AD端口详解及RPC动态端口限定

1、广告端口和动态端口限制的详细说明分布式控制系统、复制和加入域之间的正常通信，建议打开以下端口：草案港口形容开放式要求全局目录服务器3269/TCP广告应用双向的全局目录服务器3268/TCP广告应用双向的LDAP服务器389/TCP/UDP广告应用双向的LDAP SSL636/TCP /UDP广告应用双向的IPsec ISAKMP500/UDP广告应用双向的NAT-T4500/UDP广告应用双向的RPC135/TCP广告应用双向的服务器信息块445/TCP /UDP网络登录双向的Kerberos88/TCP/UDPKerberos密钥双向的NTP123/UDPWindows时间服务双向的SNT

2、P123/UDPWindows时间服务双向的十进位计数制53/TCP/UDP十进位计数制双向的NetBIOS137/TCP，137/UDP名称服务双向的NetBIOS138/UDP数据信息服务双向的NetBIOS139/TCP对话服务双向的WINS(如果需要)1512/TCP，1512/UDP分析双向的WINS(如果需要)42/TCP，42/UDP复制双向的广告用户密码修改464/TCP广告应用双向的RPC5000-5200/tcp/udp动态端口(可定义)双向的用户登录并验证其身份时将使用的连接端口当用户登录时将使用以下服务，因此如果用户的计算机通过防火墙与域控制器分开，这些服务的连接端口必

3、须在防火墙上打开。微软-直扩流量：445/传输控制协议、445/传输数据协议Kerberos: 88/TCP、88/UDPLDAP ping: 389/UDP53/TCP、53/UDP计算机登录并进行身份验证时使用的连接端口当计算机登录到域控制器时，将使用以下服务。因此，如果域的成员计算机通过防火墙与域控制器分开，这些服务的连接端口必须在防火墙上打开。微软-直扩流量：445/传输控制协议、445/传输数据协议Kerberos: 88/TCP、88/UDPLDAP ping: 389/UDP53/TCP、53/UDP建立域信任时使用的连接端口当建立“显式信任”关系时，位于不同林中的域将使用以下服

4、务。因此，如果这两个域的域控制器被防火墙分开，这些服务的连接端口必须在防火墙上打开。微软-直扩流量：445/传输控制协议、445/传输数据协议Kerberos: 88/TCP、88/UDPLdap: 389/TCP AK 636/TCP(如果使用SSL)LDAP ping: 389/UDP53/TCP、53/UDP验证域信任时使用的连接端口验证信任关系时，两个域中的域控制器将使用以下服务。因此，如果两个域控制器被防火墙分开，这些服务的连接端口必须在防火墙上打开。微软-直扩流量：445/传输控制协议、445/传输数据协议Kerberos: 88/TCP、88/UDPLdap: 389/TCP A

5、K 636/TCP(如果使用SSL)LDAP ping: 389/UDP53/TCP、53/UDP网络登录服务不能锁定在固定的RPC连接端口中，也就是说，它使用动态RPC连接端口，这可以将RPC连接端口限制在一定范围内。下面提到了动态端口限制方法！广告数据复制所需的端口RPC端点映射器：135/TCP，135/UDP网络BIOS名称服务：137/TCP，137/UDPNetBIOS数据消息服务：138/UDPNetBIOS会话服务：139/TCP动态分配：1024-65535/传输控制协议微软：445/传输控制协议，445/用户数据协议LDAP:389/TCP通过SSL的LDAP:636/TC

6、P全局目录LDAP: 3268/TCP/UDP通过SSL的全局目录LDAP:3269/TCPKerberos:88/TCP，88/UDP域名系统：53/TCP，53/UDPWINS解决方案(如有必要):1512/TCP，1512/UDPWINS复制(如果需要):42/TCP，42/UDP广告用户密码修改：464/TCPNetlogon端口是动态的，所以最好的方法是使用IPSec或其他隧道协议让流量通过防火墙！RPC动态端口范围应该至少为100！然而，这并不意味着如果在DC和客户端之间放置了防火墙，仅仅打开这些端口就足以让它们得到完全正常的通信，并充分实现广告的功能特性。在这种情况下，需要考虑两

7、个问题：1.由于DC和客户端之间的通信模式比较松散，微软没有在win2k3和以前的操作系统上设计一个灵活的工作模式，可以将DC和客户端之间的通信限制在一个或几个端口上，保证它们的通信安全。在企业IT基础设施部署过程中，使用Vlan等技术人为地将DC与客户分离是不合适的。在Vista和Longhorn平台上，IPSec将进一步与操作系统集成，而对AD的安全改进将允许IPSec用于确保通信安全。2.在必须隔离的区域，如果DC和客户之间有通信，可以在隔离区域部署一个或多个区议会，这样区议会可以跨越隔离区域在DC区域之间复制，而客户可以在隔离区域内本地登录。移动台允许通过手动设置将分布式控制系统之间的

8、复制限制在特定的端口，这为独立区域中的广告部署提供了灵活的设置。防火墙和IPSec如果防火墙想要分隔两台使用IPSec保护通信通道安全的主机，防火墙必须打开以下端口：用于IPSec封装安全协议通信的TCP端口50用于IPSec身份验证报头(AH)通信的TCP端口51用于互联网密钥交换协商通信的UDP端口500限制动态端口分配范围：RPC动态端口分配将指示RPC程序使用高于1024的特定随机端口使用防火墙的用户可能希望控制RPC使用的端口，以便防火墙路由器可以配置为仅转发这些传输控制协议(TCP)港口必须使用注册表编辑器手动添加它们。此外，请注意，必须使用Regedt32.exe而不是Reged

9、it.exe来添加REG_MULTI_SZ值警告：如果使用注册表编辑器或其他方法对注册表进行了不正确的修改，可能会导致严重的问题。这些问题可能需要重新安装操作系统来解决使用注册表编辑器，您可以修改RPC的以下参数。下面讨论的RPC端口注册表键值位于注册表的以下项中：HKEY _ LOCAL _ MACHINE 软件微软 Rpc 互联网关键数据类型端口REG_MULTI_SZ指定一组IP端口范围，其中所有端口都可以在互联网上使用，或者都不能在互联网上使用。每个字符串代表一个端口或一组端口。例如，5984代表一个端口，5000-5100代表一组端口。如果任何条目在0到65535的范围之外，或者如果

10、任何字符串不能被解释，则RPC运行时会将整个配置视为无效。PortsInternetAvailable REG_SZ Y或n(不区分大小写)如果是，则端口条目中列出的端口都是可以在此计算机的互联网中使用的端口。如果为否，则端口条目中列出的端口都不能在互联网中使用。使用互联网端口REG_SZ Y或n(不区分大小写)指定系统默认策略。如果是，则使用默认值的进程从互联网上可用的端口集合中分配一个端口(根据前面的定义)。如果为n，则使用默认值的进程从仅用于内部网的端口集中分配一个端口。示例：在下列注册表项下添加一个互联网项：HKEY _本地_机器软件微软远程过程控制在“互联网”下，添加值“端口”(mu

11、lti _ SZ)、“可用端口”(reg _ SZ)和“使用互联网端口”(reg _ SZ)。在本例中，使用了端口5000至5100(含)，因此新的注册表项将如下所示：端口： ReG _ MULTI _ SZ : 5000-5100portsinternetavailable : ReG _ SZ :y使用互联网端口：REG_SZ:Y重新启动服务器所有使用动态端口分配的应用程序都使用端口5000到5100。在大多数环境中，至少应该打开100个端口，因为多个系统服务依赖于这些RPC端口来相互通信。应该打开高于端口5000的端口范围。低于5000的端口号可能已被其他应用程序使用，并可能导致与DCO

12、M应用程序冲突。此外，以前的经验表明，至少应该打开100个端口，因为多个系统服务依赖于这些RPC端口来相互通信。注意：最小端口号可能因计算机而异，具体取决于计算机的配置。AD域控制器使用的所有端口的详细列表端口协议应用协议系统服务名称无协议路由和远程访问路由和远程访问非专用电潜泵路由和远程访问的网络协议7传输控制协议回应简单传输控制协议/网际协议服务7 UDP回应简单传输控制协议/网际协议服务9传输控制协议放弃简单的传输控制协议服务9放弃简单的传输控制协议服务13传输控制协议日间简单传输控制协议/网际协议服务13 UDP日间简单传输控制协议/网际协议服务17传输控制协议报价简单传输控制协议/知

13、识产权服务17 UDP报价简单的传输控制协议/网际协议服务19传输控制协议收费简单的传输控制协议/网际协议服务19简单传输控制协议/网际协议服务20传输控制协议默认数据传输控制协议发布服务21传输控制协议控制协议发布服务21传输控制协议控制协议应用层网关服务23 TCP远程登录25传输控制协议简单邮件传输协议25 UDP简单邮件传输协议25传输控制协议交换服务器25 UDP SMTP交换服务器42传输控制协议网络服务复制窗口互联网名称服务42 UDP WINS复制窗口互联网名称服务53传输控制协议域名系统域名系统服务器53 UDP域名系统服务器53传输控制协议域名系统窗口防火墙/互联网连接共享

14、53 UDP域名系统窗口防火墙/互联网连接共享Udp DHCP服务器67 UDP DHCP服务器Windows防火墙/互联网连接共享69 UDP TFTP通用FTP守护程序服务80传输控制协议视窗媒体服务80万维网出版服务80传输控制协议超文本传输协议SharePoint门户服务器88 TCP Kerberos Kerberos密钥分发中心88 UDP Kerberos Kerberos密钥分发中心102传输控制协议x.400微软交换MTA堆栈110 TCP POP3 Microsoft POP3服务110传输控制协议POP3交换服务器119 TCP NNTP网络新闻传输协议123 UDP NTP窗口时间123 UDP SNTP窗口时间135 TCP RPC消息队列135传输控制协议远程过程调用135传输控制协议远程过程控制交换服务器135传输控制协议证书服务135 TCP RPC群集服务135 TCP RPC分布式文件系统135 TCP RPC分布式链路跟踪135 TCP RPC分布式事务协调器135传输控制协议事件日志135传输控制协议远程过程控制传真服务135传输控制协议文件复制135 TCP