所有必需的域控制器端口

---

域控制器是网络的重要组成部分。为了保护它们，您应该确保启用防火墙并且仅打开域控制器所需的端口。但那些端口是哪些？

域控制器的主要功能当然是Active Directory。为了使客户端能够与 AD 通信，需要在防火墙中打开某些端口。

在本文中，我们将了解域控制器需要哪些端口。

域控制器端口

当您安装新的域控制器时，Windows 防火墙会自动配置。 Active Directory 所需的所有端口都会自动添加。但是，例如，当您想要使用 VLAN 对网络进行分段时，您将需要确保在域控制器和客户端之间打开正确的端口。

我们首先看一下域控制器上需要打开的端口：

PortProtocolService53TCP/UDPDNS88TCP/UDPKerberos authentication123UDPW32Time135TCPRPC Endpoint Mapper137/138 *UDPNetBIOS139 *TCPNetBIOS389TCP/UDPLDAP445TCPSMB464TCP/UDPKerberos password change636TCPLDAP SSL3268/3269TCPLDAP Global Catalog / LDAP GC SSL49152-65535TCPRPC Ephemeral Ports

* 如果您运行的是 Windows 2012 或更高版本，则不再需要 NetBIOS 端口。 Netbios 被 SMB (Samba) 取代。

如果您计划使用 Active Directory PowerShell 模块或 Active Directory 管理中心，则需要确保端口 9389 也已打开。

建议

请务必查看我的域控制器运行状况报告脚本。

客户端和域控制器之间的通信需要 RPC 端口范围 49152-65535。端口号是随机分配给客户端的。可以通过注册表项限制范围，但实际上不建议这样做，因为它可能会超出您的预期。

端口 53 - DNS

域名系统 (DNS) 通信通过 TCP 和 UDP 端口 53 进行。DNS 解析对于域控制器位置和名称解析至关重要。

端口 88 - Kerberos

Kerberos 是 Windows 使用的身份验证协议。它在 TCP 和 UDP 端口 88 上运行。这对于域内的安全身份验证至关重要。

端口 123 -W32Time

虽然与域控制器操作没有直接关系，但端口 123 在维护网络时间同步方面发挥着至关重要的作用。准确的计时在 IT 环境中至关重要，尤其是在 Active Directory 中，因为它可以确保一致且安全的身份验证和访问控制。

端口 135 - RPC 端点映射器

端口 135 是许多 Microsoft 服务使用的关键客户端/服务器端口。在此过程中，客户端最初连接到端口 135 上的 RPC 映射器服务，以确定所需服务正在侦听的动态端口范围。然后 RPC 映射器响应端口信息，允许客户端建立连接。

端口 389 - LDAP

轻量级目录访问协议 (LDAP) 在 TCP 和 UDP 端口 389 上运行。它用于基本的 LDAP 查询和目录更新。 LDAP 是 Active Directory 的支柱，有助于用户身份验证和目录查找。

端口 445 - SMB

端口 445 用于 SMB 协议。 Active Directory 使用它来获取 GPO 信息。除此之外，该协议还用于文件和打印机共享。

端口 636 - LDAP

为了增强安全性，LDAPS（LDAP over SSL）在 TCP 端口 636 上运行。LDAPS 对域控制器之间传输的数据进行加密，从而保护敏感信息。

端口 3268/3269 - LDAP 全局目录

端口 3268 和安全版本 3269（使用 SSL）用于查询 LDAP 全局目录。

端口 49152-65535 - RPC 临时端口

在端口 135 上与 RPC Mapper 初次联系后，此范围内的端口将分配给客户端。

ADFS 端口

如果您使用的是 Active Directory 联合身份验证服务 (ADFS)，则需要确保以下端口也已打开：

PortProtocolService80TCP/UDPHTTP443TCP/UDPHTTPS5985TCP/UDPWinRM Listener49443TCPActive Directory Federations Services (ADFS)

使用 Azure AD Connect 或联合/WAP 服务器时需要端口 5985。使用基于证书的身份验证时，ADFS 需要端口 49443。

包起来

安装 Active Directory 服务时，域控制器上的 Windows 防火墙默认已正确配置。如果您在域控制器上使用第三方防火墙，或计划使用 VLAN，则需要确保列出的端口已打开。

如前所述，NetBIOS 端口实际上不再需要，因此如果您没有任何应用程序使用它们，最好阻止它们。

我希望这篇文章对您有所帮助，如果您有任何疑问，请在下面发表评论。