仅在 Windows 客户端与域控制器之间需要打开的最小端口数

tag-icon tag-icon windows-server-2008 active-directory group-policy windows-authentication
仅在 Windows 客户端与域控制器之间需要打开的最小端口数

我只是想知道,如果我在 Windows 客户端(XP 或 7)和域控制器(Window Server 2008 R2)之间放置防火墙,需要打开哪个端口

请注意,这是在客户端和 DC 之间,而不是 DC 到 DC 之间

我已经在谷歌上搜索过了,但是在谷歌中我得到的答案是在客户端之间以及从 DC 到 DC 之间。

根据我的发现,我需要打开。

  1. TCP 和 UDP 端口 88 用于 Kerberos 身份验证
  2. TCP 和 UDP 389 用于 LDAP
  3. TCP 和 UDP 445 用于 SMB/CIFS/SMB2
  4. TCP 和 UDP 端口 464 用于 Kerberos 密码更改
  5. 全局目录的 TCP 端口 3268 和 3269
  6. TCP 和 UDP 端口 53 用于 DNS
  7. TCP 和 UDP 动态 - 1025 到 5000 (Windows Server 2003) & 从 49152 到 65535 (Windows Server 2008) 用于 DCOM、RPC、EPM

如果我遗漏了什么,请告诉我。

注意:- 这仅限于客户端和 DC 之间。

答案1

以下是 Microsoft 提供的几个链接,显示了您请求的数据。请注意,2003 年和 2008 年的动态范围已发生变化,因此如果您处于混合环境中,您可能需要同时打开这两个范围或将其设为静态。

  1. http://support.microsoft.com/kb/179442
  2. http://support.microsoft.com/kb/224196将让您限制动态范围以帮助防火墙配置。

要查看客户端的动态范围,您可以使用以下命令,有关此内容的更多信息可在 kb929851 中找到(该网站不允许我发布第三个链接,因此我不得不缩短它)

  • netsh int ipv4 显示动态端口 tcp
  • netsh int ipv4 显示动态端口 udp
  • netsh int ipv6 显示动态端口 tcp
  • netsh int ipv6 显示动态端口 udp

答案2

除了您提到的清单之外,您还需要:

  1. RPC 端点映射器的 TCP 端口 135
  2. Kerberos 的 TCP/UDP 端口 88
  3. UDP 端口 123 用于时间

如果您想通过 SSL 使用 LDAP,您还需要 TCP 端口 636。

参考: 如何为域和信任配置防火墙

相关内容