文档介绍：AD端口详解及RPC动态端口限定
DC之间正常通信复制及加入域建议开放以下端口:
协议
端口
描述
开放要求
全局编录服务器
3269/TCP
AD应用
双向
全局编录服务器
3268/TCP
AD应用
双向
LDAP 服务器
389/TCP/UDP
AD应用
双向
LDAP SSL
636/TCP /UDP
AD应用
双向
IPsec ISAKMP
500/ UDP
AD应用
双向
NAT-T
4500/UDP
AD应用
双向
RPC
135/TCP
AD应用
双向
SMB
445/TCP /UDP
网络登陆
双向
Kerberos
88/TCP/UDP
Kerberos密钥
双向
NTP
123/UDP
Windows时间服务
双向
SNTP
123/UDP
Windows时间服务
双向
DNS
53/TCP/UDP
DNS
双向
NetBIOS
137/TCP,137/UDP
名称服务
双向
NetBIOS
138/UDP
数据文报服务
双向
NetBIOS
139/TCP
会话服务
双向
WINS (如果需要)
1512/TCP,1512/UDP
解析
双向
WINS (如果需要)
42/TCP,42/UDP
复制
双向
AD用户密码修改
464/TCP
AD应用
双向
RPC
5000-5200/tcp/udp
动态端口(可以限定)
双向
用户登录与验证身份时会用到的连接端口
用户登录时会用到以下的服务,因此如果用户的计算机与域控制器之间被防火墙隔开,就必须在防火墙开放这些服务的连接端口。
Microsoft-DS traffic: 445/TCP、445/UDP
Kerberos: 88/TCP、 88/UDP
LDAP ping: 389/UDP
DNS: 53/TCP、53/UDP
计算机登录与验证身份时会用到的连接端口
计算机登录到域控制器时会用到以下的服务,因此如果域的成员计算机与域控制之间被防火墙隔开,就必须在防火墙开放这些服务的连接端口。
Microsoft-DS traffic: 445/TCP、445/UDP
Kerberos: 88/TCP、 88/UDP
LDAP ping: 389/UDP
DNS: 53/TCP、53/UDP
建立域信任时会用到的连接端口
位于不同林的域在建立“显性信任(explicit trust)”关系时,会用到以下的服务,因此如果这两个域的域控制器之间被防火墙隔开,就必须在防火墙开放这些服务的连接端口。
Microsoft-DS traffic: 445/TCP、445/UDP
Kerberos: 88/TCP、 88/UDP
LDAP:389/TCPAK 636/TCP(如果使用SSL)
LDAP ping: 389/UDP
DNS: 53/TCP、53/UDP
验证域信任时会用到的连接端口
两个域内的域控制器在验证信任关系时会用到以下的服务,因此如果这两台域控制器之间被防火墙隔开,就必须在防火墙开放这些服务的连接端口。
Microsoft-DS traffic: 445/TCP、445/UDP
Kerberos: 88/TCP、 88/UDP
LDAP:389/TCPAK 636/TCP(如果使用SSL)
LDAP ping: 389/UDP
DNS: 53/TCP、53/UDP
Net Logon service 无法被锁定在固定的一个RPC连接端口,也就是它是使用动态的RPC连接端口,可以使RPC连接端口被限制在一个范围内。关于RPC动态端口限定方法在下方提到!
AD数据复制需要的端口
RPC 终结点影射器:135/TCP,135/UDP
NetBIOS 名称服务:137/TCP,137/UDP
NetBIOS 数据文报服务:138/UDP
NetBIOS 会话服务:139/TCP
RPC 动态分配:1024-65535/TCP
Microsoft-DS:445/TCP,445/UDP
LDAP:389/TCP
SSL 上的LDAP:636/TCP
全局编录 LDAP:3268/TCP/UDP
SSL 上的全局编录 LDAP:3269/TCP
Kerberos:88/TCP,88/UDP
DNS:53/TCP,53/UDP
WINS解析(如果需要):1512/TCP,1512/UDP
WINS复制(如果需要):42/TCP,42/UDP
AD用户密码修改:464/TCP
Netlogon 端口是动态的,因此最好的方