1、廣告端口和動態(tài)端口限制的詳細(xì)說明分布式控制系統(tǒng)、復(fù)制和加入域之間的正常通信，建議打開以下端口：草案港口形容開放式要求全局目錄服務(wù)器3269/TCP廣告應(yīng)用雙向的全局目錄服務(wù)器3268/TCP廣告應(yīng)用雙向的LDAP服務(wù)器389/TCP/UDP廣告應(yīng)用雙向的LDAP SSL636/TCP /UDP廣告應(yīng)用雙向的IPsec ISAKMP500/UDP廣告應(yīng)用雙向的NAT-T4500/UDP廣告應(yīng)用雙向的RPC135/TCP廣告應(yīng)用雙向的服務(wù)器信息塊445/TCP /UDP網(wǎng)絡(luò)登錄雙向的Kerberos88/TCP/UDPKerberos密鑰雙向的NTP123/UDPWindows時間服務(wù)雙向的SNT

2、P123/UDPWindows時間服務(wù)雙向的十進位計數(shù)制53/TCP/UDP十進位計數(shù)制雙向的NetBIOS137/TCP，137/UDP名稱服務(wù)雙向的NetBIOS138/UDP數(shù)據(jù)信息服務(wù)雙向的NetBIOS139/TCP對話服務(wù)雙向的WINS(如果需要)1512/TCP，1512/UDP分析雙向的WINS(如果需要)42/TCP，42/UDP復(fù)制雙向的廣告用戶密碼修改464/TCP廣告應(yīng)用雙向的RPC5000-5200/tcp/udp動態(tài)端口(可定義)雙向的用戶登錄并驗證其身份時將使用的連接端口當(dāng)用戶登錄時將使用以下服務(wù)，因此如果用戶的計算機通過防火墻與域控制器分開，這些服務(wù)的連接端口必

3、須在防火墻上打開。微軟-直擴流量：445/傳輸控制協(xié)議、445/傳輸數(shù)據(jù)協(xié)議Kerberos: 88/TCP、88/UDPLDAP ping: 389/UDP53/TCP、53/UDP計算機登錄并進行身份驗證時使用的連接端口當(dāng)計算機登錄到域控制器時，將使用以下服務(wù)。因此，如果域的成員計算機通過防火墻與域控制器分開，這些服務(wù)的連接端口必須在防火墻上打開。微軟-直擴流量：445/傳輸控制協(xié)議、445/傳輸數(shù)據(jù)協(xié)議Kerberos: 88/TCP、88/UDPLDAP ping: 389/UDP53/TCP、53/UDP建立域信任時使用的連接端口當(dāng)建立“顯式信任”關(guān)系時，位于不同林中的域?qū)⑹褂靡韵路?/p>

4、務(wù)。因此，如果這兩個域的域控制器被防火墻分開，這些服務(wù)的連接端口必須在防火墻上打開。微軟-直擴流量：445/傳輸控制協(xié)議、445/傳輸數(shù)據(jù)協(xié)議Kerberos: 88/TCP、88/UDPLdap: 389/TCP AK 636/TCP(如果使用SSL)LDAP ping: 389/UDP53/TCP、53/UDP驗證域信任時使用的連接端口驗證信任關(guān)系時，兩個域中的域控制器將使用以下服務(wù)。因此，如果兩個域控制器被防火墻分開，這些服務(wù)的連接端口必須在防火墻上打開。微軟-直擴流量：445/傳輸控制協(xié)議、445/傳輸數(shù)據(jù)協(xié)議Kerberos: 88/TCP、88/UDPLdap: 389/TCP A

5、K 636/TCP(如果使用SSL)LDAP ping: 389/UDP53/TCP、53/UDP網(wǎng)絡(luò)登錄服務(wù)不能鎖定在固定的RPC連接端口中，也就是說，它使用動態(tài)RPC連接端口，這可以將RPC連接端口限制在一定范圍內(nèi)。下面提到了動態(tài)端口限制方法！廣告數(shù)據(jù)復(fù)制所需的端口RPC端點映射器：135/TCP，135/UDP網(wǎng)絡(luò)BIOS名稱服務(wù)：137/TCP，137/UDPNetBIOS數(shù)據(jù)消息服務(wù)：138/UDPNetBIOS會話服務(wù)：139/TCP動態(tài)分配：1024-65535/傳輸控制協(xié)議微軟：445/傳輸控制協(xié)議，445/用戶數(shù)據(jù)協(xié)議LDAP:389/TCP通過SSL的LDAP:636/TC

6、P全局目錄LDAP: 3268/TCP/UDP通過SSL的全局目錄LDAP:3269/TCPKerberos:88/TCP，88/UDP域名系統(tǒng)：53/TCP，53/UDPWINS解決方案(如有必要):1512/TCP，1512/UDPWINS復(fù)制(如果需要):42/TCP，42/UDP廣告用戶密碼修改：464/TCPNetlogon端口是動態(tài)的，所以最好的方法是使用IPSec或其他隧道協(xié)議讓流量通過防火墻！RPC動態(tài)端口范圍應(yīng)該至少為100！然而，這并不意味著如果在DC和客戶端之間放置了防火墻，僅僅打開這些端口就足以讓它們得到完全正常的通信，并充分實現(xiàn)廣告的功能特性。在這種情況下，需要考慮兩

7、個問題：1.由于DC和客戶端之間的通信模式比較松散，微軟沒有在win2k3和以前的操作系統(tǒng)上設(shè)計一個靈活的工作模式，可以將DC和客戶端之間的通信限制在一個或幾個端口上，保證它們的通信安全。在企業(yè)IT基礎(chǔ)設(shè)施部署過程中，使用Vlan等技術(shù)人為地將DC與客戶分離是不合適的。在Vista和Longhorn平臺上，IPSec將進一步與操作系統(tǒng)集成，而對AD的安全改進將允許IPSec用于確保通信安全。2.在必須隔離的區(qū)域，如果DC和客戶之間有通信，可以在隔離區(qū)域部署一個或多個區(qū)議會，這樣區(qū)議會可以跨越隔離區(qū)域在DC區(qū)域之間復(fù)制，而客戶可以在隔離區(qū)域內(nèi)本地登錄。移動臺允許通過手動設(shè)置將分布式控制系統(tǒng)之間的

8、復(fù)制限制在特定的端口，這為獨立區(qū)域中的廣告部署提供了靈活的設(shè)置。防火墻和IPSec如果防火墻想要分隔兩臺使用IPSec保護通信通道安全的主機，防火墻必須打開以下端口：用于IPSec封裝安全協(xié)議通信的TCP端口50用于IPSec身份驗證報頭(AH)通信的TCP端口51用于互聯(lián)網(wǎng)密鑰交換協(xié)商通信的UDP端口500限制動態(tài)端口分配范圍：RPC動態(tài)端口分配將指示RPC程序使用高于1024的特定隨機端口使用防火墻的用戶可能希望控制RPC使用的端口，以便防火墻路由器可以配置為僅轉(zhuǎn)發(fā)這些傳輸控制協(xié)議(TCP)港口必須使用注冊表編輯器手動添加它們。此外，請注意，必須使用Regedt32.exe而不是Reged

9、it.exe來添加REG_MULTI_SZ值警告：如果使用注冊表編輯器或其他方法對注冊表進行了不正確的修改，可能會導(dǎo)致嚴(yán)重的問題。這些問題可能需要重新安裝操作系統(tǒng)來解決使用注冊表編輯器，您可以修改RPC的以下參數(shù)。下面討論的RPC端口注冊表鍵值位于注冊表的以下項中：HKEY _ LOCAL _ MACHINE 軟件微軟 Rpc 互聯(lián)網(wǎng)關(guān)鍵數(shù)據(jù)類型端口REG_MULTI_SZ指定一組IP端口范圍，其中所有端口都可以在互聯(lián)網(wǎng)上使用，或者都不能在互聯(lián)網(wǎng)上使用。每個字符串代表一個端口或一組端口。例如，5984代表一個端口，5000-5100代表一組端口。如果任何條目在0到65535的范圍之外，或者如果

10、任何字符串不能被解釋，則RPC運行時會將整個配置視為無效。PortsInternetAvailable REG_SZ Y或n(不區(qū)分大小寫)如果是，則端口條目中列出的端口都是可以在此計算機的互聯(lián)網(wǎng)中使用的端口。如果為否，則端口條目中列出的端口都不能在互聯(lián)網(wǎng)中使用。使用互聯(lián)網(wǎng)端口REG_SZ Y或n(不區(qū)分大小寫)指定系統(tǒng)默認(rèn)策略。如果是，則使用默認(rèn)值的進程從互聯(lián)網(wǎng)上可用的端口集合中分配一個端口(根據(jù)前面的定義)。如果為n，則使用默認(rèn)值的進程從僅用于內(nèi)部網(wǎng)的端口集中分配一個端口。示例：在下列注冊表項下添加一個互聯(lián)網(wǎng)項：HKEY _本地_機器軟件微軟遠(yuǎn)程過程控制在“互聯(lián)網(wǎng)”下，添加值“端口”(mu

11、lti _ SZ)、“可用端口”(reg _ SZ)和“使用互聯(lián)網(wǎng)端口”(reg _ SZ)。在本例中，使用了端口5000至5100(含)，因此新的注冊表項將如下所示：端口： ReG _ MULTI _ SZ : 5000-5100portsinternetavailable : ReG _ SZ :y使用互聯(lián)網(wǎng)端口：REG_SZ:Y重新啟動服務(wù)器所有使用動態(tài)端口分配的應(yīng)用程序都使用端口5000到5100。在大多數(shù)環(huán)境中，至少應(yīng)該打開100個端口，因為多個系統(tǒng)服務(wù)依賴于這些RPC端口來相互通信。應(yīng)該打開高于端口5000的端口范圍。低于5000的端口號可能已被其他應(yīng)用程序使用，并可能導(dǎo)致與DCO

12、M應(yīng)用程序沖突。此外，以前的經(jīng)驗表明，至少應(yīng)該打開100個端口，因為多個系統(tǒng)服務(wù)依賴于這些RPC端口來相互通信。注意：最小端口號可能因計算機而異，具體取決于計算機的配置。AD域控制器使用的所有端口的詳細(xì)列表端口協(xié)議應(yīng)用協(xié)議系統(tǒng)服務(wù)名稱無協(xié)議路由和遠(yuǎn)程訪問路由和遠(yuǎn)程訪問非專用電潛泵路由和遠(yuǎn)程訪問的網(wǎng)絡(luò)協(xié)議7傳輸控制協(xié)議回應(yīng)簡單傳輸控制協(xié)議/網(wǎng)際協(xié)議服務(wù)7 UDP回應(yīng)簡單傳輸控制協(xié)議/網(wǎng)際協(xié)議服務(wù)9傳輸控制協(xié)議放棄簡單的傳輸控制協(xié)議服務(wù)9放棄簡單的傳輸控制協(xié)議服務(wù)13傳輸控制協(xié)議日間簡單傳輸控制協(xié)議/網(wǎng)際協(xié)議服務(wù)13 UDP日間簡單傳輸控制協(xié)議/網(wǎng)際協(xié)議服務(wù)17傳輸控制協(xié)議報價簡單傳輸控制協(xié)議/知

13、識產(chǎn)權(quán)服務(wù)17 UDP報價簡單的傳輸控制協(xié)議/網(wǎng)際協(xié)議服務(wù)19傳輸控制協(xié)議收費簡單的傳輸控制協(xié)議/網(wǎng)際協(xié)議服務(wù)19簡單傳輸控制協(xié)議/網(wǎng)際協(xié)議服務(wù)20傳輸控制協(xié)議默認(rèn)數(shù)據(jù)傳輸控制協(xié)議發(fā)布服務(wù)21傳輸控制協(xié)議控制協(xié)議發(fā)布服務(wù)21傳輸控制協(xié)議控制協(xié)議應(yīng)用層網(wǎng)關(guān)服務(wù)23 TCP遠(yuǎn)程登錄25傳輸控制協(xié)議簡單郵件傳輸協(xié)議25 UDP簡單郵件傳輸協(xié)議25傳輸控制協(xié)議交換服務(wù)器25 UDP SMTP交換服務(wù)器42傳輸控制協(xié)議網(wǎng)絡(luò)服務(wù)復(fù)制窗口互聯(lián)網(wǎng)名稱服務(wù)42 UDP WINS復(fù)制窗口互聯(lián)網(wǎng)名稱服務(wù)53傳輸控制協(xié)議域名系統(tǒng)域名系統(tǒng)服務(wù)器53 UDP域名系統(tǒng)服務(wù)器53傳輸控制協(xié)議域名系統(tǒng)窗口防火墻/互聯(lián)網(wǎng)連接共享

14、53 UDP域名系統(tǒng)窗口防火墻/互聯(lián)網(wǎng)連接共享Udp DHCP服務(wù)器67 UDP DHCP服務(wù)器Windows防火墻/互聯(lián)網(wǎng)連接共享69 UDP TFTP通用FTP守護程序服務(wù)80傳輸控制協(xié)議視窗媒體服務(wù)80萬維網(wǎng)出版服務(wù)80傳輸控制協(xié)議超文本傳輸協(xié)議SharePoint門戶服務(wù)器88 TCP Kerberos Kerberos密鑰分發(fā)中心88 UDP Kerberos Kerberos密鑰分發(fā)中心102傳輸控制協(xié)議x.400微軟交換MTA堆棧110 TCP POP3 Microsoft POP3服務(wù)110傳輸控制協(xié)議POP3交換服務(wù)器119 TCP NNTP網(wǎng)絡(luò)新聞傳輸協(xié)議123 UDP NTP窗口時間123 UDP SNTP窗口時間135 TCP RPC消息隊列135傳輸控制協(xié)議遠(yuǎn)程過程調(diào)用135傳輸控制協(xié)議遠(yuǎn)程過程控制交換服務(wù)器135傳輸控制協(xié)議證書服務(wù)135 TCP RPC群集服務(wù)135 TCP RPC分布式文件系統(tǒng)135 TCP RPC分布式鏈路跟蹤135 TCP RPC分布式事務(wù)協(xié)調(diào)器135傳輸控制協(xié)議事件日志135傳輸控制協(xié)議遠(yuǎn)程過程控制傳真服務(wù)135傳輸控制協(xié)議文件復(fù)制135 TCP