AD端口详解及RPC动态端口限定..doc

AD端口详解及RPC动态端口限定 端口 描述 开放要求 全局编录服务器 3269 AD应用 双向 全局编录服务器 3268 AD应用 双向 LDAP 服务器 389 AD应用 双向 LDAP SSL 636/TCP /UDP AD应用 双向 IPsec ISAKMP 500/ UDP AD应用 双向 NAT-T 4500/UDP AD应用 双向 RPC 135/TCP AD应用 双向 SMB 445/TCP /UDP 网络登陆 双向 Kerberos 88/TCP/UDP Kerberos密钥 双向 NTP 123/UDP Windows时间服务 双向 SNTP 123/UDP Windows时间服务 双向 DNS 53/TCP/UDP DNS 双向 NetBIOS 137/TCP,137/UDP 名称服务 双向 NetBIOS 138/UDP 数据文报服务 双向 NetBIOS 139/TCP 会话服务 双向 WINS （如果需要） 1512/TCP,1512/UDP 解析 双向 WINS （如果需要） 42/TCP,42/UDP 复制 双向 AD用户密码修改 464/TCP AD应用用户登录与验证身份时会用到的连接端口用户登录时会用到以下的服务，因此如果用户的计算机与域控制器之间被防火墙隔开，就必须在防火墙开放这些服务的连接端口。Microsoft-DS traffic: 445/TCP、445/UDPKerberos: 88/TCP、 88/UDPLDAP ping: 389/UDP DNS: 53/TCP、53/UDP 计算机登录与验证身份时会用到的连接端口计算机登录到域控制器时会用到以下的服务，因此如果域的成员计算机与域控制之间被防火墙隔开，就必须在防火墙开放这些服务的连接端口。Microsoft-DS traffic: 445/TCP、445/UDPKerberos: 88/TCP、 88/UDPLDAP ping: 389/UDPDNS: 53/TCP、53/UDP 建立域信任时会用到的连接端口位于不同林的域在建立“显性信任（explicit trust）”关系时，会用到以下的服务，因此如果这两个域的域控制器之间被防火墙隔开，就必须在防火墙开放这些服务的连接端口。Microsoft-DS traffic: 445/TCP、445/UDPKerberos: 88/TCP、 88/UDPLDAP：389/TCPAK 636/TCP（如果使用SSL）LDAP ping: 389/UDPDNS: 53/TCP、53/UDP 验证域信任时会用到的连接端口两个域内的域控制器在验证信任关系时会用到以下的服务，因此如果这两台域控制器之间被防火墙隔开，就必须在防火墙开放这些服务的连接端口。Microsoft-DS traffic: 445/TCP、445/UDPKerberos: 88/TCP、 88/UDPLDAP：389/TCPAK 636/TCP（如果使用SSL）LDAP ping: 389/UDPDNS: 53/TCP、53/UDPNet Logon service 无法被锁定在固定的一个RPC连接端口，也就是它是使用动态的RPC连接端口，可以使RPC连接端口被限制在一个范围内。关于RPC动态端口限定方法在下方提到！ AD数据复制需要的端口RPC 终结点影射器：135/TCP,135/UDPNetBIOS 名称服务：137/TCP,137/UDPNetBIOS 数据文报服务：138/UDPNetBIOS 会话服务：139/TCPRPC 动态分配：1024-65535/TCPMicrosoft-DS：445/TCP,445/UDPLDAP：389/TCPSSL 上的LDAP：636/TCP全局编录 LDAP：3268/TCPSSL 上的全局编录 LDAP：3269/TCPKerberos：88/TCP,88/UDPDNS：53/TCP,53/UDPWINS解析（如果需要）：1512/TCP,1512/UDPWINS复制（如果需要）：42/TCP,42/UDPAD用户密码修改：464/TCPetlogon 端口是动态的，因此最好的方法是使用 IPSec 或其它隧道协议让流量穿过防火墙！RPC动态端口范围至少要在100个以上！ 但这并不意味着，如果DC和client之间如果放置防火墙，仅仅开放上面这些端口就足以让它们可以获得完全正常的通讯，以及完全实现AD的功能特性。遇到这种情况，需要考虑两个问题：1、由于DC和client之间的通讯模式是松散的，在win2k3 及之前版本的操作系统上，MS并未设计一种变通的