windows域控服务器全部端口列表和说明

Windows2012R2 企业域环境安装和配置

域控制器防火域配置说明

本文适用于企业级多域控环境中对硬件防火墙的配置

概要：

详细的域控需要开放的防火墙端口说明，如需要查阅端口清单，请下载本人百度文库中中一表格文件《域控防火墙端口清单》

本文所推荐的端口是复杂域环境下，会涉及多种服务。

目录

客户端（PC）到域控的端口清单 (3)

域控的端口清单 (4)

Active Directory（本地安全机构） (5)

计算机浏览器 (5)

DHCP 服务器 (6)

分布式文件系统 (6)

分布式文件系统复制 (6)

分布式跟踪服务器 (7)

分布式事务处理协调器 (7)

DNS 服务器 (7)

事件日志 (8)

文件复制 (8)

组策略 (8)

HTTP SSL (9)

Kerberos 密钥发行中心 (9)

网络登录 (9)

NetMeeting 远程桌面共享 (10)

远程过程调用 (RPC) (10)

远程过程调用 (RPC) 定位器 (10)

服务器 (11)

简单传输协议 (SMTP) (11)

Systems Management Server 2.0 (11)

终端服务 (12)

Windows Internet 名称服务 (WINS) (12)

Windows 时间 (12)

万维网发布服务 (13)

客户端（PC）到域控的端口清单

域控的端口清单

Active Directory（本地安全机构）

Active Directory 在 LSASS 进程下运行，它包括用于 Windows 2000 和 Windows Server 2003 域控制器的身份验证引擎和复制引擎。除了 1024 和 65535 之间的某一围的临时 TCP 端口外，域控制器、客户端计算机和应用程序服务器还需要通过特定硬编码端口与 Active Directory 进行网络连接，除非使用隧道协议封装此通信。封装的解决方案可能在同时使用第 2 层隧道协议 (L2TP) 和 IPsec 的筛选路由器后面包含一个 VPN 网关。在此封装方案中，您必须允许IPsec 封装式安全协议 (ESP)（IP 协议 50）、IPsec 网络地址转换器遍历 NAT-T（UDP 端口 4500）以及 IPsec Internet 安全关联和密钥管理协议 (ISAKMP)（UDP 端口 500）通过路由器，而不是打开下面列出的所有端口和协议。最后，可以按知识库中的以下文章中所述，对用于 Active Directory 复制的端口进行硬编码：

224196将 Active Directory 复制流量限制在特定端口

注意：L2TP 流量不需要数据包筛选器，因为 L2TP 受 IPSec ESP 保护。

系统服务名称：LSASS

计算机浏览器

“计算机浏览器”系统服务维护网络上的最新计算机列表，并为需要此列表的程序提供此列表。基于 Windows 的计算机使用“计算机浏览器”服务来查看网络域和资源。被指定为浏览器的计算机维护浏览列表，这些列表中包含网络上使用的所有共享资源。Windows 程序的早期版本（如网上邻居、net view命令以及 Windows 资源管理器）都需要浏览功能。例如，当您在一台运行 Windows 95 的计算机上打开“网上邻居”时，就会出现域和计算机的列表。为了显示此列表，计算机从被指定为浏览器的计算机上获取浏览列表的副本。

系统服务名称：Browser

DHCP 服务器

“DHCP 服务器”服务使用动态主机配置协议 (DHCP) 自动分配 IP 地址。使用此服务，可以调整 DHCP 客户端的高级网络设置。例如，可以配置诸如域名系统 (DNS) 服务器和 Windows Internet 名称服务 (WINS) 服务器之类的网络设置。可以建立一个或多个 DHCP 服务器来维护 TCP/IP 配置信息并向客户端计算机提供此信息。

系统服务名称：DHCPServer

分布式文件系统

分布式文件系统 (DFS) 将位于局域网 (LAN) 或广域网 (WAN) 上的不同文件共享集成到一个逻辑命名空间中。DFS 服务是 Active Directory 域控制器公布 SYSVOL 共享文件夹所必需的。

系统服务名称：Dfs

¹有关如何自定义此端口的更多信息，请参阅“参考”部分中的“远程过程调用和DCOM”部分。

²这是 Windows Server 2008 和 Windows Vista 中的围。

分布式文件系统复制

分布式文件系统复制 (DFSR) 服务是基于状态的多主机文件复制引擎，它可以在参与公共复制组的计算机之间将更新自动复制到文件和文件夹中。DFSR 已添加到 Windows Server 2003 R2 中。可以通过使用 Dfsrdiag.exe 命令行工具来配置 DFSR，以便在特定端口上复制文件，而不考虑这些计算机是否参与分布式文件系统命名空间 (DFSN)。

系统服务名称：DFSR

¹有关如何自定义此端口的更多信息，请参阅“参考”部分中的“分布式文件复制服务”部分。

²这是 Windows Server 2008 和 Windows Vista 中的围

³端口 5722 仅用于 2008 域控制器或 2008R2 域控制器上。

分布式跟踪服务器

“分布式跟踪服务器”系统服务存储信息，使得在卷之间移动的文件可以跟踪到域中的每个卷。“分布式跟踪服务器”服务运行在一个域中的所有域控制器上。此服务启用“分布式跟踪客户端”服务，以跟踪已移动到同一个域的另一个NTFS 文件系统卷中的某个位置的文档。

系统服务名称：TrkSvr

¹有关如何自定义此端口的更多信息，请参阅“参考”部分中的“远程过程调用和DCOM”部分。

²这是 Windows Server 2008 和 Windows Vista 中的围

分布式事务处理协调器

“分布式事务处理协调器(DTC)”系统服务负责协调跨多个计算机系统和资源管理器（如数据库、消息队列、文件系统和其他事务保护资源管理器）分布的事务。如果事务性组件是通过 COM+ 配置的，则需要 DTC 系统服务。消息队列（也称为 MSMQ）中的事务性队列和 SQL Server 跨多个系统运行也需要 DTC 系统服务。

系统服务名称：MSDTC

¹有关如何自定义此端口的更多信息，请参阅“参考”部分中的“分布式事务处理协调器”部分。

²这是 Windows Server 2008 和 Windows Vista 中的围。

DNS 服务器

“DNS 服务器”服务通过应答有关 DNS 名称的查询和更新请求来启用 DNS 名称解析。查找使用 DNS 名称标识的设备和服务以及在 Active Directory 中查找域控制器都需要 DNS 服务器。

系统服务名称：DNS