AD DS与防火墙

AD DS与防火墙

AD DS相关端口:

RPC Endpoint Mapper         TCP135

Kerberos              TCP88      UDP88

LDAP              TCP389     UDP389

LDAPS(LDAP over SSL)        TCP636     UDP636

LDAP GC              TCP3268

LDAPS GC             TCP3269

SMB(Microsoft CIFS)         TCP445

DNS              TCP53      UDP53

NTP(Network Time Protocol)             UDP123

NetBIOS Name Server                    UDP137

NetBIOS Datagram Service               UDP138

NetBIOS Session Service     TCP139

AD数据库复制、文件复制服务(FRS)、分布式文件系统(DFS)服务:使用动态端口,需限制端口范围或改为静态端口。

客户端加入域用到的端口:

1.Microsoft CIFS:TCP445

2.Kerberos:TCP88、UDP88

3.DNS:TCP53、UDP53

4.LDAP:TCP389、UDP389

5.Netlogon服务:

NetBIOS Name Service:UDP137

NetBIOS Datagram Service:UDP138

NetBIOS Session Service:TCP139

SMB:TCP445

计算机登陆域时用到的端口:

1.SMB:TCP445

2.Kerberos:TCP88、UDP88

3.LDAP:UDP389

4.DNS: TCP53、UDP53

创建域信任时用到的端口:

1.SMB:TCP445

2.Kerberos:TCP88、UDP88

3.LDAP:TCP389、UDP389

4.LDAPS:TCP636(如果使用SSL)

5.DNS:TCP53、UDP53

验证域信任时用到的端口:

1.SMB:TCP445

2.Kerberos:TCP88、UDP88

3.LDAP:TCP389、UDP389

4.LDAPS:TCP636(如果使用SSL)

5.DNS:TCP53、UDP53

6.Netlogon服务:

NetBIOS Name Service:UDP137

NetBIOS Datagram Service:UDP138

NetBIOS Session Service:TCP139

SMB:TCP445

访问文件资源共享时用到的端口:

1.SMB:TCP445

2. NetBIOS Name Service:UDP137

NetBIOS Datagram Service:UDP138

NetBIOS Session Service:TCP139

SMB:TCP445

域名解析服务(DNS)使用的端口:

1.UDP53(客户机向服务器进行域名查询时)

2.TCP53(服务器之间的查询)

AD数据库复制时用到的端口:

1.AD数据库复制默认使用动态RPC端口(1024~65535),1)可以修改端口范围。2)使用静态端口。

2.RPC Endpoint Mapper:TCP135 (使用动态RPC时,需要搭配RPC Endpoint Mapper服务)

3.Kerberos:TCP88、UDP88

4.LDAP:TCP389、UDP389

5.LDAPS:TCP636(如果使用SSL)

6.DNS:TCP53、UDP53

7.SMB:TCP445

文件复制服务(FRS)用到的端口:

若域功能级别在windows server 2008 之前,则同一个域的域控制器之间复制SYSVOL文件夹时,会使用FRS(File Replication Service)。

FRS采用动态RPC端口(1024~65535)  1)可以限制端口使用范围 2)可以指定使用静态端口

分布式文件系统(DFS)会用到的端口:

若域功能级别是windows server 2008及以后级别时,则windows server 2008域的域控制器之间在复制SYSVOL文件夹时需要使用DFS复制服务(DFS Replication Service),所以域控制器被防火墙隔离时需要开放的端口:

1.LDAP:TCP389、UDP389

2.SMB:TCP445

3.NetBIOS Datagram Service:UDP138

4.NetBIOS Session Service:TCP139

5.Distributed File System(DFS):动态RPC端口。1)可以限制端口范围 2)可以指定使用静态端口。

6.RPC EndPoint Mapper:TCP135 (使用动态RPC端口时,需要搭配RPC EndPoint Mapper)

限制所有服务使用动态RPC端口范围:

修改注册表如下路径:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc

添加名为Internet的项

在此项下添加键值:

Ports                   ,REG_MULTI_SZ(多字符串值) ,5000-5030(端口范围)

PortsInternetAvailable  ,REG_SZ(字符串值)         ,Y

UseInternetPorts        ,REG_SZ(字符串值)         ,Y

完成后重启计算机。

限制AD数据库复制时使用指定的静态端口:

修改注册表如下路径:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Services\NTDS\Parameters

添加如下键值:

TCP/IP Port  ,REG_DWORD(DWORD[32位]值)  ,56789(指定使用的端口)

完成后重启计算机。

限制FRS使用指定的静态端口:

修改注册表如下路径:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Services\NTFRS\Parameters

添加如下键值:

RPC TCP/IP Port Assigement  , REG_DWORD   ,  45678 (指定使用的静态端口)

完成后重启计算机。

限制DFS使用指定的静态端口:

以管理员身份执行如下命令:(Windows Server 2003 R2及之后的版本)

DFSRDIAG.exe  StaticRPC /Port:34567(静态端口)

完成后重启计算机。

IPSec与VPN端口

1.IPSec所使用的协议与端口:

Encapsulation Security Payload(ESP):协议号为50

Authentication Header(AH):协议号为51

Intern Key Exchange(IKE):使用UDP端口500

2.PPTP VPN使用的协议与端口:

1.General Routing Encapsulation(GRE):协议号47

2.PPTP:使用TCP端口1723

3.L2TP/IPSec所使用的协议与端口:

Encapsulation Security Payload(ESP):协议号为50

Intern Key Exchange(IKE):使用UDP端口500

NAT-T:使用UDP端口4500,他让IPSec通过NAT。

注:虽然L2TP/IPSec还会用到UDP端口1701,但他是被封装在IPSec数据包内,因此不需要在防火墙开放此端口。

本文转自秘飞虎51CTO博客,原文链接:http://blog.51cto.com/mifeihu/1106235 ,如需转载请自行联系原作者

上一篇:Zabbix监控交换机,防火墙端口流量
下一篇:H3C防火墙出厂空配置管理口无法WEB登录