ADDS与防火墙

AD DS与防火墙

AD DS相关端口:
RPC Endpoint Mapper         TCP135
Kerberos              TCP88      UDP88
LDAP              TCP389     UDP389
LDAPS(LDAP over SSL)        TCP636     UDP636
LDAP GC              TCP3268
LDAPS GC             TCP3269
SMB(Microsoft CIFS)         TCP445
DNS              TCP53      UDP53
NTP(Network Time Protocol)             UDP123
NetBIOS Name Server                    UDP137
NetBIOS Datagram Service               UDP138
NetBIOS Session Service     TCP139
AD数据库复制、文件复制服务(FRS)、分布式文件系统(DFS)服务:使用动态端口,需限制端口范围或改为静态端口。

客户端加入域用到的端口:
1.Microsoft CIFS:TCP445
2.Kerberos:TCP88、UDP88
3.DNS:TCP53、UDP53
4.LDAP:TCP389、UDP389
5.Netlogon服务:
                NetBIOS Name Service:UDP137
  NetBIOS Datagram Service:UDP138
  NetBIOS Session Service:TCP139
                SMB:TCP445

计算机登陆域时用到的端口:
1.SMB:TCP445
2.Kerberos:TCP88、UDP88
3.LDAP:UDP389
4.DNS: TCP53、UDP53
创建域信任时用到的端口:
1.SMB:TCP445
2.Kerberos:TCP88、UDP88
3.LDAP:TCP389、UDP389
4.LDAPS:TCP636(如果使用SSL)
5.DNS:TCP53、UDP53
验证域信任时用到的端口:
1.SMB:TCP445
2.Kerberos:TCP88、UDP88
3.LDAP:TCP389、UDP389
4.LDAPS:TCP636(如果使用SSL)
5.DNS:TCP53、UDP53
6.Netlogon服务:
                NetBIOS Name Service:UDP137
  NetBIOS Datagram Service:UDP138
  NetBIOS Session Service:TCP139
                SMB:TCP445
访问文件资源共享时用到的端口:
1.SMB:TCP445
2. NetBIOS Name Service:UDP137
   NetBIOS Datagram Service:UDP138
   NetBIOS Session Service:TCP139
   SMB:TCP445
域名解析服务(DNS)使用的端口:
1.UDP53(客户机向服务器进行域名查询时)
2.TCP53(服务器之间的查询)
AD数据库复制时用到的端口:
1.AD数据库复制默认使用动态RPC端口(1024~65535),1)可以修改端口范围。2)使用静态端口。
2.RPC Endpoint Mapper:TCP135 (使用动态RPC时,需要搭配RPC Endpoint Mapper服务)
3.Kerberos:TCP88、UDP88
4.LDAP:TCP389、UDP389
5.LDAPS:TCP636(如果使用SSL)
6.DNS:TCP53、UDP53
7.SMB:TCP445
文件复制服务(FRS)用到的端口:
若域功能级别在windows server 2008 之前,则同一个域的域控制器之间复制SYSVOL文件夹时,会使用FRS(File Replication Service)。
FRS采用动态RPC端口(1024~65535)  1)可以限制端口使用范围 2)可以指定使用静态端口
分布式文件系统(DFS)会用到的端口:
若域功能级别是windows server 2008及以后级别时,则windows server 2008域的域控制器之间在复制SYSVOL文件夹时需要使用DFS复制服务(DFS Replication Service),所以域控制器被防火墙隔离时需要开放的端口:
1.LDAP:TCP389、UDP389
2.SMB:TCP445
3.NetBIOS Datagram Service:UDP138
4.NetBIOS Session Service:TCP139
5.Distributed File System(DFS):动态RPC端口。1)可以限制端口范围 2)可以指定使用静态端口。
6.RPC EndPoint Mapper:TCP135 (使用动态RPC端口时,需要搭配RPC EndPoint Mapper)

限制所有服务使用动态RPC端口范围:
修改注册表如下路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
添加名为Internet的项
在此项下添加键值:
  Ports                   ,REG_MULTI_SZ(多字符串值) ,5000-5030(端口范围)
  PortsInternetAvailable  ,REG_SZ(字符串值)         ,Y
  UseInternetPorts        ,REG_SZ(字符串值)         ,Y
完成后重启计算机。

限制AD数据库复制时使用指定的静态端口:
修改注册表如下路径:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Services\NTDS\Parameters
添加如下键值:
  TCP/IP Port  ,REG_DWORD(DWORD[32位]值)  ,56789(指定使用的端口)
完成后重启计算机。
 
限制FRS使用指定的静态端口:
修改注册表如下路径:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Services\NTFRS\Parameters
添加如下键值:
  RPC TCP/IP Port Assigement  , REG_DWORD   ,  45678 (指定使用的静态端口)
完成后重启计算机。

限制DFS使用指定的静态端口:
以管理员身份执行如下命令:(Windows Server 2003 R2及之后的版本)
  DFSRDIAG.exe  StaticRPC /Port:34567(静态端口)
完成后重启计算机。
 
IPSec与×××端口
1.IPSec所使用的协议与端口:
  Encapsulation Security Payload(ESP):协议号为50
  Authentication Header(AH):协议号为51
  Intern Key Exchange(IKE):使用UDP端口500
2.PPTP ×××使用的协议与端口:
  1.General Routing Encapsulation(GRE):协议号47
  2.PPTP:使用TCP端口1723
3.L2TP/IPSec所使用的协议与端口:
  Encapsulation Security Payload(ESP):协议号为50
  Intern Key Exchange(IKE):使用UDP端口500
  NAT-T:使用UDP端口4500,他让IPSec通过NAT。
注:虽然L2TP/IPSec还会用到UDP端口1701,但他是被封装在IPSec数据包内,因此不需要在防火墙开放此端口。

文章题目:ADDS与防火墙
本文链接:http://hbruida.cn/article/jcedod.html