今天我有一个奇怪的设置,我想在 Windows 2003 R2 SP2 计算机上启用 Windows 防火墙,该计算机将充当 Active Directory 域控制器。
我没有在 Internet 上看到一个资源列出了执行此操作所需的内容,所以我想我会在此处列出它们,看看是否有人要添加/查看不必要的内容。
使用“子网”范围打开的端口:
- 42 | 技术支持 | 获胜(如果你使用它)
- 53 | 技术支持 | 域名系统
- 53 | UDP | 域名系统
- 88 | 技术支持 | Kerberos
- 88 | UDP | Kerberos
- 123 | UDP | NTP
- 135 | 技术支持 | RPC
- 135 | UDP | RPC
- 137 | UDP | 网络BIOS
- 138 | UDP | 网络BIOS
- 139 | 技术支持 | 网络BIOS
- 389 | 技术支持 | LDAP
- 389 | UDP | LDAP
- 445 | 技术支持 | 中小企业
- 445 | UDP | 中小企业
- 第636章 技术支持 | LDAPS
- 3268 | 技术支持 | GC LDAP
- 第3269章 技术支持 | GC LDAP
使用“任何”范围打开的端口(对于 DHCP)
- 67 | UDP | DHCP
- 2535 | UDP | DHCP
此外,您需要限制 RPC 使用固定端口而不是 > 1024 的所有端口。为此,您需要添加两个注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Registry value: TCP/IP Port
Value type: REG_DWORD
Value data: <-- pick a port like 1600 and put it here
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Registry value: DCTcpipPort
Value type: REG_DWORD
Value data: <-- pick another port like 1650 and put it here
...不要忘记在防火墙中添加条目以允许(TCP,子网范围)中的条目。
完成所有这些之后,我能够将客户端计算机添加到 AD 域(在 Windows 防火墙后面)并成功登录。
如果需要,您可以通过以下几种方式限制 RPC 端口范围:
我已经用这些端口做到了这一点。已经有一段时间了,我不确定我是否加入了域,或者更确切地说,这是否允许机器在加入同一子网后与 DC 通信。
TCP 端口:
135 139 389 445 1026
UDP 端口:
53 88 123 389
来自微软知识库:
对于 Active Directory: http: //support.microsoft.com/kb/179442
用于限制 RPC 使用的端口:http ://technet.microsoft.com/en-us/library/bb727063.aspx