计算机入域时域控用到的端口,AD域控制器使用端口的说明
AD域控需要开放的端口
1.用户登录与验证身份时会用到的连接端口
Microsoft-DS traffic : 445/TCP 445/UDP
Kerberos : 88/TCP 88/UDP
LDAP ping : 389/UDP
DNS : 53/TCP 53/UDP
2.计算机登录与验证身份时会用到的连接端口
Microsoft-DS traffic : 445/TCP 445/UDP
Kerberos : 88/TCP 88/UDP
LDAP ping : 389/UDP
DNS : 53/TCP 53/UDP
3.建立域信任时会用到的连接端口
位于不同林的域在建立“显性信任(explict trust)”关系时,会用到以下的服务。
Microsoft-DS traffic : 445/TCP 445/UDP
Kerberos : 88/TCP 88/UDP
LDAP : 389/TCPAK 636/TCP(如果使用SSL)
LDAP ping : 389/UDP
DNS : 53/TCP 53/UDP
4.验证域信任时会用到的连接端口
两个域内的域控制器在验证信任关系时会用到以下的服务。
Microsoft-DS traffic : 445/TCP 445/UDP
Kerberos : 88/TCP 88/UDP
LDAP : 389/TCPAK 636/TCP(如果使用SSL)
LDAP ping : 389/UDP
DNS : 53/TCP 53/UDP
Net Logon
service无法被锁定在固定的一个RPC连接端口,也就是它是使用动态的RPC连接端口,此时我们如何开放连接端口呢?还好动态的RPC连接端口可以被限制在一个范围内,因此我们只在防火墙上开放这些范围内的RPC连接端口即可。
RPC endpoint mapper : 135/TCP 135/UDP 使用动态RPC连接端口时,需要搭配RPC
endpoint mapper服务,因此请在防火墙上开放此服务的连接端口。
5.访问文件资源时会用到的连接端口
SMB over IP : 445/TCP 445/UDP
6.执行DNS查询会用到的连接端口
DNS : 53/TCP 53/UDP
7.执行Active Directory复制会用到的连接端口
两台域控制器之间在进行Active Directory复制工作时会用到以下服务。
Active Directory 复制 :
它是使用动态的RPC连接端口,如果动态的RPC连接端口被限制在一段范围内,我们则只需要在防火墙上开放这段范围的RPC连接端口即可(参见本节中“限制动态RPC连接端口的范围”的内容)。不过您也可以自行指定一个固定的连接端口。
kerberos : 88/TCP 88/UDP
LDAP : 389/TCPAK 636/TCP(如果使用SSL)
LDAP ping : 389/UDP
DNS : 53/TCP 53/UDP
SMB over IP : 445/TCP 445/UDP
File Replication Service(FRS) :
同一个域的域控制器之间在复制SYSVOL文件夹内的文件时,还会用到FRS。FRS也是采用动态的RPC连接端口,如果将动态的RPC连接端口限制在一段范围内,就只要在防火墙开放这段范围内的RPC连接端口即可。
RPC endpoint mapper : 135/TCP 135/UDP 使用动态的RPC连接端口时,需要搭配RPC
endpoint mapper服务,因此请在防火墙开放此服务的连接端口。
8.其他可能需要开放的连接端口
Global Catalog : 3268/TCP
3269/TCP(如果使用SSL)假设用户登录时,负责验证用户身份的域控制器需要通过防火墙,来向“全局编录”查询用户所隶属的通用组数据时,就需要在防火墙上开放连接端口3268。
又例如Microsoft Exchange
Server需要访问位于防火墙另外一端的“全局编录”,您也需要开放连接端口3268。
Network Time Protocol(NTP) : 123/UDP 它负责时间的同步
NetBIOS的相关服务 : 137/TCP 137/UDP 138/UDP 139/UDP
开放这些连续的端口,以便于通过防火墙来使用NetBIOS服务,例如支持旧客户端来登录、浏览网上邻居等。
9.限制动态RPC连接端口的范围
Active Directory 的复制,Exchange Server的复制、Net
Logon等服务是使用动态RPC连接端口的,也就是没有固定的连接端口,这将造成在防火墙设置上的困扰,但动态的RPC连接端口可以被限制在一段范围内,因此我们只要在防火墙上开放这段范围内的RPC连接端口即可。
将动态的RPC端口限制在指定的范围内,建议从5000开始,而且因为可能有多个应用都在使用RPC连接端口,因此建议至少包含20个以上的连接端口。
我们需要修改注册表的方式来将动态RPC端口限制在指定范围内。到要限制动态RPC端口范围的计算机上运行注册表编辑程序REGEDIT.EXE,然后通过以下路径来设置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
步骤1:在上述路径下添加一个名为Internet的项
步骤2:请在Internet的项之下添加如下三个数值
步骤3:完成修改后,重新启动计算机,检查计算机内所有用到动态RPC端口的程序,是否都会使用5000~5020之间的端口
C:\> netstat –n
10.限制Active Directory数据库复制使用指定的静态端口
若域功能级别不是windows Server
2008,则同一个域的域控制器之间在复制SYSVOL文件夹时,会使用FRS(File Replication
Service).FRS默认使用动态RPC端口,但是我可以指定一个静态端口。到域控制器上运行注册表编辑程序REGEDIT.EXE,然后通过以下路径来设置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
在上述路径添加一个如下表所示的数值,我们将端口号设置为45678,注意此端口不可以与其他服务所使用的端口相同.完成后重新启动。以后这台域控制器的FRS服务所使用的端口将会是45678.
数值名称
数据类型
数值
RPC TCP/IP Port Assignment
REG_DWORD
自定义,例如45678
11.限制FRS使用指定的静态端口
若域功能级别为Windows Server 2008,则Windows Server
2008域控制器之间在复制SYSVOL文件夹时需要利用DFS复制服务,而DFS也是采用动态RPC端口,但是我们可以使用DFSRDIAG.EXE程序来将其设置到一个静态端口。到域控制器上打开命令提示符,然后执行以下命令:
C:\> dfsrdiag staticRPC /port:34567
注意:此端口不可以与其他服务所用的端口相同。完成后,重新起动这台域控制器,以后DFS复制服务所使用的端口为34567.
转载自:https://blog.csdn.net/stranger_hello/article/details/90748448
计算机入域时域控用到的端口,AD域控制器使用端口的说明相关推荐
- DEMO程序连接到域控服务器( C#开发AD域控自动工具之二)
搭建一个开发环境( C#开发AD域控自动工具之一) DEMO程序连接到域控服务器( C#开发AD域控自动工具之二) DEMO程序 创建一个用户( C#开发AD域控自动工具之三) 第一个需求,登陆名称绑 ...
- Windows Server AD域控服务器升级/迁移(AD域控的五大角色转移)
Windows Server AD域控服务器升级/迁移(AD域控的五大角色转移) 新域控服务器安装 配置域控服务器,加入现有域 域控角色迁移到新域控服务器 原域控服务器降级退域 本文主要介绍在现有域环 ...
- AD域控的搭建与加入AD域
最近公司要加AD域提前使用虚拟机尝试尝试,忽略细节. 环境准备:一台Windows server 2008 r2服务器,一台Windows 7 打开Windows server 2008 r2选择管理 ...
- 域服务器统一修改ie首页,通过AD域策略对IE做统一设定
<通过AD域策略对IE做统一设定>由会员分享,可在线阅读,更多相关<通过AD域策略对IE做统一设定(9页珍藏版)>请在人人文库网上搜索. 1.因上线新的OA Web系统,而此系 ...
- AD域服务器的搭建(1)--AD域介绍
目录服务 定义:目录服务就是按照树状存储信息的模式 目录服务特点 1.目录服务的数据类型主要是字符型, 而不是关系数据库提供的整数.浮点数.日期.货币等类型 2.为了检索的需要添加了BIN(二进制数据 ...
- AD域账户登录mysql_java集成微软的ad域,实现单点登录
public ResultMsg loginAd(User user) throwsException { ResultMsgmsg;//通过ad域登录 Hashtable env = newHash ...
- AD域用户密码过期-用户如何实现AD域密码自助修改或重置?
工作中我们经常会遇到AD域密码过期的情况,由于没有及时对AD域密码进行修改导致AD域密码过期,用户不能登录.AD域密码为什么会过期呢?这与IT管理员的AD域密码策略有关.为了防止恶意者进行密码攻击,I ...
- 域服务器和客户端怎么传文件,ad域服务器同步客户端文件
ad域服务器同步客户端文件 内容精选 换一换 当服务器A和服务器B同时挂载同一文件系统C时,在服务器A上传文件,服务器B同步此文件时存在延时,而单独上传至服务器B则没有延时.需要在两个服务器的挂载参数 ...
- 计算机入域时域控用到的端口,【ADDC】域控需要开放的端口
[ADDC]域控需要开放的端口 6年前 (2015-06-03) 作者:Jiaozn 分类:Windows 阅读次数:3486 评论(0) 在域环境里面,如果两个DC之间启动防火墙, ...
最新文章
- Drawable的Tint变色(让Android也能有iOS那么方便的图片色调转换)
- MySQL存储引擎中的MyISAM和InnoDB区别详解
- 1.2.2 OSI参考模型(1)
- 打开数据库_数据库客户端navicat遇到问题怎么办?
- Dash的快速入门将使您在5分钟内进入“ Hello World”
- sap权限激活_sap角色权限设置手册V1.0
- mulitpartfile怎么接收不到值_和平精英信号接收区和信号值是什么?信号值怎么恢复...
- Java盲点:双重检查锁定及单例模式
- Android中你可能忽略的知识点(1)-分辨率那些事
- Python 接口并发测试详解
- 怎么看xp计算机是32位还是64位,教你查看XP系统的不同32位还是64位详细的步骤
- AntD Pro v5记录-布局
- Windows自动更新进程wuauclt.exe 进程服务关闭方法
- div四角边框直角、倒角、 圆角、倒圆角
- guided filter matlab,导向滤波器(Guided Filter)
- android app调用第三方地图路线规划导航(百度,高德,腾讯)
- em表示什么长度单位_html 常见的长度单位”px em pt” 简介说
- 《财富》公布40岁以下美国富豪榜 戴尔居榜首 [我在IT meets Coupon里提到的两个均在其列]...
- 分布式数据库中间件 MyCat 搞起来!
- Pygame详解:前言
热门文章
- Selenium 爬虫时遇到的问题 Selenium message:session not created
- java 异步返回_在Java中使用异步后,主方法如何返回异步中得到的值?
- Gut Microbes l 锻炼或会增加机体内源性大麻素水平和改变肠道菌群从而降低机体慢性炎症!...
- 为什么导师不喜欢推荐老实人?这是我听过最醍醐灌顶的回答
- 让我们定义一个ggplot版本的华夫饼图吧
- metaSPAdes:新型多功能宏基因组拼接工具
- Error in Math.factor() : ‘sqrt’ not meaningful for factors
- R语言ggplot2可视化:可视化离散(分类)变量的堆叠的柱状图、横轴是离散变量、柱状图是多个分组的计数和叠加
- Python使用matplotlib可视化多分类变量组合下分组小提琴图、使用seaborn中的catplot函数可视化多分类变量组合下分组小提琴图(Categorical Plots)
- R语言ggplot2可视化自动换行适配长文本图例(legend)实战:Multiple Lines for Text per Legend Label