【转】AD常用端口

时间:2024-10-12 14:03:43
通常在域环境中我们有部分设备在DMZ区时,就需要知道AD的相关端口.在此提供给各位:
用户登录与验证身份时会用到的连接端口
用户登录时会用到以下的服务,因此如果用户的计算机与域控制器之间被防火墙隔开,就必须在防火墙开放这些服务的连接端口。
Microsoft-DS traffic: 445/TCP、445/UDP
Kerberos: 88/TCP、 88/UDP
LDAP ping: 389/UDP
DNS: 53/TCP、53/UDP
计算机登录与验证身份时会用到的连接端口
计算机登录到域控制器时会用到以下的服务,因此如果域的成员计算机与域控制之间被防火墙隔开,就必须在防火墙开放这些服务的连接端口。
Microsoft-DS traffic: 445/TCP、445/UDP
Kerberos: 88/TCP、 88/UDP
LDAP ping: 389/UDP
DNS: 53/TCP、53/UDP
建立域信任时会用到的连接端口
位于不同林的域在建立“显性信任(explicit trust)”关系时,会用到以下的服务,因此如果这两个域的域控制器之间被防火墙隔开,就必须在防火墙开放这些服务的连接端口。
Microsoft-DS traffic: 445/TCP、445/UDP
Kerberos: 88/TCP、 88/UDP
LDAP:389/TCPAK 636/TCP(如果使用SSL)
LDAP ping: 389/UDP
DNS: 53/TCP、53/UDP
验证域信任时会用到的连接端口
两个域内的域控制器在验证信任关系时会用到以下的服务,因此如果这两台域控制器之间被防火墙隔开,就必须在防火墙开放这些服务的连接端口。
Microsoft-DS traffic: 445/TCP、445/UDP
Kerberos: 88/TCP、 88/UDP
LDAP:389/TCPAK 636/TCP(如果使用SSL)
LDAP ping: 389/UDP
DNS: 53/TCP、53/UDP
Net Logon service 无法被锁定在固定的一个RPC连接端口,也就是它是使用动态的RPC连接端口,此时我们如何开放连接端口呢?还好动态的RPC连接端口可以被限制在一个范围内

AD数据复制需要的端口- -
RPC 终结点影射器:135/TCP,135/UDP
NetBIOS 名称服务:137/TCP,137/UDP
NetBIOS 数据文报服务:138/UDP
NetBIOS 会话服务:139/TCP
RPC 动态分配:1024-65535/TCP
Microsoft-DS:445/TCP,445/UDP
LDAP:389/TCP
SSL 上的LDAP:636/TCP
全局编录 LDAP:3268/TCP
SSL 上的全局编录 LDAP:3269/TCP
Kerberos:88/TCP,88/UDP
DNS:53/TCP,53/UDP
WINS解析(如果需要):1512/TCP,1512/UDP
WINS复制(如果需要):42/TCP,42/UDP
AD用户密码修改:464/TCP

现为大家附上一张图:
【转】AD常用端口