客户端到服务器使用的 Active Directory 端口

---

在这篇文章中，我将探讨 Active Directory 从客户端到服务器使用的 TCP 和 UDP 端口。

我将使用 WireShark 和一系列测试来确定使用了哪些端口。

我将运行的测试：

• 用户登录计算机时使用的端口
• 运行 gpupdate 时使用的端口
• 将计算机加入域时使用的端口
• 重新启动时使用的端口

测试环境：

• 服务器 2022，IP 192.168.100.10（Active Directory 服务器）
• Windows 10 专业版，IP 192.168.100.20
• Wireshark 安装在 Active Directory 服务器上
• Active Directory 服务器是默认安装

Active Directory 端口摘要

以下是默认安装时 Active Directory 使用的端口列表。这是在域控制器和加入域的计算机之间。

• TCP 135 微软 RPC
• TCP/UDP 49152 - 65535 RPC 动态端口
• TCP 88 Kerberos
• TCP 389 LDAP
• UDP 53 DNS
• TCP 445 中小企业

TCP 135 Microsoft RPC 映射器

• 描述：端口 135 是关键的客户端/服务器端口。此端口由许多 Microsoft 服务使用，不应被防火墙阻止。首先，客户端连接到 RPC 映射器服务（端口 135），并询问映射器给定服务正在侦听哪个端口（这将是动态端口范围……见下文）。 RPC 映射器使用端口响应客户端，然后客户端连接到该端口。您可以在上面的屏幕截图中看到这一点。
• 防火墙：允许客户端和服务器之间。端口 135 不应暴露于互联网。

TCP/UDP 49152 - 65535 RPC 动态端口

• 描述：动态端口范围由各种服务器应用程序使用。 RPC 动态端口分配指示 RPC 程序根据所用操作系统的实现，使用 TCP 和 UDP 配置范围内的特定随机端口。 RPC 映射器（端口 135）用于将客户端连接到在这些动态端口上运行的服务。
• 防火墙：允许客户端和服务器之间。该端口范围不应暴露于互联网。

我们建议您重新配置防火墙，以允许服务器之间的流量在 49152 到 65535 的动态端口范围内进行。此范围是服务和应用程序使用的已知端口之外的范围。

https://docs.microsoft.com/en-US/troubleshoot/windows-server/networking/default-dynamic-port-range-tcpip-chang

TCP 88 Kerberos

• 描述： Kerberos 是一种身份验证协议，它以安全的方式对客户端和服务器之间的请求进行身份验证。这是 Microsoft Window 针对加入域的设备的默认身份验证方法。
• 防火墙：允许客户端和服务器之间。端口不应暴露于互联网。

TCP 389 LDAP

• 描述：LDAP是一种目录访问协议。该协议用于搜索、添加/删除、验证和修改目录服务器（例如 Active Directory）中的数据。
• 防火墙：允许客户端和服务器之间。端口不应暴露于互联网。

UDP 53 DNS

• 描述：DNS 是一项关键服务，用于将 IP 地址映射到主机名。这是客户端用来定位域中资源记录和查找外部域名的关键服务。
• 防火墙：允许客户端和服务器之间。如果 DNS 正在您的 Active Directory 服务器上运行，我不建议将其暴露到互联网。

TCP 445 中小企业

• 描述：服务器消息块（SMB 协议）是一种客户端到服务器的通信协议，用于访问网络上的文件、打印机和数据。该端口在启动期间用于获取 GPO 信息，在运行 gpupdate 命令时也会使用该端口。
• 防火墙：允许客户端和服务器之间。不要将此端口暴露给互联网。

用户登录加入域的计算机时使用的端口

在此示例中，我将登录计算机 PC1 (192.168.100.20) 并从域控制器捕获网络数据包。

以下是所使用的 TCP/UDP 端口的会话视图。这是从客户端发送到域控制器和目标端口的流量。

以下是客户端使用的目标端口的摘要。

• TCP 88（Kerberos）
• TCP 135（微软 RPC）
• TCP 389 (LDAP)
• TCP 445（微软 DS）
• TCP 49668（LSA、SAM、NetLogon 的 RPC） - 这以对端口 135 的请求开始
• UDP 53（DNS）
• UDP 389 (LDAP)

运行 Gpupdate 时使用的端口

登录到客户端 PC 后，我将运行 gpupdate 命令来查看使用了哪些端口。

结果如下。看起来 TCP 端口 445 在运行 gpupdate 时使用最多。

将计算机加入域时使用的端口

这看起来与其他数据包捕获类似。

TCP 88 (Kerberos)
TCP 135 (Microsoft RPC)
TCP 389 (LDAP)
TCP 445 (Microsoft DS)
TCP 49668（用于 LSA、SAM、NetLogon 的 RPC） - 这以请求端口 135
UDP 53 (DNS)

重新启动时使用的端口

没什么新鲜的，与其他数据包捕获相比，我看到使用了相同的端口。

希望本指南可以帮助您了解客户端和 Active Directory 服务器之间使用的端口。请记住，此测试是默认域控制器安装，没有运行其他服务，安装的服务越多，可以使用的端口就越多。

资源：

• Windows 的服务概述和网络端口要求
• 服务名称和传输协议编号注册表