在前面9篇文章中跟大家分享了2008上dc的搭建以及core模式下的一些应用，当我们为企业部署好基础架构服务后为了安全起见都会启动windows server 2008自带的windows 防火墙，并且很多企业还会单独部署一些安全解决产品（如ISA）。那么，要很好的完成这些产品的部署，我们就要了解活动目录的服务以及DC上的网络连接端口，以便大家在部署防火墙产品的时候开放必要的端口来让我们的企业合法用户及时连接服务。

DC的网络连接端口：在这里我解释为DC上为域用户和成员计算机提供的与域相关的应用服务所开放的端口号。

下面我们来具体看看会提供哪些服务并开放哪些端口：

首先，在DC上打开DNS服务管理工具，展开正向查找区域的域名wgs.com（这里以wgs.com域为例），里面有_tcp和_udp这两项SRV资源记录，而通过查看SRV资源记录就可以看到DC上提供活动目录相关服务所开放的连接端口：

a . 选择_tcp，查看DC上活动目录相关服务所开放的TCP端口

b. 大家可以看到有_ldap（端口为tcp的389）、_kpasswd(端口为tcp的464) 、_kerberos(端口为tcp的88)、_gc(端口为tcp的3268)

c. 选择_tcp，查看DC上活动目录相关服务开放的UDP端口

d. 大家可以看到有_kerberos(端口为UDP的88) _kpasswd(端口为UDP的464)

小结：以上看到的端口都是需要开放的，各自有不同的作用，并相互配合完成域环境中的各种业务交付：

_ldap(TCP[389])是活动目录复制服务的端口：允许客户机在指定域中找到ldap服务器

_gc(TCP[3268])是全局编录查询的时候所要使用的服务端口：允许客户机找到使用活动目录根域的全局目录服务器

_kerberos(TCP[88])票据管理服务的端口：允许客户机找到对本域的kerberosKDC服务

_kpasswd(TCP[464])密码更改相关服务端口：允许客户机找到域中的kerberos改变密码服

----------------------------------------------------------------------------------------

_kerberos(UDP[88])票据管理服务的端口：允许客户机找到对本域的kerberosKDC服务

_kpasswd(UDP[464])密码更改相关服务端口：允许客户机找到域中的kerberos改变密码服务

接下来，我们来用一台加入域的成员计算机使用 'Active Directory 用户和计算机'工具连接DC上的活动目录服务,并且观察一下连接端口：

通过上面两副截图大家可以看到当192.168.99.11(成员计算机)使用 'Active Directory 用户和计算机'工具连接DC上的活动目录服务时，在192.168.99.2(DC)上运行netstat 命令查看到DC的389端口被成员计算机连接使用。

ok，结合上面大家了解到的端口，现在我们就可以在跨地域的网络中通过发布活动目录相关服务端口的方式让互联网中的用户来连接到DC了（加入域/登录域，并享受域环境中的资源）。

下面，我们看看如何设置windows 防火墙来满足上面的企业应用需求（让互联网中的用户来连接到DC）。

如上面两副图片所示，您的防火墙必须例外设置 Active Directory 域服务[389][3268] Kerberos密钥分发中心[88][464] 文件复制[389] 文件和打印机共享[445][139]

在了解到上面的这些必须添加到例外的服务之后，我们再遇到活动目录服务不可用的提示时就可以根据这些服务的默认端口来判断问题所在，并采取相应措施了。

PS：如果您的服务器放至在内网，您要通过端口映射来实现外网用户对此服务器的访问，现在您也可以更具本文中谈及的端口来做映射了。

本文转自 angerfire 51CTO博客，原文链接：http://blog.51cto.com/angerfire/200130，如需转载请自行联系原作者

DC的网络连接端口与防火墙设置[为企业部署Windows Server 2008系列十]相关推荐

1. 使用网络Ghost批量部署Windows Server 2008 R2

   1.准备一台Windows Server 2008 R2操作系统做为模板(部署好需要的软件): 2.运行sysprep清除服务器的SSID,选择关机 3.通过U盘加载WINPE进行系统备份,Windo ...

2. 服务器设置为自动登录,Windows Server 2008 R2怎样设置自动登陆(登录)

   [LeetCode] Remove Duplicates from Sorted List II 移除有序链表中的重复项之二 Given a sorted linked list, delete al ...

3. 服务器系统如何管理网络连接不上,详解Windows Server 2008网络设置技巧技术教程...

   作为最新出炉的微软操作系统,在Windows Server 2008环境下上网访问时,究竟有什么样的与众不同感觉呢?又会有哪些不同的问题,而我们又应该怎样去解决它呢?现在,就让我们一起来感受一下吧,相 ...

4. Windows Server 2008常见的安全设置

   禁止来自外网的非法ping*** 我们知道,巧妙地利用Windows系统自带的ping命令,可以快速判断局域网中某台重要计算机的网络连通性;可是,ping命令在给我们带来实用的同时,也容易被一些恶意用 ...

5. w锋ndows用户组设置,第2章Wndows+Server+2008本地用户和组.ppt

   第2章WndowsServer2008本地用户和组 * 溶厄川缩栅笆绑沪歧渣踢尿嵌倒哼小彼堂禹殊稻似捅盯湿详瑰历醇惑杖珊第2章Wndows+Server+2008本地用户和组第2章Wndows+Ser ...

6. 2008服务器系统如何设置桌面,Windows server 2008系统基础优化技巧

   Windows 2008系统一推出就是作为服务器而使用的,所以在系统的很多细节上都做了很严密的设置,以确保系统的稳定性和安全性,这和娱乐性的操作系统有这很大的区别,为了让win2008系统更人性化,用 ...

7. linux服务器3306端口,linux系统对外开放3306、8080等端口，防火墙设置详解

   linux系统对外开放3306.8080等端口,防火墙设置详解 发布时间:2020-10-10 23:08:49 来源:脚本之家 阅读:141 作者:julielele 栏目:服务器 我们很多时候在l ...

8. windows server 2008设置远程桌面连接最大数量

   windows server 2008设置远程桌面连接最大数量 系统默认远程桌面连接的数量为1 打开控制面板---管理工具---远程桌面服务---远程桌面会话主机设置---把"限制每个用户只 ...

9. Windows Server 2008 防火墙开放 Oracle 的1521端口

   在防火墙的入站规则中,新建端口规则.过程如下例图片所示: 同理可以开放 EM 用的 1158 端口. 执行完后用下面命令测试 telnet SERVER_IP 1521 参考资料 [1] Window ...

最新文章

1. vista——最恰当的中文译名应该是“喂死它”
2. R语言创建自定义颜色（分类变量与颜色形成稳定映射）实战：设置因子变量（分类变量）到可视化颜色的稳定映射
3. NIO框架之MINA详解
4. SpringMVC中Controller跳转到另一个Controller方法
5. OpportunityStepValue and Bubble chart 1
6. ReportViewer教程(6)-将报表浏览器与报表联系
7. 网络安全——钓鱼邮件和网站克隆
8. c语言编译器提示隐式声明,在C中使用“隐式声明功能”警告有什么含义？
9. BF算法（Java实现）
10. 细数那些深度定制的PC版 安卓系统
11. ffmpeg批量从视频中提取出mp3音频
12. VAR-MVGARCH-BEKK模型的winrats实现
13. 人工智能的发展历程，AI ，路在何方（文章分享）
14. comsol-亥姆霍兹线圈
15. 03 计算机网络-网络层和数据链路层专题
16. EndNote中英文混排
17. python时区、时差、时间差转换——datetime.timedelta类介绍
18. MT7601WIFI-Linux驱动总结
19. javaweb大学生毕业设计基于SSM助农农产品销售系统设计与实现（论文+程序源码）
20. 金和C6协同办公中对在线用户的判断

热门文章

1. centos mysql卸载重装_centos 7.x 安装/卸载MySQL
2. 贝叶斯优化的初步理解
3. python怎么输出小数部分_python 输出小数控制
4. java与c应用,Java和C应用程序之间的IPC
5. Pavel and Triangles(贪心）
6. 一篇带你了解函数指针
7. 【项目管理】CMMI内容整理
8. 笔记-项目管理ITTO-高项/PMP第五版-全
9. 笔记-高项案例题-2013年下-计算题
10. 为何高并发系统中都要使用消息队列