我们有一个 100% 隔离的环境,需要与隔离环境之外的 AD 基础架构进行通信。我需要知道所有端口以及它们是传入还是传出。这些是我到目前为止收集的端口。有人能帮忙添加任何可能缺失的端口以及入站/出站方向吗?非常感谢!(这些是通过物理防火墙分开的)。
- TCP 135:MS-RPC
- TCP 1025 & 1026:AD 登录和复制
- TCP 389:LDAP
- TCP 和 UDP 53:DNS
- TCP 445 :SMB,Microsoft-ds
- TCP 139:SMB
- UDP 137 & 138 :与 NetBIOS 相关
- UDP 88:Kerberos v5
- TCP 636:安全 LDAP
- TCP 3269:安全 LDAP
答案1
这是您正在寻找的文档:Active Directory 和 Active Directory 域服务端口要求
默认动态端口范围
在由基于 Windows Server® 2003 的域控制器组成的域中,默认动态端口范围为 1025 到 5000。Windows Server 2008 R2 和 Windows Server 2008 遵照 Internet 号码分配机构 (IANA) 的建议,增加了连接的动态端口范围。新的默认起始端口为 49152,新的默认结束端口为 65535。因此,您必须增加防火墙中的远程过程调用 (RPC) 端口范围。如果您的混合域环境包括 Windows Server 2008 R2 和 Windows Server 2008 服务器以及 Windows Server 2003,请允许通过端口 1025 到 5000 和 49152 到 65535 的流量。
当你看到“TCP 动态”在下表的“协议和端口”列中,它指的是端口 1025 到 5000(Windows Server 2003 的默认端口范围),以及端口 49152 至 65535,这是从 Windows Server 2008 开始的默认端口范围。
。
与域控制器的通信
下表列出了从 Windows Server 2003 开始的所有版本的 Windows Sever 中建立 DC 到 DC 通信的端口要求。
需要额外的端口只读域控制器 (RODC) 与可写 DC 之间的通信。
协议和端口:TCP 和 UDP 389
AD 和 AD DS 用法:目录、复制、用户和计算机身份验证、组策略、信任
交通类型:LDAP协议和端口:TCP 636
AD 和 AD DS 用法:目录、复制、用户和计算机身份验证、组策略、信任
交通类型:LDAP 安全协议协议和端口:TCP 3268
AD 和 AD DS 用法:目录、复制、用户和计算机身份验证、组策略、信任
交通类型:LDAP GC协议和端口:TCP 3269
AD 和 AD DS 用法:目录、复制、用户和计算机身份验证、组策略、信任
交通类型:LDAP GC SSL协议和端口:TCP 和 UDP 88
AD 和 AD DS 用法:用户和计算机身份验证,林级信任
交通类型:凯尔伯罗斯协议和端口:TCP 和 UDP 53
AD 和 AD DS 用法:用户和计算机身份验证、名称解析、信任
交通类型:DNS协议和端口:TCP 和 UDP 445
AD 和 AD DS 用法:复制、用户和计算机身份验证、组策略、信任
交通类型:SMB、CIFS、SMB2、DFSN、LSARPC、NbtSS、NetLogonR、SamR、SrvSvc协议和端口:TCP 25
AD 和 AD DS 用法:复制
交通类型:邮件传输协议协议和端口:TCP 135
AD 和 AD DS 用法:复制
交通类型:RPC、EPM协议和端口:TCP动态
AD 和 AD DS 用法:复制、用户和计算机身份验证、组策略、信任
交通类型:RPC、DCOM、EPM、DRSUAPI、NetLogonR、SamR、FRS协议和端口:TCP 5722
AD 和 AD DS 用法:文件复制
交通类型:RPC,DFSR(SYSVOL)协议和端口:UDP 123
AD 和 AD DS 用法:Windows 时间、信托
交通类型:Windows 时间协议和端口:TCP 和 UDP 464
AD 和 AD DS 用法:复制、用户和计算机身份验证、信任
交通类型:Kerberos 更改/设置密码协议和端口:UDP动态
AD 和 AD DS 用法:组策略
交通类型:DCOM、RPC、EPM协议和端口:UDP 138
AD 和 AD DS 用法:DFS、组策略
交通类型:DFSN、NetLogon、NetBIOS 数据报服务协议和端口:TCP 9389
AD 和 AD DS 用法:AD DS Web 服务
交通类型:肥皂协议和端口:UDP 67 和 UDP 2535
AD 和 AD DS 用法:DHCP(DHCP 不是核心 AD DS 服务,但它通常存在于许多 AD DS 部署中。)
交通类型:DHCP、MADCAP协议和端口:UDP 137
AD 和 AD DS 用法:用户和计算机身份验证,
交通类型:NetLogon,NetBIOS 名称解析协议和端口:TCP 139
AD 和 AD DS 用法:用户和计算机身份验证、复制
交通类型:DFSN、NetBIOS 会话服务、NetLogon