AD域控需要開放的端口

AD域要開放的端口

1.使用者登入與驗證身份時會用到的連接配接端口

Microsoft-DS traffic : 445/TCP 445/UDP

Kerberos : 88/TCP 88/UDP

LDAP ping : 389/UDP

DNS : 53/TCP 53/UDP

2.計算機登入與驗證身份時會用到的連接配接端口

Microsoft-DS traffic : 445/TCP 445/UDP

Kerberos : 88/TCP 88/UDP

LDAP ping : 389/UDP

DNS : 53/TCP 53/UDP

3.建立域信任時會用到的連接配接端口

位于不同林的域在建立“顯性信任（explict trust）”關系時，會用到以下的服務。

Microsoft-DS traffic : 445/TCP 445/UDP

Kerberos : 88/TCP 88/UDP

LDAP ： 389/TCPAK 636/TCP(如果使用SSL)

LDAP ping : 389/UDP

DNS : 53/TCP 53/UDP

4.驗證域信任時會用到的連接配接端口

兩個域内的域控制器在驗證信任關系時會用到以下的服務。

Microsoft-DS traffic : 445/TCP 445/UDP

Kerberos : 88/TCP 88/UDP

LDAP : 389/TCPAK 636/TCP(如果使用SSL)

LDAP ping : 389/UDP

DNS : 53/TCP 53/UDP

Net Logon service無法被鎖定在固定的一個RPC連接配接端口，也就是它是使用動态的RPC連接配接端口，此時我們如何開放連接配接端口呢？還好動态的RPC連接配接端口可以被限制在一個範圍内，是以我們隻在防火牆上開放這些範圍内的RPC連接配接端口即可。

RPC endpoint mapper : 135/TCP 135/UDP 使用動态RPC連接配接端口時，需要搭配RPC endpoint mapper服務，是以請在防火牆上開放此服務的連接配接端口。

5.通路檔案資源時會用到的連接配接端口

SMB over IP : 445/TCP 445/UDP

6.執行DNS查詢會用到的連接配接端口

DNS : 53/TCP 53/UDP

7.執行Active Directory複制會用到的連接配接端口

兩台域控制器之間在進行Active Directory複制工作時會用到以下服務。

Active Directory 複制 ： 它是使用動态的RPC連接配接端口，如果動态的RPC連接配接端口被限制在一段範圍内，我們則隻需要在防火牆上開放這段範圍的RPC連接配接端口即可（參見本節中“限制動态RPC連接配接端口的範圍”的内容）。不過您也可以自行指定一個固定的連接配接端口。

kerberos : 88/TCP 88/UDP

LDAP : 389/TCPAK 636/TCP(如果使用SSL)

LDAP ping : 389/UDP

DNS : 53/TCP 53/UDP

SMB over IP : 445/TCP 445/UDP

File Replication Service(FRS) : 同一個域的域控制器之間在複制SYSVOL檔案夾内的檔案時，還會用到FRS。FRS也是采用動态的RPC連接配接端口，如果将動态的RPC連接配接端口限制在一段範圍内，就隻要在防火牆開放這段範圍内的RPC連接配接端口即可。

RPC endpoint mapper : 135/TCP 135/UDP 使用動态的RPC連接配接端口時，需要搭配RPC endpoint mapper服務,是以請在防火牆開放此服務的連接配接端口。

8.其他可能需要開放的連接配接端口

Global Catalog : 3268/TCP 3269/TCP(如果使用SSL)假設使用者登入時，負責驗證使用者身份的域控制器需要通過防火牆，來向“全局編錄”查詢使用者所隸屬的通用組資料時，就需要在防火牆上開放連接配接端口3268。

又例如Microsoft Exchange Server需要通路位于防火牆另外一端的“全局編錄”，您也需要開放連接配接端口3268。

Network Time Protocol(NTP) : 123/UDP 它負責時間的同步

NetBIOS的相關服務 ： 137/TCP 137/UDP 138/UDP 139/UDP 開放這些連續的端口，以便于通過防火牆來使用NetBIOS服務，例如支援舊用戶端來登入、浏覽網路上的芳鄰等。

9.限制動态RPC連接配接端口的範圍

Active Directory 的複制，Exchange Server的複制、Net Logon等服務是使用動态RPC連接配接端口的，也就是沒有固定的連接配接端口，這将造成在防火牆設定上的困擾，但動态的RPC連接配接端口可以被限制在一段範圍内，是以我們隻要在防火牆上開放這段範圍内的RPC連接配接端口即可。

将動态的RPC端口限制在指定的範圍内，建議從5000開始，而且因為可能有多個應用都在使用RPC連接配接端口，是以建議至少包含20個以上的連接配接端口。

我們需要修改系統資料庫的方式來将動态RPC端口限制在指定範圍内。到要限制動态RPC端口範圍的計算機上運作系統資料庫編輯程式REGEDIT.EXE，然後通過以下路徑來設定：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc

步驟1：在上述路徑下添加一個名為Internet的項

步驟2：請在Internet的項之下添加如下三個數值

步驟3：完成修改後，重新啟動計算機，檢查計算機内所有用到動态RPC端口的程式，是否都會使用5000～5020之間的端口

  C:\> netstat –n

10.限制Active Directory資料庫複制使用指定的靜态端口

若域功能級别不是windows Server 2008，則同一個域的域控制器之間在複制SYSVOL檔案夾時，會使用FRS（File Replication Service）.FRS預設使用動态RPC端口，但是我可以指定一個靜态端口。到域控制器上運作系統資料庫編輯程式REGEDIT.EXE，然後通過以下路徑來設定：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

在上述路徑添加一個如下表所示的數值，我們将端口号設定為45678，注意此端口不可以與其他服務所使用的端口相同.完成後重新啟動。以後這台域控制器的FRS服務所使用的端口将會是45678.

數值名稱

資料類型

數值

RPC TCP/IP Port Assignment

REG_DWORD

自定義，例如45678

11.限制FRS使用指定的靜态端口

若域功能級别為Windows Server 2008，則Windows Server 2008域控制器之間在複制SYSVOL檔案夾時需要利用DFS複制服務，而DFS也是采用動态RPC端口，但是我們可以使用DFSRDIAG.EXE程式來将其設定到一個靜态端口。到域控制器上打開指令提示符，然後執行以下指令：

C:\> dfsrdiag staticRPC /port:34567

注意：此端口不可以與其他服務所用的端口相同。完成後，重新起動這台域控制器，以後DFS複制服務所使用的端口為34567.