ADDS与防火墙
AD DS与防火墙
AD DS相关端口:
RPC Endpoint Mapper TCP135
Kerberos TCP88 UDP88
LDAP TCP389 UDP389
LDAPS(LDAP over SSL) TCP636 UDP636
LDAP GC TCP3268
LDAPS GC TCP3269
SMB(Microsoft CIFS) TCP445
DNS TCP53 UDP53
NTP(Network Time Protocol) UDP123
NetBIOS Name Server UDP137
NetBIOS Datagram Service UDP138
NetBIOS Session Service TCP139
AD数据库复制、文件复制服务(FRS)、分布式文件系统(DFS)服务:使用动态端口,需限制端口范围或改为静态端口。
RPC Endpoint Mapper TCP135
Kerberos TCP88 UDP88
LDAP TCP389 UDP389
LDAPS(LDAP over SSL) TCP636 UDP636
LDAP GC TCP3268
LDAPS GC TCP3269
SMB(Microsoft CIFS) TCP445
DNS TCP53 UDP53
NTP(Network Time Protocol) UDP123
NetBIOS Name Server UDP137
NetBIOS Datagram Service UDP138
NetBIOS Session Service TCP139
AD数据库复制、文件复制服务(FRS)、分布式文件系统(DFS)服务:使用动态端口,需限制端口范围或改为静态端口。
客户端加入域用到的端口:
1.Microsoft CIFS:TCP445
2.Kerberos:TCP88、UDP88
3.DNS:TCP53、UDP53
4.LDAP:TCP389、UDP389
5.Netlogon服务:
NetBIOS Name Service:UDP137
NetBIOS Datagram Service:UDP138
NetBIOS Session Service:TCP139
SMB:TCP445
计算机登陆域时用到的端口:
1.SMB:TCP445
2.Kerberos:TCP88、UDP88
3.LDAP:UDP389
4.DNS: TCP53、UDP53
创建域信任时用到的端口:
1.SMB:TCP445
2.Kerberos:TCP88、UDP88
3.LDAP:TCP389、UDP389
4.LDAPS:TCP636(如果使用SSL)
5.DNS:TCP53、UDP53
1.SMB:TCP445
2.Kerberos:TCP88、UDP88
3.LDAP:TCP389、UDP389
4.LDAPS:TCP636(如果使用SSL)
5.DNS:TCP53、UDP53
验证域信任时用到的端口:
1.SMB:TCP445
2.Kerberos:TCP88、UDP88
3.LDAP:TCP389、UDP389
4.LDAPS:TCP636(如果使用SSL)
5.DNS:TCP53、UDP53
6.Netlogon服务:
NetBIOS Name Service:UDP137
NetBIOS Datagram Service:UDP138
NetBIOS Session Service:TCP139
SMB:TCP445
访问文件资源共享时用到的端口:
1.SMB:TCP445
2. NetBIOS Name Service:UDP137
NetBIOS Datagram Service:UDP138
NetBIOS Session Service:TCP139
SMB:TCP445
1.SMB:TCP445
2.Kerberos:TCP88、UDP88
3.LDAP:TCP389、UDP389
4.LDAPS:TCP636(如果使用SSL)
5.DNS:TCP53、UDP53
6.Netlogon服务:
NetBIOS Name Service:UDP137
NetBIOS Datagram Service:UDP138
NetBIOS Session Service:TCP139
SMB:TCP445
访问文件资源共享时用到的端口:
1.SMB:TCP445
2. NetBIOS Name Service:UDP137
NetBIOS Datagram Service:UDP138
NetBIOS Session Service:TCP139
SMB:TCP445
AD数据库复制时用到的端口:
1.AD数据库复制默认使用动态RPC端口(1024~65535),1)可以修改端口范围。2)使用静态端口。
2.RPC Endpoint Mapper:TCP135 (使用动态RPC时,需要搭配RPC Endpoint Mapper服务)
3.Kerberos:TCP88、UDP88
4.LDAP:TCP389、UDP389
5.LDAPS:TCP636(如果使用SSL)
6.DNS:TCP53、UDP53
7.SMB:TCP445
1.AD数据库复制默认使用动态RPC端口(1024~65535),1)可以修改端口范围。2)使用静态端口。
2.RPC Endpoint Mapper:TCP135 (使用动态RPC时,需要搭配RPC Endpoint Mapper服务)
3.Kerberos:TCP88、UDP88
4.LDAP:TCP389、UDP389
5.LDAPS:TCP636(如果使用SSL)
6.DNS:TCP53、UDP53
7.SMB:TCP445
文件复制服务(FRS)用到的端口:
若域功能级别在windows server 2008 之前,则同一个域的域控制器之间复制SYSVOL文件夹时,会使用FRS(File Replication Service)。
FRS采用动态RPC端口(1024~65535) 1)可以限制端口使用范围 2)可以指定使用静态端口
若域功能级别在windows server 2008 之前,则同一个域的域控制器之间复制SYSVOL文件夹时,会使用FRS(File Replication Service)。
FRS采用动态RPC端口(1024~65535) 1)可以限制端口使用范围 2)可以指定使用静态端口
分布式文件系统(DFS)会用到的端口:
若域功能级别是windows server 2008及以后级别时,则windows server 2008域的域控制器之间在复制SYSVOL文件夹时需要使用DFS复制服务(DFS Replication Service),所以域控制器被防火墙隔离时需要开放的端口:
1.LDAP:TCP389、UDP389
2.SMB:TCP445
3.NetBIOS Datagram Service:UDP138
4.NetBIOS Session Service:TCP139
5.Distributed File System(DFS):动态RPC端口。1)可以限制端口范围 2)可以指定使用静态端口。
6.RPC EndPoint Mapper:TCP135 (使用动态RPC端口时,需要搭配RPC EndPoint Mapper)
若域功能级别是windows server 2008及以后级别时,则windows server 2008域的域控制器之间在复制SYSVOL文件夹时需要使用DFS复制服务(DFS Replication Service),所以域控制器被防火墙隔离时需要开放的端口:
1.LDAP:TCP389、UDP389
2.SMB:TCP445
3.NetBIOS Datagram Service:UDP138
4.NetBIOS Session Service:TCP139
5.Distributed File System(DFS):动态RPC端口。1)可以限制端口范围 2)可以指定使用静态端口。
6.RPC EndPoint Mapper:TCP135 (使用动态RPC端口时,需要搭配RPC EndPoint Mapper)
限制所有服务使用动态RPC端口范围:
修改注册表如下路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
添加名为Internet的项
在此项下添加键值:
Ports ,REG_MULTI_SZ(多字符串值) ,5000-5030(端口范围)
PortsInternetAvailable ,REG_SZ(字符串值) ,Y
UseInternetPorts ,REG_SZ(字符串值) ,Y
完成后重启计算机。
限制AD数据库复制时使用指定的静态端口:
修改注册表如下路径:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Services\NTDS\Parameters
添加如下键值:
TCP/IP Port ,REG_DWORD(DWORD[32位]值) ,56789(指定使用的端口)
完成后重启计算机。
限制FRS使用指定的静态端口:
修改注册表如下路径:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Services\NTFRS\Parameters
添加如下键值:
RPC TCP/IP Port Assigement , REG_DWORD , 45678 (指定使用的静态端口)
完成后重启计算机。
修改注册表如下路径:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Services\NTFRS\Parameters
添加如下键值:
RPC TCP/IP Port Assigement , REG_DWORD , 45678 (指定使用的静态端口)
完成后重启计算机。
限制DFS使用指定的静态端口:
以管理员身份执行如下命令:(Windows Server 2003 R2及之后的版本)
DFSRDIAG.exe StaticRPC /Port:34567(静态端口)
完成后重启计算机。
IPSec与×××端口
1.IPSec所使用的协议与端口:
Encapsulation Security Payload(ESP):协议号为50
Authentication Header(AH):协议号为51
Intern Key Exchange(IKE):使用UDP端口500
Encapsulation Security Payload(ESP):协议号为50
Authentication Header(AH):协议号为51
Intern Key Exchange(IKE):使用UDP端口500
2.PPTP ×××使用的协议与端口:
1.General Routing Encapsulation(GRE):协议号47
2.PPTP:使用TCP端口1723
1.General Routing Encapsulation(GRE):协议号47
2.PPTP:使用TCP端口1723
3.L2TP/IPSec所使用的协议与端口:
Encapsulation Security Payload(ESP):协议号为50
Intern Key Exchange(IKE):使用UDP端口500
NAT-T:使用UDP端口4500,他让IPSec通过NAT。
注:虽然L2TP/IPSec还会用到UDP端口1701,但他是被封装在IPSec数据包内,因此不需要在防火墙开放此端口。
Encapsulation Security Payload(ESP):协议号为50
Intern Key Exchange(IKE):使用UDP端口500
NAT-T:使用UDP端口4500,他让IPSec通过NAT。
注:虽然L2TP/IPSec还会用到UDP端口1701,但他是被封装在IPSec数据包内,因此不需要在防火墙开放此端口。
文章题目:ADDS与防火墙
本文链接:http://hbruida.cn/article/jcedod.html