通过防火墙使用Active Directory

今天我有一个奇怪的设置，我想在Windows 2003 R2 SP2计算机上启用Windows防火墙，作为Active Directory域控制器。

我没有看到互联网上的一个资源列出了需要做什么，所以我想我会列在这里，看看有没有人有任何添加/看到没有必要的东西。

打开“子网”范围的端口：

42 | TCP | WINS（如果你使用它）
53 | TCP | DNS
53 | UDP | DNS
88 | TCP | Kerberos的
88 | UDP | Kerberos的
123 | UDP | NTP
135 | TCP | RPC
135 | UDP | RPC
137 | UDP | 的NetBIOS
138 | UDP | 的NetBIOS
139 | TCP | 的NetBIOS
389 | TCP | LDAP
389 | UDP | LDAP
445 | TCP | SMB
445 | UDP | SMB
636 | TCP | LDAPS
3268 | TCP | GC LDAP
3269 | TCP | GC LDAP

打开“任何”范围的端口（用于DHCP）

67 | UDP | DHCP
2535 | UDP | DHCP

此外，您需要限制RPC使用固定端口，而不是> 1024的所有内容。为此，您需要添加两个registry项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters Registry value: TCP/IP Port Value type: REG_DWORD Value data: <-- pick a port like 1600 and put it here HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters Registry value: DCTcpipPort Value type: REG_DWORD Value data: <-- pick another port like 1650 and put it here

…不要忘记在防火墙中添加条目以允许那些在（TCP，子网范围）中的条目。

完成这些工作之后，我能够将客户端计算机添加到AD域（在Windows防火墙之后）并成功login。

如果需要，可以通过几种方法限制RPC端口范围：

IPSec 。这是国际海事组织更为理智的做法，但许多地方不使用公司networking内的IPSec，许多networking监控/安全人员也不喜欢它。
限制端口范围 。这种方法是有效的，但是configuration却是一个真正的痛苦，可能会带来一些性能影响。

我用这些端口做了这个。已经有一段时间了，我不确定是否join了域，或者说，如果允许机器在同一子网中join后与DC进行通信。

TCP端口：

135 139 389 445 1026

UDP端口：

53 88 123 389

从Microsoft KB：

对于Active Directory： http : //support.microsoft.com/kb/179442

限制RPC使用的端口： http : //technet.microsoft.com/en-us/library/bb727063.aspx