AD端口详解及RPC动态端口限定

AD端口详解及RPC动态端口限定DC之间正常通信复制及加入域建议开放以下端口：协议端口描述开放要求全局编录服务器3269/TCPAD应用双向全局编录服务器3268/TCPAD应用双向LDAP服务器389/TCP/UDPAD应用双向LDAPSSL636/TCP/UDPAD应用双向IPsecISAKMP500/UDPAD应用双向NAT-T4500/UDPAD应用双向RPC135/TCPAD应用双向SMB445/TCP/UDP网络登陆双向Kerberos88/TCP/UDPKerberos密钥双向NTP123/UDPWindows时间服务双向SNTP123/UDPWindows时间服务双向DNS53/TCP/UDPDNS双向NetBIOS137/TCP,137/UDP名称服务双向NetBIOS138/UDP数据文报服务双向NetBIOS139/TCP会话服务双向WINS（如果需要）1512/TCP,1512/UDP解析双向WINS（如果需要）42/TCP,42/UDP复制双向AD用户密码修改464/TCPAD应用双向RPC5000-5200/tcp/udp动态端口(可以限定)双向用户登录与验证身份时会用到的连接端口用户登录时会用到以下的服务，因此如果用户的计算机与域控制器之间被防火墙隔开，就必须在防火墙开放这些服务的连接端口。Microsoft-DStraffic:445/TCP、445/UDPKerberos:88/TCP、88/UDPLDAPping:389/UDPDNS:53/TCP、53/UDP计算机登录与验证身份时会用到的连接端口计算机登录到域控制器时会用到以下的服务，因此如果域的成员计算机与域控制之间被防火墙隔开，就必须在防火墙开放这些服务的连接端口。Microsoft-DStraffic:445/TCP、445/UDPKerberos:88/TCP、88/UDPLDAPping:389/UDPDNS:53/TCP、53/UDP建立域信任时会用到的连接端口位于不同林的域在建立“显性信任（explicittrust）”关系时，会用到以下的服务，因此如果这两个域的域控制器之间被防火墙隔开，就必须在防火墙开放这些服务的连接端口。Microsoft-DStraffic:445/TCP、445/UDPKerberos:88/TCP、88/UDPLDAP：389/TCPAK636/TCP（如果使用SSL）LDAPping:389/UDPDNS:53/TCP、53/UDP验证域信任时会用到的连接端口两个域内的域控制器在验证信任关系时会用到以下的服务，因此如果这两台域控制器之间被防火墙隔开，就必须在防火墙开放这些服务的连接端口。Microsoft-DStraffic:445/TCP、445/UDPKerberos:88/TCP、88/UDPLDAP：389/TCPAK636/TCP（如果使用SSL）LDAPping:389/UDPDNS:53/TCP、53/UDPNetLogonservice无法被锁定在固定的一个RPC连接端口，也就是它是使用动态的RPC连接端口，可以使RPC连接端口被限制在一个范围内。关于RPC动态端口限定方法在下方提到！AD数据复制需要的端口RPC终结点影射器：135/TCP,135/UDPNetBIOS名称服务：137/TCP,137/UDPNetBIOS数据文报服务：138/UDPNetBIOS会话服务：139/TCPRPC动态分配：1024-65535/TCPMicrosoft-DS：445/TCP,445/UDPLDAP：389/TCPSSL上的LDAP：636/TCP全局编录LDAP：3268/TCP/UDPSSL上的全局编录LDAP：3269/TCPKerberos：88/TCP,88/UDPDNS：53/TCP,53/UDPWINS解析（如果需要）：1512/TCP,1512/UDPWINS复制（如果需要）：42/TCP,42/UDPAD用户密码修改：464/TCPNetlogon端口是动态的，因此最好的方法是使用IPSec或其它隧道协议让流量穿过防火墙！RPC动态端口范围至少要在100个以上！但这并不意味着，如果DC和client之间如果放置防火墙，仅仅开放上面这些端口就足以让它们可以获得完全正常的通讯，以及完全实现AD的功能特性。遇到这种情况，需要考虑两个问题：1、由于DC和client之间的通讯模式是松散的，在win2k3及之前版本的操作系统上，MS并未设计一种变通的工作方式，可以让DC和client之间的通讯可以局限于一个或者某些端口，并保障它们的通讯安全。在进行企业IT基础架构部署过程中，使用诸如Vlan等技术，人为的将DC与client分隔开，是不妥当的。在Vista及Longhorn的平台上，IPSec与OS之间将获得进一步整合，同时AD上的安全性改进将会允许利用IPSec来保障通讯安全。2、在必须进行分隔的区域之间，如果存在DC与client的通讯，可以在隔离的区域内部署一台或多台DC，让DC跨越隔离区进行DC区域间的复制，而client在隔离区之内进行本地登陆。MS是允许通过手动设定的方式，让DC之间的复制局限于某些特定的端口，这就为分隔区域的AD部署提供了弹性设置。防火墙和IPSec如果防火墙要将两台使用IPSec来保护通信通道安全的主机隔离开，防火墙必须打开下面的端口：TCP端口50，用于IPSec封装式安全协议(ESP)通信TCP端口51，用于IPSec身份验证头(AH)通信UDP端口500，用于Internet密钥交换(IKE)协商通信限定RPC动态端口分配范围：RPC动态端口分配将指示RPC程序使用高于1024的特定随机端口使用防火墙的用户可能希望控制RPC所使用的端口，以便可以将防火墙路由器配置为只转发这些传输控制协议(TCP)端口必须使用注册表编辑器手动添加它们。此外，还请注意，必须使用Regedt32.exe而不是Regedit.exe来添加REG_MULTI_SZ值警告：如果使用注册表编辑器或其他方法错误地修改了注册表，则可能导致严重问题。这些问题可能需要重新安装操作系统才能解决使用注册表编辑器，您可以修改RPC的下列参数。下面讨论的RPCPort注册表项值位于注册表的以下项中：HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\KeyDataTypePortsREG_MULTI_SZ指定一组IP端口范围，其中包含的端口或者都可以在Internet中使用，或者都不可以在Internet中使用。每个字符串都代表一个或一组端口。例如，5984代表一个端口，5000-5100代表一组端口。如果任何条目位于0到65535这个范围以外，或者如果任一字符串无法解释，则RPC运行库都会将整个配置视为无效。PortsInternetAvailableREG_SZY或N（不区分大小写）如果为Y，则Ports项中列出的端口都是该计算机上可以在Internet中使用的端口。如果为N，则Ports项中列出的端口都不能在Internet中使用。UseInternetPortsREG_SZY或N（不区分大小写）指定系统默认策略。如果为Y，则从可在Internet中使用的端口集（根据先前的定义）中为使用默认值的进程分配端口。如果为N，则从仅用于内部网的端口集中为使用默认值的进程分配端口。示例：在以下注册表项下添加Internet项：HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc在Internet项下，添加值“Ports”(MULTI_SZ)、“PortsInternetAvailable”(REG_SZ)和“UseInternetPorts”(REG_SZ)。在本示例中，使用了端口5000到5100（含5000和5100），因此该新注册表项将显示为以下形式：Ports:REG_MULTI_SZ:5000-5100PortsInternetAvailable:REG_SZ:YUseInternetPorts:REG_SZ:Y重新启动服务器所有使用RPC动态端口分配的应用程序都使用端口5000到5100（含5000和5100）。在大多数环境中，至少应该打开100个端口，因为多个系统服务都依赖于这些RPC端口来互相通信。应该打开一个高于端口5000的端口范围。低于5000的端口号可能已经被其他应用程序使用，并且可能会与DCOM应用程序造成冲突。此外，以前的经验显示，至少应该打开100个端口，因为多个系统服务都依赖于这些RPC端口来互相通信。注意：最低端口号可能因计算机而异，具体取决于计算机的配置。AD域控制器所有使用的端口明细列表端口协议应用程序协议系统服务名称n/aGREGRE（IP协议47）路由和远程访问n/aESPIPSecESP（IP协议50）路由和远程访问n/aAHIPSecAH（IP协议51）路由和远程访问7TCPEcho简单TCP/IP服务7UDPEcho简单TCP/IP服务9TCPDiscard简单TCP/IP服务9UDPDiscard简单TCP/IP服务13TCPDaytime简单TCP/IP服务13UDPDaytime简单TCP/IP服务17TCPQuotd简单TCP/IP服务17UDPQuotd简单TCP/IP服务19TCPChargen简单TCP/IP服务19UDPChargen简单TCP/IP服务20TCPFTP默认数据FTP发布服务21TCPFTP控制FTP发布服务21TCPFTP控制应用程序层网关服务23TCPTelnetTelnet25TCPSMTP简单邮件传输协议25UDPSMTP简单邮件传输协议25TCPSMTPExchangeServer25UDPSMTPExchangeServer42TCPWINS复制WindowsInternet名称服务42UDPWINS复制WindowsInternet名称服务53TCPDNSDNSServer53UDPDNSDNSServer53TCPDNSWindows防火墙/Internet连接共享53UDPDNSWindows防火墙/Internet连接共享67UDPDHCP服务器DHCP服务器67UDPDHCP服务器Windows防火墙/Internet连接共享69UDPTFTP普通FTP后台程序服务80TCPHTTPWindows媒体服务80TCPHTTP万维网发布服务80TCPHTTPSharePointPortalServer88TCPKerberosKerberos密钥分发中心88UDPKerberosKerberos密钥分发中心102TCPX.400MicrosoftExchangeMTA堆栈110TCPPOP3MicrosoftPOP3服务110TCPPOP3ExchangeServer119TCPNNTP网络新闻传输协议123UDPNTPWindows时间123UDPSNTPWindows时间135TCPRPC消息队列135TCPRPC远程过程调用135TCPRPCExchangeServer135TCPRPC证书服务135TCPRPC群集服务135TCPRPC分布式文件系统135TCPRPC分布式链接跟踪135TCPRPC分布式事务处理协调器135TCPRPC事件日志135TCPRPC传真服务135TCPRPC文件复制135TCPRPC本地安全机构135TCPRPC远程存储通知135TCPRPC远程存储服务器135TCPRPCSystemsManagementServer2.0135TCPRPC终端服务授权135TCPRPC终端服务会话目录137UDPNetBIOS名称解析计算机浏览器137UDPNetBIOS名称解析服务器137UDPNetBIOS名称解析WindowsInternet名称服务137UDPNetBIOS名称解析NetLogon137UDPNetBIOS名称解析SystemsManagementS