AD DS與防火墻
AD DS與防火墻
AD DS相關端口:
RPC Endpoint Mapper TCP135
Kerberos TCP88 UDP88
LDAP TCP389 UDP389
LDAPS(LDAP over SSL) TCP636 UDP636
LDAP GC TCP3268
LDAPS GC TCP3269
SMB(Microsoft CIFS) TCP445
DNS TCP53 UDP53
NTP(Network Time Protocol) UDP123
NetBIOS Name Server UDP137
NetBIOS Datagram Service UDP138
NetBIOS Session Service TCP139
AD數據庫復制、文件復制服務(FRS)、分布式文件系統(DFS)服務:使用動態端口,需限制端口范圍或改為靜態端口。
客戶端加入域用到的端口:
1.Microsoft CIFS:TCP445
2.Kerberos:TCP88、UDP88
3.DNS:TCP53、UDP53
4.LDAP:TCP389、UDP389
5.Netlogon服務:
NetBIOS Name Service:UDP137
NetBIOS Datagram Service:UDP138
NetBIOS Session Service:TCP139
SMB:TCP445
計算機登陸域時用到的端口:
1.SMB:TCP445
2.Kerberos:TCP88、UDP88
3.LDAP:UDP389
4.DNS: TCP53、UDP53
創建域信任時用到的端口:
1.SMB:TCP445
2.Kerberos:TCP88、UDP88
3.LDAP:TCP389、UDP389
4.LDAPS:TCP636(如果使用SSL)
5.DNS:TCP53、UDP53
驗證域信任時用到的端口:
1.SMB:TCP445
2.Kerberos:TCP88、UDP88
3.LDAP:TCP389、UDP389
4.LDAPS:TCP636(如果使用SSL)
5.DNS:TCP53、UDP53
6.Netlogon服務:
NetBIOS Name Service:UDP137
NetBIOS Datagram Service:UDP138
NetBIOS Session Service:TCP139
SMB:TCP445
訪問文件資源共享時用到的端口:
1.SMB:TCP445
2. NetBIOS Name Service:UDP137
NetBIOS Datagram Service:UDP138
NetBIOS Session Service:TCP139
SMB:TCP445
域名解析服務(DNS)使用的端口:
1.UDP53(客戶機向
服務器進行域名查詢時)
2.TCP53(服務器之間的查詢)
AD數據庫復制時用到的端口:
1.AD數據庫復制默認使用動態RPC端口(1024~65535),1)可以修改端口范圍。2)使用靜態端口。
2.RPC Endpoint Mapper:TCP135 (使用動態RPC時,需要搭配RPC Endpoint Mapper服務)
3.Kerberos:TCP88、UDP88
4.LDAP:TCP389、UDP389
5.LDAPS:TCP636(如果使用SSL)
6.DNS:TCP53、UDP53
7.SMB:TCP445
文件復制服務(FRS)用到的端口:
若域功能級別在windows server 2008 之前,則同一個域的域控制器之間復制SYSVOL文件夾時,會使用FRS(File Replication Service)。
FRS采用動態RPC端口(1024~65535) 1)可以限制端口使用范圍 2)可以指定使用靜態端口
分布式文件系統(DFS)會用到的端口:
若域功能級別是windows server 2008及以后級別時,則windows server 2008域的域控制器之間在復制SYSVOL文件夾時需要使用DFS復制服務(DFS Replication Service),所以域控制器被防火墻隔離時需要開放的端口:
1.LDAP:TCP389、UDP389
2.SMB:TCP445
3.NetBIOS Datagram Service:UDP138
4.NetBIOS Session Service:TCP139
5.Distributed File System(DFS):動態RPC端口。1)可以限制端口范圍 2)可以指定使用靜態端口。
6.RPC EndPoint Mapper:TCP135 (使用動態RPC端口時,需要搭配RPC EndPoint Mapper)
限制所有服務使用動態RPC端口范圍:
修改注冊表如下路徑:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
添加名為Internet的項
在此項下添加鍵值:
Ports ,REG_MULTI_SZ(多字符串值) ,5000-5030(端口范圍)
PortsInternetAvailable ,REG_SZ(字符串值) ,Y
UseInternetPorts ,REG_SZ(字符串值) ,Y
完成后重啟計算機。
限制AD數據庫復制時使用指定的靜態端口:
修改注冊表如下路徑:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Services\NTDS\Parameters
添加如下鍵值:
TCP/IP Port ,REG_DWORD(DWORD[32位]值) ,56789(指定使用的端口)
完成后重啟計算機。
限制FRS使用指定的靜態端口:
修改注冊表如下路徑:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Services\NTFRS\Parameters
添加如下鍵值:
RPC TCP/IP Port Assigement , REG_DWORD , 45678 (指定使用的靜態端口)
完成后重啟計算機。
限制DFS使用指定的靜態端口:
以管理員身份執行如下命令:(Windows Server 2003 R2及之后的版本)
DFSRDIAG.exe StaticRPC /Port:34567(靜態端口)
完成后重啟計算機。
IPSec與×××端口
1.IPSec所使用的協議與端口:
Encapsulation Security Payload(ESP):協議號為50
Authentication Header(AH):協議號為51
Intern Key Exchange(IKE):使用UDP端口500
2.PPTP ×××使用的協議與端口:
1.General Routing Encapsulation(GRE):協議號47
2.PPTP:使用TCP端口1723
3.L2TP/IPSec所使用的協議與端口:
Encapsulation Security Payload(ESP):協議號為50
Intern Key Exchange(IKE):使用UDP端口500
NAT-T:使用UDP端口4500,他讓IPSec通過NAT。
注:雖然L2TP/IPSec還會用到UDP端口1701,但他是被封裝在IPSec數據包內,因此不需要在防火墻開放此端口。
