win2008 Active Diretory 身份认证端口号
问题
答案
-
您好!
由于客户端登陆到网域的时候,需要和DC、GC发生验证,查询的动作,这其后的一些通讯所使用到的RPC,可能会随机的使用一些1024以上的端口。而这种情况,在企业内部以及通往Internet的防火墙上,往往是不允许的。关于客户端在登陆验证过程中所使用的端口,有些数据可供参考:
User Login and Authentication
• Microsoft-DS traffic (445/tcp, 445/udp)
• Kerberos authentication protocol (88/tcp, 88/udp)
• Lightweight Directory Access Protocol (LDAP) ping (389/udp)
• Domain Name System (DNS) (53/tcp, 53/udp)
Computer Login and Authentication
A computer logon to a domain controller uses the following:
• Microsoft-DS traffic (445/tcp, 445/udp)
• Kerberos authentication protocol (88/tcp, 88/udp)
• LDAP ping (389/udp)
• DNS (53/tcp, 53/udp)
但这并不意味着,如果dc和client之间如果放置防火墙,仅仅开放上面这些端口就足以让它们可以获得完全正常的通讯,以及完全实现ad的功能特性。
遇到这种情况,需要考虑两个问题:
1. 由于dc和client之间的通讯模式是松散的,在win2k3 及之前版本的操作系统上,MS并未设计一种变通的工作方式,可以让dc和client之间的通讯可以局限于一个或者某些端口,并保障它们的通讯安全。在进行企业IT基础架构部署过程中,使用诸如Vlan等技术,人为的将dc与client分隔开,是不妥当的。在Vista及Longhorn的平台上,IPSec与OS之间将获得进一步整合,同时AD上的安全性改进将会允许利用IPSec来保障通讯安全。
2. 在必须进行分隔的区域之间,如果存在dc与client的通讯,可以在隔离的区域内部署一台或多台dc,让dc跨越隔离区进行dc区域间的复制,而client在隔离区之内进行本地登陆。MS是允许通过手动设定的方式,让dc之间的复制局限于某些特定的端口,这就为分隔区域的ad部署提供了弹性设置。
关于dc跨越防火墙进行复制的设置,请参考:
如何为域和信任关系配置防火墙http://support.microsoft.com/kb/179442/zh-cn
希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。
如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
立刻免费下载 TechNet 论坛好帮手
- 已标记为答案 Tom Zhang – MSFTModerator 2012年11月19日 4:49
