AD端口詳解及RPC動(dòng)態(tài)端口限定

1、廣告端口和動(dòng)態(tài)端口限制的詳細(xì)說(shuō)明分布式控制系統(tǒng)、復(fù)制和加入域之間的正常通信，建議打開(kāi)以下端口：草案港口形容開(kāi)放式要求全局目錄服務(wù)器3269/TCP廣告應(yīng)用雙向的全局目錄服務(wù)器3268/TCP廣告應(yīng)用雙向的LDAP服務(wù)器389/TCP/UDP廣告應(yīng)用雙向的LDAP SSL636/TCP /UDP廣告應(yīng)用雙向的IPsec ISAKMP500/UDP廣告應(yīng)用雙向的NAT-T4500/UDP廣告應(yīng)用雙向的RPC135/TCP廣告應(yīng)用雙向的服務(wù)器信息塊445/TCP /UDP網(wǎng)絡(luò)登錄雙向的Kerberos88/TCP/UDPKerberos密鑰雙向的NTP123/UDPWindows時(shí)間服務(wù)雙向的SNT

2、P123/UDPWindows時(shí)間服務(wù)雙向的十進(jìn)位計(jì)數(shù)制53/TCP/UDP十進(jìn)位計(jì)數(shù)制雙向的NetBIOS137/TCP，137/UDP名稱(chēng)服務(wù)雙向的NetBIOS138/UDP數(shù)據(jù)信息服務(wù)雙向的NetBIOS139/TCP對(duì)話(huà)服務(wù)雙向的WINS(如果需要)1512/TCP，1512/UDP分析雙向的WINS(如果需要)42/TCP，42/UDP復(fù)制雙向的廣告用戶(hù)密碼修改464/TCP廣告應(yīng)用雙向的RPC5000-5200/tcp/udp動(dòng)態(tài)端口(可定義)雙向的用戶(hù)登錄并驗(yàn)證其身份時(shí)將使用的連接端口當(dāng)用戶(hù)登錄時(shí)將使用以下服務(wù)，因此如果用戶(hù)的計(jì)算機(jī)通過(guò)防火墻與域控制器分開(kāi)，這些服務(wù)的連接端口必

3、須在防火墻上打開(kāi)。微軟-直擴(kuò)流量：445/傳輸控制協(xié)議、445/傳輸數(shù)據(jù)協(xié)議Kerberos: 88/TCP、88/UDPLDAP ping: 389/UDP53/TCP、53/UDP計(jì)算機(jī)登錄并進(jìn)行身份驗(yàn)證時(shí)使用的連接端口當(dāng)計(jì)算機(jī)登錄到域控制器時(shí)，將使用以下服務(wù)。因此，如果域的成員計(jì)算機(jī)通過(guò)防火墻與域控制器分開(kāi)，這些服務(wù)的連接端口必須在防火墻上打開(kāi)。微軟-直擴(kuò)流量：445/傳輸控制協(xié)議、445/傳輸數(shù)據(jù)協(xié)議Kerberos: 88/TCP、88/UDPLDAP ping: 389/UDP53/TCP、53/UDP建立域信任時(shí)使用的連接端口當(dāng)建立“顯式信任”關(guān)系時(shí)，位于不同林中的域?qū)⑹褂靡韵路?/p>

4、務(wù)。因此，如果這兩個(gè)域的域控制器被防火墻分開(kāi)，這些服務(wù)的連接端口必須在防火墻上打開(kāi)。微軟-直擴(kuò)流量：445/傳輸控制協(xié)議、445/傳輸數(shù)據(jù)協(xié)議Kerberos: 88/TCP、88/UDPLdap: 389/TCP AK 636/TCP(如果使用SSL)LDAP ping: 389/UDP53/TCP、53/UDP驗(yàn)證域信任時(shí)使用的連接端口驗(yàn)證信任關(guān)系時(shí)，兩個(gè)域中的域控制器將使用以下服務(wù)。因此，如果兩個(gè)域控制器被防火墻分開(kāi)，這些服務(wù)的連接端口必須在防火墻上打開(kāi)。微軟-直擴(kuò)流量：445/傳輸控制協(xié)議、445/傳輸數(shù)據(jù)協(xié)議Kerberos: 88/TCP、88/UDPLdap: 389/TCP A

5、K 636/TCP(如果使用SSL)LDAP ping: 389/UDP53/TCP、53/UDP網(wǎng)絡(luò)登錄服務(wù)不能鎖定在固定的RPC連接端口中，也就是說(shuō)，它使用動(dòng)態(tài)RPC連接端口，這可以將RPC連接端口限制在一定范圍內(nèi)。下面提到了動(dòng)態(tài)端口限制方法！廣告數(shù)據(jù)復(fù)制所需的端口RPC端點(diǎn)映射器：135/TCP，135/UDP網(wǎng)絡(luò)BIOS名稱(chēng)服務(wù)：137/TCP，137/UDPNetBIOS數(shù)據(jù)消息服務(wù)：138/UDPNetBIOS會(huì)話(huà)服務(wù)：139/TCP動(dòng)態(tài)分配：1024-65535/傳輸控制協(xié)議微軟：445/傳輸控制協(xié)議，445/用戶(hù)數(shù)據(jù)協(xié)議LDAP:389/TCP通過(guò)SSL的LDAP:636/TC

6、P全局目錄LDAP: 3268/TCP/UDP通過(guò)SSL的全局目錄LDAP:3269/TCPKerberos:88/TCP，88/UDP域名系統(tǒng)：53/TCP，53/UDPWINS解決方案(如有必要):1512/TCP，1512/UDPWINS復(fù)制(如果需要):42/TCP，42/UDP廣告用戶(hù)密碼修改：464/TCPNetlogon端口是動(dòng)態(tài)的，所以最好的方法是使用IPSec或其他隧道協(xié)議讓流量通過(guò)防火墻！RPC動(dòng)態(tài)端口范圍應(yīng)該至少為100！然而，這并不意味著如果在DC和客戶(hù)端之間放置了防火墻，僅僅打開(kāi)這些端口就足以讓它們得到完全正常的通信，并充分實(shí)現(xiàn)廣告的功能特性。在這種情況下，需要考慮兩

7、個(gè)問(wèn)題：1.由于DC和客戶(hù)端之間的通信模式比較松散，微軟沒(méi)有在win2k3和以前的操作系統(tǒng)上設(shè)計(jì)一個(gè)靈活的工作模式，可以將DC和客戶(hù)端之間的通信限制在一個(gè)或幾個(gè)端口上，保證它們的通信安全。在企業(yè)IT基礎(chǔ)設(shè)施部署過(guò)程中，使用Vlan等技術(shù)人為地將DC與客戶(hù)分離是不合適的。在Vista和Longhorn平臺(tái)上，IPSec將進(jìn)一步與操作系統(tǒng)集成，而對(duì)AD的安全改進(jìn)將允許IPSec用于確保通信安全。2.在必須隔離的區(qū)域，如果DC和客戶(hù)之間有通信，可以在隔離區(qū)域部署一個(gè)或多個(gè)區(qū)議會(huì)，這樣區(qū)議會(huì)可以跨越隔離區(qū)域在DC區(qū)域之間復(fù)制，而客戶(hù)可以在隔離區(qū)域內(nèi)本地登錄。移動(dòng)臺(tái)允許通過(guò)手動(dòng)設(shè)置將分布式控制系統(tǒng)之間的

8、復(fù)制限制在特定的端口，這為獨(dú)立區(qū)域中的廣告部署提供了靈活的設(shè)置。防火墻和IPSec如果防火墻想要分隔兩臺(tái)使用IPSec保護(hù)通信通道安全的主機(jī)，防火墻必須打開(kāi)以下端口：用于IPSec封裝安全協(xié)議通信的TCP端口50用于IPSec身份驗(yàn)證報(bào)頭(AH)通信的TCP端口51用于互聯(lián)網(wǎng)密鑰交換協(xié)商通信的UDP端口500限制動(dòng)態(tài)端口分配范圍：RPC動(dòng)態(tài)端口分配將指示RPC程序使用高于1024的特定隨機(jī)端口使用防火墻的用戶(hù)可能希望控制RPC使用的端口，以便防火墻路由器可以配置為僅轉(zhuǎn)發(fā)這些傳輸控制協(xié)議(TCP)港口必須使用注冊(cè)表編輯器手動(dòng)添加它們。此外，請(qǐng)注意，必須使用Regedt32.exe而不是Reged

9、it.exe來(lái)添加REG_MULTI_SZ值警告：如果使用注冊(cè)表編輯器或其他方法對(duì)注冊(cè)表進(jìn)行了不正確的修改，可能會(huì)導(dǎo)致嚴(yán)重的問(wèn)題。這些問(wèn)題可能需要重新安裝操作系統(tǒng)來(lái)解決使用注冊(cè)表編輯器，您可以修改RPC的以下參數(shù)。下面討論的RPC端口注冊(cè)表鍵值位于注冊(cè)表的以下項(xiàng)中：HKEY _ LOCAL _ MACHINE 軟件微軟 Rpc 互聯(lián)網(wǎng)關(guān)鍵數(shù)據(jù)類(lèi)型端口REG_MULTI_SZ指定一組IP端口范圍，其中所有端口都可以在互聯(lián)網(wǎng)上使用，或者都不能在互聯(lián)網(wǎng)上使用。每個(gè)字符串代表一個(gè)端口或一組端口。例如，5984代表一個(gè)端口，5000-5100代表一組端口。如果任何條目在0到65535的范圍之外，或者如果

10、任何字符串不能被解釋?zhuān)瑒tRPC運(yùn)行時(shí)會(huì)將整個(gè)配置視為無(wú)效。PortsInternetAvailable REG_SZ Y或n(不區(qū)分大小寫(xiě))如果是，則端口條目中列出的端口都是可以在此計(jì)算機(jī)的互聯(lián)網(wǎng)中使用的端口。如果為否，則端口條目中列出的端口都不能在互聯(lián)網(wǎng)中使用。使用互聯(lián)網(wǎng)端口REG_SZ Y或n(不區(qū)分大小寫(xiě))指定系統(tǒng)默認(rèn)策略。如果是，則使用默認(rèn)值的進(jìn)程從互聯(lián)網(wǎng)上可用的端口集合中分配一個(gè)端口(根據(jù)前面的定義)。如果為n，則使用默認(rèn)值的進(jìn)程從僅用于內(nèi)部網(wǎng)的端口集中分配一個(gè)端口。示例：在下列注冊(cè)表項(xiàng)下添加一個(gè)互聯(lián)網(wǎng)項(xiàng)：HKEY _本地_機(jī)器軟件微軟遠(yuǎn)程過(guò)程控制在“互聯(lián)網(wǎng)”下，添加值“端口”(mu

11、lti _ SZ)、“可用端口”(reg _ SZ)和“使用互聯(lián)網(wǎng)端口”(reg _ SZ)。在本例中，使用了端口5000至5100(含)，因此新的注冊(cè)表項(xiàng)將如下所示：端口： ReG _ MULTI _ SZ : 5000-5100portsinternetavailable : ReG _ SZ :y使用互聯(lián)網(wǎng)端口：REG_SZ:Y重新啟動(dòng)服務(wù)器所有使用動(dòng)態(tài)端口分配的應(yīng)用程序都使用端口5000到5100。在大多數(shù)環(huán)境中，至少應(yīng)該打開(kāi)100個(gè)端口，因?yàn)槎鄠€(gè)系統(tǒng)服務(wù)依賴(lài)于這些RPC端口來(lái)相互通信。應(yīng)該打開(kāi)高于端口5000的端口范圍。低于5000的端口號(hào)可能已被其他應(yīng)用程序使用，并可能導(dǎo)致與DCO

12、M應(yīng)用程序沖突。此外，以前的經(jīng)驗(yàn)表明，至少應(yīng)該打開(kāi)100個(gè)端口，因?yàn)槎鄠€(gè)系統(tǒng)服務(wù)依賴(lài)于這些RPC端口來(lái)相互通信。注意：最小端口號(hào)可能因計(jì)算機(jī)而異，具體取決于計(jì)算機(jī)的配置。AD域控制器使用的所有端口的詳細(xì)列表端口協(xié)議應(yīng)用協(xié)議系統(tǒng)服務(wù)名稱(chēng)無(wú)協(xié)議路由和遠(yuǎn)程訪(fǎng)問(wèn)路由和遠(yuǎn)程訪(fǎng)問(wèn)非專(zhuān)用電潛泵路由和遠(yuǎn)程訪(fǎng)問(wèn)的網(wǎng)絡(luò)協(xié)議7傳輸控制協(xié)議回應(yīng)簡(jiǎn)單傳輸控制協(xié)議/網(wǎng)際協(xié)議服務(wù)7 UDP回應(yīng)簡(jiǎn)單傳輸控制協(xié)議/網(wǎng)際協(xié)議服務(wù)9傳輸控制協(xié)議放棄簡(jiǎn)單的傳輸控制協(xié)議服務(wù)9放棄簡(jiǎn)單的傳輸控制協(xié)議服務(wù)13傳輸控制協(xié)議日間簡(jiǎn)單傳輸控制協(xié)議/網(wǎng)際協(xié)議服務(wù)13 UDP日間簡(jiǎn)單傳輸控制協(xié)議/網(wǎng)際協(xié)議服務(wù)17傳輸控制協(xié)議報(bào)價(jià)簡(jiǎn)單傳輸控制協(xié)議/知

13、識(shí)產(chǎn)權(quán)服務(wù)17 UDP報(bào)價(jià)簡(jiǎn)單的傳輸控制協(xié)議/網(wǎng)際協(xié)議服務(wù)19傳輸控制協(xié)議收費(fèi)簡(jiǎn)單的傳輸控制協(xié)議/網(wǎng)際協(xié)議服務(wù)19簡(jiǎn)單傳輸控制協(xié)議/網(wǎng)際協(xié)議服務(wù)20傳輸控制協(xié)議默認(rèn)數(shù)據(jù)傳輸控制協(xié)議發(fā)布服務(wù)21傳輸控制協(xié)議控制協(xié)議發(fā)布服務(wù)21傳輸控制協(xié)議控制協(xié)議應(yīng)用層網(wǎng)關(guān)服務(wù)23 TCP遠(yuǎn)程登錄25傳輸控制協(xié)議簡(jiǎn)單郵件傳輸協(xié)議25 UDP簡(jiǎn)單郵件傳輸協(xié)議25傳輸控制協(xié)議交換服務(wù)器25 UDP SMTP交換服務(wù)器42傳輸控制協(xié)議網(wǎng)絡(luò)服務(wù)復(fù)制窗口互聯(lián)網(wǎng)名稱(chēng)服務(wù)42 UDP WINS復(fù)制窗口互聯(lián)網(wǎng)名稱(chēng)服務(wù)53傳輸控制協(xié)議域名系統(tǒng)域名系統(tǒng)服務(wù)器53 UDP域名系統(tǒng)服務(wù)器53傳輸控制協(xié)議域名系統(tǒng)窗口防火墻/互聯(lián)網(wǎng)連接共享

14、53 UDP域名系統(tǒng)窗口防火墻/互聯(lián)網(wǎng)連接共享Udp DHCP服務(wù)器67 UDP DHCP服務(wù)器Windows防火墻/互聯(lián)網(wǎng)連接共享69 UDP TFTP通用FTP守護(hù)程序服務(wù)80傳輸控制協(xié)議視窗媒體服務(wù)80萬(wàn)維網(wǎng)出版服務(wù)80傳輸控制協(xié)議超文本傳輸協(xié)議SharePoint門(mén)戶(hù)服務(wù)器88 TCP Kerberos Kerberos密鑰分發(fā)中心88 UDP Kerberos Kerberos密鑰分發(fā)中心102傳輸控制協(xié)議x.400微軟交換MTA堆棧110 TCP POP3 Microsoft POP3服務(wù)110傳輸控制協(xié)議POP3交換服務(wù)器119 TCP NNTP網(wǎng)絡(luò)新聞傳輸協(xié)議123 UDP NTP窗口時(shí)間123 UDP SNTP窗口時(shí)間135 TCP RPC消息隊(duì)列135傳輸控制協(xié)議遠(yuǎn)程過(guò)程調(diào)用135傳輸控制協(xié)議遠(yuǎn)程過(guò)程控制交換服務(wù)器135傳輸控制協(xié)議證書(shū)服務(wù)135 TCP RPC群集服務(wù)135 TCP RPC分布式文件系統(tǒng)135 TCP RPC分布式鏈路跟蹤135 TCP RPC分布式事務(wù)協(xié)調(diào)器135傳輸控制協(xié)議事件日志135傳輸控制協(xié)議遠(yuǎn)程過(guò)程控制傳真服務(wù)135傳輸控制協(xié)議文件復(fù)制135 TCP