內(nèi)的RPC連接端口即可。RPCendpointmapper:135/TCP135/UDP使用動態(tài)的RPC連接端口時(shí)�,需要搭配RPCendpointmapper服務(wù),因此請?jiān)诜阑饓﹂_放此服務(wù)的連接端口。8.其他可能需要開放的連接端口GlobalCatalog:3268/TCP3269/TCP(如果使用SSL)假設(shè)用戶登錄時(shí)���,負(fù)責(zé)驗(yàn)證用戶身份的域控制器需要通過防火墻,來向“全局編錄”查詢用戶所隸屬的通用組數(shù)據(jù)時(shí),就需要
6����、在防火墻上開放連接端口3268。又例如MicrosoftExchangeServer需要訪問位于防火墻另外一端的“全局編錄”����,您也需要開放連接端口3268。NetworkTimeProtocol(NTP):123/UDP它負(fù)責(zé)時(shí)間的同步NetBIOS的相關(guān)服務(wù):137/TCP137/UDP138/UDP139/UDP開放這些連續(xù)的端口�,以便于通過防火墻來使用NetBIOS服務(wù),例如支持舊客戶端來登錄����、瀏覽網(wǎng)上鄰居等。9.限制動態(tài)RPC連接端口的范圍ActiveDirectory的復(fù)制�����,ExchangeServer的復(fù)制����、NetLogon等服務(wù)是使用動態(tài)RPC連接端口的,也就是沒有固
7�、定的連接端口,這將造成在防火墻設(shè)置上的困擾�����,但動態(tài)的RPC連接端口可以被限制在一段范圍內(nèi),因此我們只要在防火墻上開放這段范圍內(nèi)的RPC連接端口即可��。將動態(tài)的RPC端口限制在指定的范圍內(nèi)����,建議從5000開始,而且因?yàn)榭赡苡卸鄠€(gè)應(yīng)用都在使用RPC連接端口�����,因此建議至少包含20個(gè)以上的連接端口���。我們需要修改注冊表的方式來將動態(tài)RPC端口限制在指定范圍內(nèi)���。到要限制動態(tài)RPC端口范圍的計(jì)算機(jī)上運(yùn)行注冊表編輯程序REGEDIT.EXE,然后通過以下路徑來設(shè)置:HKEY_LOCAL
