Active Directory是微软公司开发的一种目录服务,允许管理员管理网络资源,如用户帐户、计算机、打印机和文件夹等,是一个集中的、标准化的系统,同时也可以为网络上的用户和资源分配权限和访问权。Active Directory 使用域控制器来存储所有域用户和机器的信息,也可以用来查找和管理资源。域成员与域控制器之间的通信涉及多种服务和协议,因此需要开放多个端口以支持身份验证、授权和其他目录访问服务。通常需要在防火墙中开放一些端口,以便域成员与域控制器之间能够正常通信,确保域中的计算机可以进行认证和访问网络资源。不过,具体需要开放哪些端口可能取决于网络的配置以及在域控制器和域成员服务器上部署的服务。在配置防火墙和安全策略时,应根据实际需要来调整端口的开放。
| 客户端 | 服务端 | 服务类型 |
| 1024-65535/TCP | 135/TCP | RPC |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAPSSL |
| 1024-65535/TCP | 3268/TCP | Global catalog |
| 1024-65535/TCP | 3269/TCP | Global catalog |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos authentication |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP/UDP | 137/TCP/UDP | NetBIOS |
| 1024-65535/TCP/UDP | 138/TCP/UDP | NetBIOS |
| 1024-65535/TCP/UDP | 464/TCP/UDP | Kerberos password change |
| 1024-65535/TCP | 49443/TCP | ADFS |
原文始发于微信公众号(承影安全团队ChengYingTeam):域成员与域控之间通信需要使用的端口
