none
win2008 Active Diretory 身份认证端口号 RRS feed

答案

  • 您好!

    由于客户端登陆到网域的时候,需要和DCGC发生验证,查询的动作,这其后的一些通讯所使用到的RPC,可能会随机的使用一些1024以上的端口。而这种情况,在企业内部以及通往Internet的防火墙上,往往是不允许的。关于客户端在登陆验证过程中所使用的端口,有些数据可供参考:

    User Login and Authentication
    •  Microsoft-DS traffic (445/tcp, 445/udp)
    •  Kerberos authentication protocol (88/tcp, 88/udp)
    •  Lightweight Directory Access Protocol (LDAP) ping (389/udp)
    •  Domain Name System (DNS) (53/tcp, 53/udp)
    Computer Login and Authentication
    A computer logon to a domain controller uses the following:
    •  Microsoft-DS traffic (445/tcp, 445/udp)
    •  Kerberos authentication protocol (88/tcp, 88/udp)
    •  LDAP ping (389/udp)
    •  DNS (53/tcp, 53/udp)

    但这并不意味着,如果dcclient之间如果放置防火墙,仅仅开放上面这些端口就足以让它们可以获得完全正常的通讯,以及完全实现ad的功能特性。
    遇到这种情况,需要考虑两个问题:

    1. 由于dcclient之间的通讯模式是松散的,在win2k3 及之前版本的操作系统上,MS并未设计一种变通的工作方式,可以让dcclient之间的通讯可以局限于一个或者某些端口,并保障它们的通讯安全。在进行企业IT基础架构部署过程中,使用诸如Vlan等技术,人为的将dcclient分隔开,是不妥当的。在VistaLonghorn的平台上,IPSecOS之间将获得进一步整合,同时AD上的安全性改进将会允许利用IPSec来保障通讯安全。

    2. 在必须进行分隔的区域之间,如果存在dcclient的通讯,可以在隔离的区域内部署一台或多台dc,让dc跨越隔离区进行dc区域间的复制,而client在隔离区之内进行本地登陆。MS是允许通过手动设定的方式,让dc之间的复制局限于某些特定的端口,这就为分隔区域的ad部署提供了弹性设置。

    关于dc跨越防火墙进行复制的设置,请参考:
    如何为域和信任关系配置防火墙

    http://support.microsoft.com/kb/179442/zh-cn

    希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年11月8日 9:07
    版主