AD域要开放的端口

AD域要开放的端口1.用户登录与验证身份时会用到的连接端口
Microsoft-DS traffic : 445/TCP 445/UDP
Kerberos : 88/TCP 88/UDP
LDAP ping : 389/UDP
LDAP ：389/TCPAK 636/TCP(如果使用SSL)
LDAP ping : 389/UDP
DNS : 53/TCP 53/UDP
4.验证域信任时会用到的连接端口
两个域内的域控制器在验证信任关系时会用到以下的服务。

Microsoft-DS traffic : 445/TCP 445/UDP
Kerberos : 88/TCP 88/UDP
LDAP : 389/TCPAK 636/TCP(如果使用SSL)
LDAP ping : 389/UDP
DNS : 53/TCP 53/UDP
Active Directory 复制：它是使用动态的RPC连接端口，如果动态的RPC连接端口被限制在一段范围内，我们则只需要在防火墙上开放这段范围的RPC连接端口即可（参见本节中“限制动态RPC 连接端口的范围”的内容）。

不过您也可以自行指定一个固定的连接端口。

kerberos : 88/TCP 88/UDP
LDAP : 389/TCPAK 636/TCP(如果使用SSL)
LDAP ping : 389/UDP
DNS : 53/TCP 53/UDP
SMB over IP : 445/TCP 445/UDP
File Replication Service(FRS) : 同一个域的域控制器之间在复制SYSVOL文件夹内的文件时，还会用到FRS。

FRS也是采用动态的RPC连接端口，如果将动态的RPC连接端口限制在一段范围内，就只要在防火墙开放这段范围内的RPC连接端口即可。

RPC endpoint mapper : 135/TCP 135/UDP 使用动态的RPC连接端口时，需要搭配RPC endpoint mapper服务,因此请在防火墙开放此服务的连接端口。

我们需要修改注册表的方式来将动态RPC端口限制在指定范围内。

到要限制动态RPC端口范围的计算机上运行注册表编辑程序REGEDIT.EXE，然后通过以下路径来设置：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
步骤1：在上述路径下添加一个名为Internet的项
步骤2：请在Internet的项之下添加如下三个数值
步骤3：完成修改后，重新启动计算机，检查计算机内所有用到动态RPC端口的程序，是否都会使用5000～5020之间的端口
??C:\> netstat –n
10.限制Active Directory数据库复制使用指定的静态端口
若域功能级别不是windows Server 2008，则同一个域的域控制器之间在复制SYSVOL文件夹时，会使用FRS（File Replication Service）.FRS默认使用动态RPC端口，但是我可以指定一个静态端口。

到域控制器上运行注册表编辑程序REGEDIT.EXE，然后通过以下路径来设置：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters。