Windows Server 2016-Active Directory域服務端口匯總
一、默認動態端口範圍:
在由基於Windows Server 2003的域控制器組成的域中,默認的動態端口範圍為1025至5000。Windows Server 2008 R2和Windows Server 2008符合互聯網號碼分配機構(IANA)的建議,增加了動態端口連接範圍。新的默認開始端口是49152,並且新的默認端口是65535.因此,您必須增加防火墻中的遠程過程調用(RPC)端口範圍。如果您的混合域環境包含Windows Server 2008 R2和Windows Server 2008服務器以及Windows Server 2003,請允許通過端口1025至5000以及49152至65535的流量。
當您在下表中的協議和端口列中看到"TCP Dynamic"時,它指的是端口1025到5000(Windows Server 2003的默認端口範圍)以及端口49152到65535,這是從Windows Server 2008開始的默認端口範圍。
您可以使用以下的netsh命令運行Windows Server 2008 的計算機上查看的動態端口範圍:
netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp
netsh int ipv6 show dynamicport tcp
netsh int ipv6 show dynamicport udp
註意:為每個傳輸 (TCP或UDP) 分別設置範圍。端口範圍現在是真正的起始點和結束點都有一個範圍。部署服務器運行的是 Windows Server 2008 的 Microsoft 客戶可能影響服務器如果使用上的內部網絡的防火墻之間的 RPC 通信的問題。在這些情況下,我們建議您重新配置防火墻以允許 49152到 65535的動態端口範圍內的服務器之間的通信。此範圍不包括服務和應用程序所使用的已知端口。或者,可以在每個服務器上修改服務器使用的端口範圍。您可以通過按如下方式使用netsh命令,調整此範圍:
netsh int <ipv4 | ipv6> set dynamic <tcp | udp> start = number num = range
此命令設置 TCP 動態端口範圍。起始端口是數,和端口的總數為區域。下面是示例命令:
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
netsh int ipv6 set dynamicport tcp start=10000 num=1000
netsh int ipv6 set dynamicport udp start=10000 num=1000
這些示例命令設置動態端口範圍端口 10000 和結束端口 10999 (1000端口) 的開始。可以設置的端口的最小數量範圍為 255。可以設置的最小起始端口為 1025。(根據所配置的範圍) 的最大結束端口不能超過 65535。要復制 Windows Server 2003 的默認行為,1025用作起始端口,並將 3976 作為範圍為TCP和UDP。這會導致 1025起始端口和結束端口為 5000。
註意: 當您在基於 Windows Server 2008 的計算機上安裝 Microsoft Exchange Server 2007年時,默認端口範圍是1025到60000。
二、將RPC限制到特定的端口:
如上一節"默認動態端口範圍"中所述,RPC流量在動態端口範圍內使用。如何將RPC流量限制到特定端口,請參考如下內容:
默認情況下,Active Directory復制遠程過程調用(RPC)通過使用端口135通過RPC端點映射程序(RPCSS)在可用端口上動態發生。管理員可以覆蓋此功能並指定所有Active Directory RPC通過的端口。此過程鎖定端口。
通過使用"更多信息"一節中提到的註冊表項指定要使用的端口時,端點映射器將Active Directory服務器端復制流量和客戶端RPC流量發送到這些端口。此配置是可能的,因為Active Directory支持的所有RPC接口都在其所監聽的所有端口上運行。
註意本小結不介紹如何為防火墻配置AD復制。必須打開其他端口才能通過防火墻進行復制。例如,可能需要為Kerberos協議打開端口。
更多信息:重要說明此部分,方法或任務包含說明如何修改註冊表的步驟。但是,如果您不正確地修改註冊表,則可能會出現嚴重問題。因此,請確保您認真執行這些步驟。為了增加保護,請在修改註冊表之前備份註冊表。然後,如果發生問題,您可以還原註冊表。
當您連接到RPC端點時,客戶端上的RPC運行時會聯系服務器上熟知端口(135)上的RPC端點映射程序(RPCSS),並獲取要連接的端口以支持所需的RPC接口。這假定客戶端不知道完整的綁定。所有AD RPC服務都是這種情況。
該服務在啟動時註冊一個或多個端點,並可選擇動態分配的端口或特定的端口。
如果將活動目錄和Netlogon配置為在"端口x"處運行(如以下條目中所示),則除標準動態端口外,這將成為端點映射器註冊的端口。
使用註冊表編輯器修改要使用受限制端口的每個域控制器上的以下值。成員服務器不被視為登錄服務器,因此NTDS的靜態端口分配對它們沒有影響。
成員服務器確實有Netlogon RPC接口,但它很少使用。一些示例可能是遠程配置檢索,如"nltest /server:member.contoso.com /sc_query:contoso.com"。
註冊表鍵值1:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Registry value: TCP/IP Port
Value type: REG_DWORD
Value data: (available port)
註冊表鍵值2:
You need to restart the computer for the new setting to become effective.
Registry key 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Registry value: DCTcpipPort
Value type: REG_DWORD
Value data: (available port)
如上兩註冊表鍵值修改後,都需要重新啟動Netlogon服務才能使新設置生效。
註意當您使用DCTcpipPort註冊表項,並將其設置為與"TCP / IP端口"註冊表項相同的端口時,您會收到NTDS \ Parameters下的Netlogon錯誤事件5809。這表示配置的端口正在使用中,您應該選擇不同的端口。
當您擁有唯一的端口時,您將收到相同的事件,並且您在域控制器上重新啟動Netlogon服務。這是通過設計來實現的,並且是由於RPC運行時管理其服務器端口的方式而發生的。該端口將在重新啟動後使用,並且該事件可以被忽略。
如果使用任何中間網絡設備或軟件來過濾域控制器之間的數據包,管理員應確認通過指定端口的通信已啟用。
通常,您還必須手動設置文件復制服務(FRS)RPC端口,因為AD和FRS復制使用相同的域控制器進行復制。文件復制服務(FRS)RPC端口應使用不同的端口。
不要以為客戶端只使用Netlogon RPC服務,因此只需要設置DCTcpipPort。客戶還使用其他RPC服務,例如SamRPC,LSARPC以及目錄復制服務(DRS)接口。因此,您應始終配置兩個註冊表設置並在防火墻上打開兩個端口。
註意:指定端口後,可能會遇到以下已知問題:
在基於Windows Server 2008 R2的域環境中為NTDS和Netlogon設置特定靜態端口之後的長登錄時間
在基於Windows的域環境中為NTDS設置靜態端口後,AD復制失敗並出現RPC問題
在Windows Server 2012 R2或Windows Server 2008 R2中將客戶端RPC限制為直流通信後登錄失敗
三、與域控制器的通信端口匯總:
下表列出了從Windows Server 2003開始的所有版本的Windows Sever中建立DC到DC通信的端口要求。(在只讀域控制器(RODC)和可寫DC之間進行通信需要額外的端口。)
協議和端口 | AD和AD DS用法 | 端口類型 |
TCP和UDP 389 | 目錄,復制,用戶和計算機認證,組策略,信任 | LDAP |
TCP 636 | 目錄,復制,用戶和計算機認證,組策略,信任 | LDAP SSL |
TCP 3268 | 目錄,復制,用戶和計算機認證,組策略,信任 | LDAP GC |
TCP 3269 | 目錄,復制,用戶和計算機認證,組策略,信任 | LDAP GC SSL |
TCP和UDP 88 | 用戶和計算機身份驗證,林級信任 | Kerberos |
TCP和UDP 53 | 用戶和計算機認證,名稱解析,信任 | DNS |
TCP和UDP 445 | 復制,用戶和計算機身份驗證,組策略,信任 | SMB,CIFS,SMB2,DFSN,LSARPC,NbtSS,NetLogonR,SamR,SrvSvc |
TCP 25 | 復制 | SMTP |
TCP 135 | 復制 | RPC,EPM |
TCP Dynamic | 復制,用戶和計算機身份驗證,組策略,信任 | RPC,DCOM,EPM,DRSUAPI,NetLogonR,SamR,FRS |
TCP 5722 | 文件復制 | RPC,DFSR(SYSVOL) |
UDP 123 | Windows時間,信任 | Windows Time |
TCP和UDP 464 | 復制,用戶和計算機認證,信任 | Kerberos更改/設置密碼 |
UDP Dynamic | 組策略 | DCOM,RPC,EPM |
UDP 138 | DFS,組策略 | DFSN,NetLogon,NetBIOS數據報服務 |
TCP 9389 | AD DS Web服務 | SOAP |
UDP 67和UDP 2535 | DHCP (DHCP不是核心的AD DS服務,但它經常出現在許多AD DS部署中。) | DHCP,MADCAP |
UDP 137 | 用戶和計算機認證, | NetLogon,NetBIOS名稱解析 |
TCP 139 | 用戶和計算機身份驗證,復制 | DFSN,NetBIOS會話服務,NetLogon |
Windows Server 2016-Active Directory域服務端口匯總