欢迎来到天天文库
浏览记录
ID:39464325
大小:88.00 KB
页数:15页
时间:2019-07-03
《AD端口详解及RPC动态端口限定》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、AD端口详解及RPC动态端口限定DC之间正常通信复制及加入域建议开放以下端口:协议端口描述开放要求全局编录服务器3269/TCPAD应用双向全局编录服务器3268/TCPAD应用双向LDAP服务器389/TCP/UDPAD应用双向LDAPSSL636/TCP/UDPAD应用双向IPsecISAKMP500/UDPAD应用双向NAT-T4500/UDPAD应用双向RPC135/TCPAD应用双向SMB445/TCP/UDP网络登陆双向Kerberos88/TCP/UDPKerberos密钥双向NTP123/UDPWindows时间服务双向SNTP123/UDPWindows时间服务双向D
2、NS53/TCP/UDPDNS双向NetBIOS137/TCP,137/UDP名称服务双向NetBIOS138/UDP数据文报服务双向NetBIOS139/TCP会话服务双向WINS(如果需要)1512/TCP,1512/UDP解析双向WINS(如果需要)42/TCP,42/UDP复制双向AD用户密码修改464/TCPAD应用双向RPC5000-5200/tcp/udp动态端口(可以限定)双向用户登录与验证身份时会用到的连接端口用户登录时会用到以下的服务,因此如果用户的计算机与域控制器之间被防火墙隔开,就必须在防火墙开放这些服务的连接端口。Microsoft-DStraffic:445
3、/TCP、445/UDPKerberos:88/TCP、88/UDPLDAPping:389/UDPDNS:53/TCP、53/UDP计算机登录与验证身份时会用到的连接端口计算机登录到域控制器时会用到以下的服务,因此如果域的成员计算机与域控制之间被防火墙隔开,就必须在防火墙开放这些服务的连接端口。Microsoft-DStraffic:445/TCP、445/UDPKerberos:88/TCP、88/UDPLDAPping:389/UDPDNS:53/TCP、53/UDP建立域信任时会用到的连接端口位于不同林的域在建立“显性信任(explicittrust)”关系时,会用到以下的服务
4、,因此如果这两个域的域控制器之间被防火墙隔开,就必须在防火墙开放这些服务的连接端口。Microsoft-DStraffic:445/TCP、445/UDPKerberos:88/TCP、88/UDPLDAP:389/TCPAK636/TCP(如果使用SSL)LDAPping:389/UDPDNS:53/TCP、53/UDP验证域信任时会用到的连接端口两个域内的域控制器在验证信任关系时会用到以下的服务,因此如果这两台域控制器之间被防火墙隔开,就必须在防火墙开放这些服务的连接端口。Microsoft-DStraffic:445/TCP、445/UDPKerberos:88/TCP、88/U
5、DPLDAP:389/TCPAK636/TCP(如果使用SSL)LDAPping:389/UDPDNS:53/TCP、53/UDPNetLogonservice无法被锁定在固定的一个RPC连接端口,也就是它是使用动态的RPC连接端口,可以使RPC连接端口被限制在一个范围内。关于RPC动态端口限定方法在下方提到!AD数据复制需要的端口RPC终结点影射器:135/TCP,135/UDPNetBIOS名称服务:137/TCP,137/UDPNetBIOS数据文报服务:138/UDPNetBIOS会话服务:139/TCPRPC动态分配:1024-65535/TCPMicrosoft-DS:44
6、5/TCP,445/UDPLDAP:389/TCPSSL上的LDAP:636/TCP全局编录LDAP:3268/TCP/UDPSSL上的全局编录LDAP:3269/TCPKerberos:88/TCP,88/UDPDNS:53/TCP,53/UDPWINS解析(如果需要):1512/TCP,1512/UDPWINS复制(如果需要):42/TCP,42/UDPAD用户密码修改:464/TCPNetlogon端口是动态的,因此最好的方法是使用IPSec或其它隧道协议让流量穿过防火墙!RPC动态端口范围至少要在100个以上!但这并不意味着,如果DC和client之间如果放置防火墙,仅仅开放上
7、面这些端口就足以让它们可以获得完全正常的通讯,以及完全实现AD的功能特性。遇到这种情况,需要考虑两个问题:1、由于DC和client之间的通讯模式是松散的,在win2k3及之前版本的操作系统上,MS并未设计一种变通的工作方式,可以让DC和client之间的通讯可以局限于一个或者某些端口,并保障它们的通讯安全。在进行企业IT基础架构部署过程中,使用诸如Vlan等技术,人为的将DC与client分隔开,是不妥当的。在Vista及Longhorn的平
此文档下载收益归作者所有