标签：

本章为大家简单整理一下有关Windows server Active Directory和Active Directory域处事（AD DS）组件的端口要求。出产环境中我们在做网络调解、防火墙或者开关端口白名单等操纵的时候，很多时候城市遇到同步异常等问题，具体是哪些计谋影响端口通信引起的我们很难及时排查，本章将为大家简单整理一下，但愿大家可以少走弯路，提高排错效率。注：可写域控制器和只读域控制器（RODC）都具有不异的端口要求。

一、默认动态端口范畴：

在由基于Windows Server 2003的域控制器构成的域中，默认的动态端口范畴为1025至5000。Windows Server 2008 R2和Windows Server 2008切合互联网号码分配机构（IANA）的建议，增加了动态端口连接范畴。新的默认开始端口是49152，并且新的默认端口是65535.因此，您必需增加防火墙中的长途过程挪用（RPC）端口范畴。如果您的混合域环境包罗Windows Server 2008 R2和Windows Server 2008处事器以及Windows Server 2003，请允许通过端口1025至5000以及49152至65535的流量。

当您不才表中的协议和端口列中看到"TCP Dynamic"时，它指的是端口1025到5000（Windows Server 2003的默认端口范畴）以及端口49152到65535，这是从Windows Server 2008开始的默认端口范畴。

您可以使用以下的netsh命令运行Windows Server 2008 的计算机上检察的动态端口范畴：

netsh int ipv4 show dynamicport tcp

netsh int ipv4 show dynamicport udp

netsh int ipv6 show dynamicport tcp

netsh int ipv6 show dynamicport udp

注意：为每个传输 （TCP或UDP） 分袂设置范畴。端口范畴此刻是真正的起始点和结束点都有一个范畴。部署处事器运行的是 Windows Server 2008 的 Microsoft 客户可能影响处事器如果使用上的内部网络的防火墙之间的 RPC 通信的问题。在这些情况下，我们建议您从头配置防火墙以允许 49152到 65535的动态端口范畴内的处事器之间的通信。此范畴不包孕处事和应用措施所使用的已知端口。或者，可以在每个处事器上改削处事器使用的端口范畴。您可以通过按如下方法使用netsh命令，调解此范畴：

netsh int <ipv4 | ipv6> set dynamic <tcp | udp> start = number num = range

此命令设置 TCP 动态端口范畴。起始端口是数，和端口的总数为区域。下面是示例命令：

netsh int ipv4 set dynamicport tcp start=10000 num=1000

netsh int ipv4 set dynamicport udp start=10000 num=1000

netsh int ipv6 set dynamicport tcp start=10000 num=1000

netsh int ipv6 set dynamicport udp start=10000 num=1000

这些示例命令设置动态端口范畴端口 10000 和结束端口 10999 （1000端口） 的开始。可以设置的端口的最小数量范畴为 255。可以设置的最小起始端口为 1025。（按照所配置的范畴） 的最大结束端口不能赶过 65535。要复制 Windows Server 2003 的默认行为，1025用作起始端口，并将 3976 作为范畴为TCP和UDP。这会导致 1025起始端口和结束端口为 5000。

注意： 当您在基于 Windows Server 2008 的计算机上安置 Microsoft Exchange Server 2007年时，默认端口范畴是1025到60000。

二、将RPC限制到特定的端口：

如上一节"默认动态端口范畴"中所述，RPC流量在动态端口范畴内使用。如何将RPC流量限制到特定端口，请参考如下内容：

默认情况下，Active Directory复制长途过程挪用（RPC）通过使用端口135通过RPC端点映射措施（RPCSS）在可用端口上动态产生。打点员可以笼罩此成果并指定所有Active Directory RPC通过的端口。此过程锁定端口。

通过使用"更多信息"一节中提到的注册表项指定要使用的端口时，端点映射器将Active Directory处事器端复制流量和客户端RPC流量发送到这些端口。此配置是可能的，因为Active Directory撑持的所有RPC接口都在其所监听的所有端口上运行。

注意本小结不介绍如何为防火墙配置AD复制。必需打开其他端口才华通过防火墙进行复制。例如，可能需要为Kerberos协议打初步口。

更多信息：重要说明此部分，要领或任务包罗说明如何改削注册表的法式。但是，如果您不正确地改削注册表，则可能会呈现严重问题。因此，请确保您当真执行这些法式。为了增加掩护，请在改削注册表之前备份注册表。然后，如果产生问题，您可以还原注册表。

当您连接到RPC端点时，客户端上的RPC运行时会联系处事器上熟知端口（135）上的RPC端点映射措施（RPCSS），，并获取要连接的端口以撑持所需的RPC接口。这假定客户端不知道完整的绑定。所有AD RPC处事都是这种情况。

该处事在启动时注册一个或多个端点，并可选择动态分配的端口或特定的端口。

如果将勾当目录和Netlogon配置为在"端口x"处运行（如以下条目中所示），则除标准动态端口外，这将成为端点映射器注册的端口。

使用注册表编纂器改削要使用受限制端口的每个域控制器上的以下值。成员处事器不被视为登录处事器，因此NTDS的静态端口分配对它们没有影响。

成员处事器确实有Netlogon RPC接口，但它很少使用。一些示例可能是长途配置检索，如"nltest /server:member.contoso.com /sc_query:contoso.com"。

注册表键值1：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Registry value: TCP/IP Port

Value type: REG_DWORD

Value data: (available port)

注册表键值2：

You need to restart the computer for the new setting to become effective.

Registry key 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Registry value: DCTcpipPort

Value type: REG_DWORD

Value data: (available port)

如上两注册表键值改削后，都需要从头启动Netlogon处事才华使新设置生效。