客戶要求AD伺服器和應用伺服器分開部署,分别放置于不同的工作區域。2台伺服器之間通過路由做通路政策。
經過檢視微軟白皮書,域需要開啟如下端口:
DNS : 53/TCP,53/UDP
Kerberos : 88/TCP,88/UDP
Network Time Protocol(NTP) : 123/UDP
NetBIOS的相關服務 : 137/UDP,138/UDP,139/TCP
LDAP : 389/TCP,389/UDP
SMB over IP : 445/TCP,445/UDP
Global Catalog : 3268/TCP
接着,問題來了,加域過程能正常解析,但是在最終确認後出現如下報錯:
“終結點映射器中沒有更多的終結點可用”
第一次遇到過,google,baidu找了一個便,衆說紛纭。沒有任何正确答案!更有号稱是微軟的MVP直接推薦AD和需要加域的伺服器之間不建議使用網絡政策!真心想罵這種不負責的微軟MVP
隻能自己找環境測試。在AD上使用網絡防火牆,開啟上述的端口做測試,整個加域過程中出現如下端口不能通路的日志:(需要一個TCP1026 入站)
開啟相應端口,順利加入到域
1026/TCP
135/TCP(後通過抓包,發現還有一個端口需要開啟)