过去,我可以打开“Active Directory 用户和计算机”来管理 Windows Server 2008 R2 机器上的用户和计算机。我们最近对组策略进行了一些更改,以记录身份验证成功/失败,并启用了 Windows 防火墙(我假设防火墙可能是罪魁祸首)。
现在,当我尝试打开“Active Directory 用户和计算机”时出现以下错误:
当我跑步时诊断工具它通过了除系统日志之外的所有测试。对于系统日志,它会抛出有关组策略设置的各种错误。例如:
发生错误事件。事件 ID:0x00000406 生成时间:
2014年12月23日 09:44:58
事件字符串:组策略处理失败。Windows 尝试检索此用户或计算机的新组策略设置。在详细信息选项卡中查找错误代码和描述。Windows 将在下一个刷新周期自动重试此操作。加入域的计算机必须具有正确的名称解析和与域控制器的网络连接才能发现新的组策略对象和设置。组策略成功时将记录事件。
我很茫然,不知道下一步该做什么或寻找什么。
编辑:
我关闭了组策略中的防火墙并重新启动了机器。我现在可以访问 Active Directory 用户和计算机。所以现在我想知道我需要为域控制器和 Active Directory 启用哪些端口/规则?当我之前查看防火墙时,它已经设置了一堆 Active Directory 和 DNS 规则并允许流量。
答案1
我发现防火墙的内置规则并不总是准确和充分的。
我曾经研究过这个问题,发现本文。
以下是文章中提到的一般需要的端口:
UDP Port 88 for Kerberos authentication
UDP and TCP Port 135 for domain controllers-to-domain controller and client to domain controller operations.
TCP Port 139 and UDP 138 for File Replication Service between domain controllers.
UDP Port 389 for LDAP to handle normal queries from client computers to the domain controllers.
TCP and UDP Port 445 for File Replication Service
TCP and UDP Port 464 for Kerberos Password Change
TCP Port 3268 and 3269 for Global Catalog from client to domain controller.
TCP and UDP Port 53 for DNS from client to domain controller and domain controller to domain controller.
请注意,您可能需要阻止一些或打开其他。