我们目前正在细分我们的networking。 我们将移动另一个子网中的服务器,而不是客户端。 当然,客户端仍然需要访问域控制器来对其进行身份validation。
我发现有关端口的各种文章需要在域控制器之间进行访问,以允许复制,但没有关于对客户端重要的端口。 我很确定客户端不会直接访问LDAP数据库,我想尽可能减less攻击面。
那么,客户端需要哪些端口才能使用域控制器?
tcp/53 DNS tcp/88 Kerberos tcp/135 RPC tcp/445 sysvol share tcp/389 LDAP tcp/464 Kerberos password (Max/Unix clients) tcp/636 LDAP SSL (if the domain controllers have/need/use certificates) tcp/1688 KMS (if KMS is used. Not necessarily AD, but the SRV record is in AD and clients need to communicate with the KMS). tcp/3268 LDAP GC tcp/3269 LDAP GC SSL (if the domain controllers have/need/use certificates) tcp/49152 through 65535 (Windows Vista/2008 and higher) aka “high ports” udp/53 DNS udp/88 Kerberos udp/123 time udp/135 RPC udp/389 LDAP udp/445 sysvol share 您可以通过为Active Directoryconfiguration静态RPC端口来最小化高端口范围。
将Active Directory RPCstream量限制到特定的端口
https://support.microsoft.com/en-us/kb/224196
强制Kerberos只使用tcp / ip通常是一个好主意,特别是当你有一个庞大而复杂的networking,或者帐户是大量组/大标记大小的成员时。
如何强制Kerberos在Windows中使用TCP而不是UDP
https://support.microsoft.com/en-us/kb/244474
客户端将需要访问Kerberos,这样的TCP 88然后是全局编录服务,所以这是TCP 3268有KPassword服务TCP 464(这允许密码更改)然后有LDAP端口TCP 389,客户端仍然需要访问此帮助find域控制器。
还有用于Kerberos(88)和KPassword(464)的UDP端口,我不确定这些是否需要。 先尝试没有他们。