AD端口詳解及RPC動態(tài)端口限定

1、廣告端口和動態(tài)端口限制的詳細說明分布式控制系統(tǒng)、復制和加入域之間的正常通信，建議打開以下端口：草案港口形容開放式要求全局目錄服務器3269/TCP廣告應用雙向的全局目錄服務器3268/TCP廣告應用雙向的LDAP服務器389/TCP/UDP廣告應用雙向的LDAP SSL636/TCP /UDP廣告應用雙向的IPsec ISAKMP500/UDP廣告應用雙向的NAT-T4500/UDP廣告應用雙向的RPC135/TCP廣告應用雙向的服務器信息塊445/TCP /UDP網(wǎng)絡登錄雙向的Kerberos88/TCP/UDPKerberos密鑰雙向的NTP123/UDPWindows時間服務雙向的SNT

2、P123/UDPWindows時間服務雙向的十進位計數(shù)制53/TCP/UDP十進位計數(shù)制雙向的NetBIOS137/TCP，137/UDP名稱服務雙向的NetBIOS138/UDP數(shù)據(jù)信息服務雙向的NetBIOS139/TCP對話服務雙向的WINS(如果需要)1512/TCP，1512/UDP分析雙向的WINS(如果需要)42/TCP，42/UDP復制雙向的廣告用戶密碼修改464/TCP廣告應用雙向的RPC5000-5200/tcp/udp動態(tài)端口(可定義)雙向的用戶登錄并驗證其身份時將使用的連接端口當用戶登錄時將使用以下服務，因此如果用戶的計算機通過防火墻與域控制器分開，這些服務的連接端口必

3、須在防火墻上打開。微軟-直擴流量：445/傳輸控制協(xié)議、445/傳輸數(shù)據(jù)協(xié)議Kerberos: 88/TCP、88/UDPLDAP ping: 389/UDP53/TCP、53/UDP計算機登錄并進行身份驗證時使用的連接端口當計算機登錄到域控制器時，將使用以下服務。因此，如果域的成員計算機通過防火墻與域控制器分開，這些服務的連接端口必須在防火墻上打開。微軟-直擴流量：445/傳輸控制協(xié)議、445/傳輸數(shù)據(jù)協(xié)議Kerberos: 88/TCP、88/UDPLDAP ping: 389/UDP53/TCP、53/UDP建立域信任時使用的連接端口當建立“顯式信任”關系時，位于不同林中的域?qū)⑹褂靡韵路?/p>

4、務。因此，如果這兩個域的域控制器被防火墻分開，這些服務的連接端口必須在防火墻上打開。微軟-直擴流量：445/傳輸控制協(xié)議、445/傳輸數(shù)據(jù)協(xié)議Kerberos: 88/TCP、88/UDPLdap: 389/TCP AK 636/TCP(如果使用SSL)LDAP ping: 389/UDP53/TCP、53/UDP驗證域信任時使用的連接端口驗證信任關系時，兩個域中的域控制器將使用以下服務。因此，如果兩個域控制器被防火墻分開，這些服務的連接端口必須在防火墻上打開。微軟-直擴流量：445/傳輸控制協(xié)議、445/傳輸數(shù)據(jù)協(xié)議Kerberos: 88/TCP、88/UDPLdap: 389/TCP A

5、K 636/TCP(如果使用SSL)LDAP ping: 389/UDP53/TCP、53/UDP網(wǎng)絡登錄服務不能鎖定在固定的RPC連接端口中，也就是說，它使用動態(tài)RPC連接端口，這可以將RPC連接端口限制在一定范圍內(nèi)。下面提到了動態(tài)端口限制方法！廣告數(shù)據(jù)復制所需的端口RPC端點映射器：135/TCP，135/UDP網(wǎng)絡BIOS名稱服務：137/TCP，137/UDPNetBIOS數(shù)據(jù)消息服務：138/UDPNetBIOS會話服務：139/TCP動態(tài)分配：1024-65535/傳輸控制協(xié)議微軟：445/傳輸控制協(xié)議，445/用戶數(shù)據(jù)協(xié)議LDAP:389/TCP通過SSL的LDAP:636/TC

6、P全局目錄LDAP: 3268/TCP/UDP通過SSL的全局目錄LDAP:3269/TCPKerberos:88/TCP，88/UDP域名系統(tǒng)：53/TCP，53/UDPWINS解決方案(如有必要):1512/TCP，1512/UDPWINS復制(如果需要):42/TCP，42/UDP廣告用戶密碼修改：464/TCPNetlogon端口是動態(tài)的，所以最好的方法是使用IPSec或其他隧道協(xié)議讓流量通過防火墻！RPC動態(tài)端口范圍應該至少為100！然而，這并不意味著如果在DC和客戶端之間放置了防火墻，僅僅打開這些端口就足以讓它們得到完全正常的通信，并充分實現(xiàn)廣告的功能特性。在這種情況下，需要考慮兩

7、個問題：1.由于DC和客戶端之間的通信模式比較松散，微軟沒有在win2k3和以前的操作系統(tǒng)上設計一個靈活的工作模式，可以將DC和客戶端之間的通信限制在一個或幾個端口上，保證它們的通信安全。在企業(yè)IT基礎設施部署過程中，使用Vlan等技術人為地將DC與客戶分離是不合適的。在Vista和Longhorn平臺上，IPSec將進一步與操作系統(tǒng)集成，而對AD的安全改進將允許IPSec用于確保通信安全。2.在必須隔離的區(qū)域，如果DC和客戶之間有通信，可以在隔離區(qū)域部署一個或多個區(qū)議會，這樣區(qū)議會可以跨越隔離區(qū)域在DC區(qū)域之間復制，而客戶可以在隔離區(qū)域內(nèi)本地登錄。移動臺允許通過手動設置將分布式控制系統(tǒng)之間的

8、復制限制在特定的端口，這為獨立區(qū)域中的廣告部署提供了靈活的設置。防火墻和IPSec如果防火墻想要分隔兩臺使用IPSec保護通信通道安全的主機，防火墻必須打開以下端口：用于IPSec封裝安全協(xié)議通信的TCP端口50用于IPSec身份驗證報頭(AH)通信的TCP端口51用于互聯(lián)網(wǎng)密鑰交換協(xié)商通信的UDP端口500限制動態(tài)端口分配范圍：RPC動態(tài)端口分配將指示RPC程序使用高于1024的特定隨機端口使用防火墻的用戶可能希望控制RPC使用的端口，以便防火墻路由器可以配置為僅轉(zhuǎn)發(fā)這些傳輸控制協(xié)議(TCP)港口必須使用注冊表編輯器手動添加它們。此外，請注意，必須使用Regedt32.exe而不是Reged

9、it.exe來添加REG_MULTI_SZ值警告：如果使用注冊表編輯器或其他方法對注冊表進行了不正確的修改，可能會導致嚴重的問題。這些問題可能需要重新安裝操作系統(tǒng)來解決使用注冊表編輯器，您可以修改RPC的以下參數(shù)。下面討論的RPC端口注冊表鍵值位于注冊表的以下項中：HKEY _ LOCAL _ MACHINE 軟件微軟 Rpc 互聯(lián)網(wǎng)關鍵數(shù)據(jù)類型端口REG_MULTI_SZ指定一組IP端口范圍，其中所有端口都可以在互聯(lián)網(wǎng)上使用，或者都不能在互聯(lián)網(wǎng)上使用。每個字符串代表一個端口或一組端口。例如，5984代表一個端口，5000-5100代表一組端口。如果任何條目在0到65535的范圍之外，或者如果

10、任何字符串不能被解釋，則RPC運行時會將整個配置視為無效。PortsInternetAvailable REG_SZ Y或n(不區(qū)分大小寫)如果是，則端口條目中列出的端口都是可以在此計算機的互聯(lián)網(wǎng)中使用的端口。如果為否，則端口條目中列出的端口都不能在互聯(lián)網(wǎng)中使用。使用互聯(lián)網(wǎng)端口REG_SZ Y或n(不區(qū)分大小寫)指定系統(tǒng)默認策略。如果是，則使用默認值的進程從互聯(lián)網(wǎng)上可用的端口集合中分配一個端口(根據(jù)前面的定義)。如果為n，則使用默認值的進程從僅用于內(nèi)部網(wǎng)的端口集中分配一個端口。示例：在下列注冊表項下添加一個互聯(lián)網(wǎng)項：HKEY _本地_機器軟件微軟遠程過程控制在“互聯(lián)網(wǎng)”下，添加值“端口”(mu

11、lti _ SZ)、“可用端口”(reg _ SZ)和“使用互聯(lián)網(wǎng)端口”(reg _ SZ)。在本例中，使用了端口5000至5100(含)，因此新的注冊表項將如下所示：端口： ReG _ MULTI _ SZ : 5000-5100portsinternetavailable : ReG _ SZ :y使用互聯(lián)網(wǎng)端口：REG_SZ:Y重新啟動服務器所有使用動態(tài)端口分配的應用程序都使用端口5000到5100。在大多數(shù)環(huán)境中，至少應該打開100個端口，因為多個系統(tǒng)服務依賴于這些RPC端口來相互通信。應該打開高于端口5000的端口范圍。低于5000的端口號可能已被其他應用程序使用，并可能導致與DCO

12、M應用程序沖突。此外，以前的經(jīng)驗表明，至少應該打開100個端口，因為多個系統(tǒng)服務依賴于這些RPC端口來相互通信。注意：最小端口號可能因計算機而異，具體取決于計算機的配置。AD域控制器使用的所有端口的詳細列表端口協(xié)議應用協(xié)議系統(tǒng)服務名稱無協(xié)議路由和遠程訪問路由和遠程訪問非專用電潛泵路由和遠程訪問的網(wǎng)絡協(xié)議7傳輸控制協(xié)議回應簡單傳輸控制協(xié)議/網(wǎng)際協(xié)議服務7 UDP回應簡單傳輸控制協(xié)議/網(wǎng)際協(xié)議服務9傳輸控制協(xié)議放棄簡單的傳輸控制協(xié)議服務9放棄簡單的傳輸控制協(xié)議服務13傳輸控制協(xié)議日間簡單傳輸控制協(xié)議/網(wǎng)際協(xié)議服務13 UDP日間簡單傳輸控制協(xié)議/網(wǎng)際協(xié)議服務17傳輸控制協(xié)議報價簡單傳輸控制協(xié)議/知

13、識產(chǎn)權服務17 UDP報價簡單的傳輸控制協(xié)議/網(wǎng)際協(xié)議服務19傳輸控制協(xié)議收費簡單的傳輸控制協(xié)議/網(wǎng)際協(xié)議服務19簡單傳輸控制協(xié)議/網(wǎng)際協(xié)議服務20傳輸控制協(xié)議默認數(shù)據(jù)傳輸控制協(xié)議發(fā)布服務21傳輸控制協(xié)議控制協(xié)議發(fā)布服務21傳輸控制協(xié)議控制協(xié)議應用層網(wǎng)關服務23 TCP遠程登錄25傳輸控制協(xié)議簡單郵件傳輸協(xié)議25 UDP簡單郵件傳輸協(xié)議25傳輸控制協(xié)議交換服務器25 UDP SMTP交換服務器42傳輸控制協(xié)議網(wǎng)絡服務復制窗口互聯(lián)網(wǎng)名稱服務42 UDP WINS復制窗口互聯(lián)網(wǎng)名稱服務53傳輸控制協(xié)議域名系統(tǒng)域名系統(tǒng)服務器53 UDP域名系統(tǒng)服務器53傳輸控制協(xié)議域名系統(tǒng)窗口防火墻/互聯(lián)網(wǎng)連接共享

14、53 UDP域名系統(tǒng)窗口防火墻/互聯(lián)網(wǎng)連接共享Udp DHCP服務器67 UDP DHCP服務器Windows防火墻/互聯(lián)網(wǎng)連接共享69 UDP TFTP通用FTP守護程序服務80傳輸控制協(xié)議視窗媒體服務80萬維網(wǎng)出版服務80傳輸控制協(xié)議超文本傳輸協(xié)議SharePoint門戶服務器88 TCP Kerberos Kerberos密鑰分發(fā)中心88 UDP Kerberos Kerberos密鑰分發(fā)中心102傳輸控制協(xié)議x.400微軟交換MTA堆棧110 TCP POP3 Microsoft POP3服務110傳輸控制協(xié)議POP3交換服務器119 TCP NNTP網(wǎng)絡新聞傳輸協(xié)議123 UDP NTP窗口時間123 UDP SNTP窗口時間135 TCP RPC消息隊列135傳輸控制協(xié)議遠程過程調(diào)用135傳輸控制協(xié)議遠程過程控制交換服務器135傳輸控制協(xié)議證書服務135 TCP RPC群集服務135 TCP RPC分布式文件系統(tǒng)135 TCP RPC分布式鏈路跟蹤135 TCP RPC分布式事務協(xié)調(diào)器135傳輸控制協(xié)議事件日志135傳輸控制協(xié)議遠程過程控制傳真服務135傳輸控制協(xié)議文件復制135 TCP