服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 只需要在Windows客户端和域控制器之间打开的最小端口数量
Intereting Posts
将虚拟DC的主机join该虚拟DC 为什么SMTP服务器只需要所有发件人在接收邮件之前进行身份validation? 如何解释Django / Python安装到运行共享IIS服务器的Python新手 使用PowerShell中的7za和-xr选项 Windows Server上的Apache 2.2:尝试更改所有数据和日志的盘符后将不会启动 如何整合RTIR与Nagios Amazon EC2备份策略有限制(可以采取快照或不快照)? rsyslog到外部脚本 VM NetWorker服务器每晚都会丢失硬盘驱动器 更改Exchange 2010服务器的FQDN 尝试装载Windows NFS共享时出现input/输出错误 直接在httpd.conf中设置WordPress永久链接? 创build活动目录服务器的开放目录副本 Ansible – 启用回购并在CentOS 7上添加PGP密钥 如果我有一个内核版本,我可以得到它易受攻击的CVE列表吗?

只需要在Windows客户端和域控制器之间打开的最小端口数量

我只想知道,如果我将防火墙放置在Windows客户端(XP或7)和域控制器(Window Server 2008 R2)之间,哪个端口需要打开,

请注意它在客户和DC之间,而不在DC到DC之间

我search谷歌,但在谷歌我得到的答案是在客户之间,以及从DC到DC。

根据我的发现,我需要打开。

  1. TCP和UDP端口88用于Kerberos身份validation
  2. 用于LDAP的TCP和UDP 389
  3. 用于SMB / CIFS / SMB2的TCP和UDP 445
  4. TCP和UDP端口464用于Kerberos密码更改
  5. 全球目录的TCP端口3268和3269
  6. TCP和UDP端口53用于DNS
  7. TCP和UDPdynamic – 1025到5000(Windows Server 2003)和从49152到65535(Windows Server 2008)的DCOM,RPC,EPM

让我知道,如果我失去了一些东西。

注意: – 仅在Client和DC之间。

这里有几个来自Microsoft的链接,显示您正在请求的数据。 请注意,2003和2008的dynamic范围已更改,因此如果您有混合环境,则可能需要打开两个范围或将其设置为静态。

  1. http://support.microsoft.com/kb/179442
  2. http://support.microsoft.com/kb/224196将允许您限制dynamic范围以帮助防火墙configuration。

要查看您的客户端的dynamic范围,你可以使用下面的命令,更多的信息可以在kb929851find(该网站不会让我发布第三个链接,所以我不得不缩短)

  • netsh int ipv4 show dynamicport tcp
  • netsh int ipv4 show dynamicport udp
  • netsh int ipv6 show dynamicport tcp
  • netsh int ipv6 show dynamicport udp

除了你提到的列表,你还需要:

  1. RPC端点映射器的TCP端口135
  2. TCP / UDP端口88用于Kerberos
  3. 时间的UDP端口123

如果你想通过SSL使用LDAP,你还需要TCP端口636。

参考: 如何为域和信任configuration防火墙