域通讯过程中所需端口概述

域通讯过程中所需端口概述
在企业通讯中,域中经常遇到中间有防火墙隔离的情况,比如两个DC需要复制,而它们之间是通过ISASERVER之类的防火墙隔离的,那么因该开启那些端口呢?那么这篇文章可以带给你的就是在域的模式下各种通讯到底需要那些端口.
首先我们先把所有需要的端口给大家一个总结表,然后在个大家说明各种通讯下所需要的端口.
用户登录与验证身份时会用到的连接端口
用户登录时会用到以下的服务，因此如果用户的计算机与域控制器之间被防火墙隔开，就必须在防火墙开放这些服务的连接端口。

Microsoft-DS traffic: 445/TCP、445/UDP
Kerberos: 88/TCP、88/UDP
LDAP ping: 389/UDP
DNS: 53/TCP、53/UDP
计算机登录与验证身份时会用到的连接端口
计算机登录到域控制器时会用到以下的服务，因此如果域的成员计算机与域控制之间被防火墙隔开，就必须在防火墙开放这些服务的连接端口。

Microsoft-DS traffic: 445/TCP、445/UDP
Kerberos: 88/TCP、88/UDP
LDAP ping: 389/UDP
DNS: 53/TCP、53/UDP
建立域信任时会用到的连接端口
位于不同林的域在建立“显性信任（explicit trust）”关系时，会用到以下的服务，因此如果这两个域的域控制器之间被防火墙隔开，就必须在防火墙开放这些服务的连接端口。

Microsoft-DS traffic: 445/TCP、445/UDP
Kerberos: 88/TCP、88/UDP
LDAP：389/TCPAK 636/TCP（如果使用SSL）
LDAP ping: 389/UDP
DNS: 53/TCP、53/UDP
验证域信任时会用到的连接端口
两个域内的域控制器在验证信任关系时会用到以下的服务，因此如果这两台域控制器之间被防火墙隔开，必须在防火墙开放这些服务的连接端口。

Microsoft-DS traffic: 445/TCP、445/UDP
Kerberos: 88/TCP、88/UDP
LDAP：389/TCPAK 636/TCP（如果使用SSL）
LDAP ping: 389/UDP
DNS: 53/TCP、53/UDP
Net Logon service 无法被锁定在固定的一个RPC连接端口，也就是它是使用动态的RPC连接端口，此时我们如何开放连接端口呢？还好动态的RPC连接端口可以被限制在一个范围内因此我们只要在防火墙上开放这优范围内的RPC连接端口即可。

RPC endpoint mapper:135/TCP、135/UDP 使用动态RPC连接端口时，需要搭配RPC endpoint mapper服务，因此请在防火墙开放此服务的连接端口。

访问文件资源时会用到的连接端口
访问文件资源时所使用的服务为SMB over IP (445/TCP, 445/UDP),因此如果用户的计算机与资源所在的计算机被防火墙隔开，就必须在防火墙开放这个服务的连接端口。

执行DNS查询时会用到的连接端口
如果要通过防火墙来向DNS服务器提出查询要求，例如查询域控制器的IP地址，就必须开放DNS服务的连接端口：53/TCP 与53/UDP。

执行Active Directory 复制会用到的连接端口
两台域控制器之间在进行Active Directory 复制工作时会用到以下的服务，因此如果这两台域控制器之间被防火墙隔开，就必须在防火墙开放这些服务的连接端口：Active Directory复制它是使用动态的RPC连接端口，如果动态的RPC连接端口被限制在一段范围内，我们则只要在防火墙内开放这段范围内的RPC连接端口即可（参见本节中“限制动态RPC连接端口的范围”的内容）。

不过您也可以自行指定一个固定的连接端口
Kerberos: 88/TCP、88/UDP
LDAP：389/TCPAK 636/TCP（如果使用SSL）
LDAP ping: 389/UDP
DNS: 53/TCP、53/UDP
SMB overIP:445/TCP、445/UDP
File Replication Service(FRS) 同一个域的域控制器之间在复制SYSVOL文件夹内的文件时，还会用到FRS。

FRS也是采用动态的RPC连接端口，如果将动态的RPC连接端口限制在一段范围内，就只要在防火墙开放这段范围内的RPC连接端口即可。

RPC endpoint mapper:135/TCP、135/UDP 使用动态RPC连接端口时，需要搭配RPC endpoint mapper服务，因此请在防火墙开放此服务的连接端口。

其他可能需要开放的连接端口
Global Catalog;3268/TCP、3269/TCP(如果使用SSL) 假设用户登录时，负责验证用户身份的域控制器需要通过防火墙，来向“全局编录”查询用户所隶属的通用组数据时，就需要在防火墙开放连接端口3268。

又例如Microsoft Exchange Server需要访问位于防火墙另外一端的“全局编录”，您也需要开放连接端口3268。

Network Time Protocol (NTP):123/UDP 它负责时间的同步（NetBIOS的相关服务：137/TCP、137/UDP、138/UDP、139/UDP 开放这些连接端口，以便于通过防火墙来使用NetBIOS服务，例如支持旧客户端来登录、浏览网上邻居等。

限制动态RPC连接端口的范围
Active Directory的复制、Exchange Server的复制、Net Logon等服务是使用动态RPC连接端口的，也就是没有固定的连接端口，这将造成在防火墙设置上的困扰，但动态的RPC连接端口可以被限制在一段范围内，因此我们只要在防火墙开放这段范围内的RPC连接端口即可。

以下将介绍如何将动态的RPC连接端口限制在我们所指定的范围内。

建议从连接端口号码5000开始，而且因为可能有多个应用程序都在使用RPC连接端口，因此建议至少包含20个以上的连接端口。

连接端口号最大为65535。

我们需要利用修改登录值的方式来将动态的RPC连接端口限制在指定的范围内。

执行登录编辑程序REGEDIT.EXE，然后通过以下路径来设置：
HKEY—LOCAL—MACHINE\SOFTWARE\Microsoft\Rpc
步骤1 在上述路径之下增加一个名称为Internet的项。

步骤2 在Internet项之下增加如表B-2所示的3个数值。

重新开机。

以后这台计算机内所有会用到动态RPC连接端口的程序，都会使用6000-6050之间的连接端口号。

让Active Directory 复制时使用指定的连接端口
执行Active Directory 复制工作时，预设是使用动态的RPC连接端口，但是我们也可以自行指定一个固定的连接端口。

执
行登录编辑程序REGEDIT.EXE，然后通过以下路径来设置：
HKEY-LOCAL-MACHINE\SYSTEM\Currentcontrolset\services\NTDS\Parameters
在上述路径之下增加一个如表所示的数值，图中我们将连接端口号设置为56789（十进制）。

IPSec与VPN连接端口
如果域控制器之间或是域控制器与成员计算机之间，不但被防火墙隔开，而且所传送的数据还经过IPSec的处理，或是经过PPTP、L2TP等VPN安全传输通道传送，就必须在防火墙开放另一些通信协议或连接端口。

IPSec 所使用到UDP通信协议外，还会用到ESP与AH通信协议，因此我们必须在防火墙开放相关的UDP连接端口与ESP、AH通信协议：
Encapsulation Secutity Payload(ESP):通信协议号码为50
提示：此处所叙述的是“通信协议号码（Protocol number）”, 不是TCP或UDP的“连接端口号码（Protocol number）”。

Authentication Header (AH):通信协议号码为51
Internet Key Exchange (IKE):所使用的为UDP连接端口号码500
PPTP VPN 所使用的通信协议与连接端口
除了TCP通信协议外，PPTP VPN还会使用到GRE 通信协议：
General Routing Encapsulation (GRE):通信协议的号码为47
PPTP：所使用的为TCP连接端口号码1723
L2TP/IPSec所合作的通信协议与连接端口
除了UDP通信协议外，L2TP/IPSec还会用到ESP通信协议：
Encapsulation Security Payload(ESP): 通信协议的号码为50
Internet Key Exchange (IKE): 所使用的为UDP连接端口号码500
NAT-T：所使用的为UDP连接端口号码4500，它让IPSec可以穿越NAT。