none
Windows2016域环境动态端口防火墙端口开启请教! RRS feed

  • 问题

  • 尊敬的微软工程师,

    Windows2016域环境动态端口防火墙端口开启,依据微软官方我们开启了

    49152-65535这段端口的防火墙策略,但是发现Windows2016在加域的时候会去使用20000左右的低端口号,请问我们正确到底应该在防火墙上开哪些动态端口才适用于Windows2016域下面Windows2016服务器加入域的操作?


    谷青松

    2020年8月4日 4:20

答案

  • 尊敬的客户,您好!

    非常感谢您的反馈。

    很抱歉回复的信息不是我们咨询的动态端口问题。关于您的问题,我跟同事们谈论了下,觉得当前我们的问题是有点奇怪。如我们所说,默认情况下Windows 2008之后的版本动态端口是49152-65535。我在自己的Windows 2016环境中,使用如下命令查看运行的动态端口范围也是49152-65535。(见下图)我们可以尝试运行下以下命令查看下当前使用的动态端口范围。

    netsh int ipv4 show dynamicport tcp
    netsh int ipv4 show dynamicport udp
    netsh int ipv6 show dynamicport tcp
    netsh int ipv6 show dynamicport udp




    鉴于我们的问题有点奇怪,无法做基础的排查。可能需要抓包进一步分析。建议我们可以联系Microsoft客户服务和支持以获得有效的解决方案。
    https://support.microsoft.com/zh-cn/supportforbusiness/productselection

    感谢您的理解和支持。


    此致,
    Hannah Xiong


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 谷青松 2020年8月6日 2:51
    2020年8月5日 9:40

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    客户端计算机或者服务器加入域,需要开放如下端口。

    Microsoft CIFS:445/TCP
    RPC:   135/TCP
    DNS:53/TCP/UDP
    Kerberos:88/TCP/UDP
    LDAP:389/TCP/UDP
    Netlogon服务:NetBIOS Name Service(137/UDP)/NetBIOS Datagram Service(138/UDP)/NetBIOS Session Service (139/TCP)与SMB(445/TCP)

    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年8月4日 7:20
  • 我请教的是动态端口不是你提供的这些。

    默认情况下Windows2008之后版本动态端口为49152-65535这段端口

    Windows2003之前版本动态端口为1024-65525这段端口。

    现在我们这里发现Windows2016搭建的个别域控环境,成员服务器加入域后发现动态端不在49152-65535这个段里面的端口。

    这些个别域控环境中成员服务器入域后动态端口进程lsass.exe Local Security Authority Process使用的动态端口都是20000-30000端口之间这个端的端口数,我们想查明原因所以发帖请求技术支持

    经过我的测试可以通过netsh int ipv4 set dynamicport tcp start=20000 num=16384 来进行动态端口的起始设置,但是目前在生产环境中发现这批有问题的域控并没有进行netsh int ipv4 set dynamicport tcp start=20000 num=16384 进行动态端口起始设置,这些服务器默认起始设置端口依旧是49152初始计数16384,但是动态端口进程lsass.exe Local Security Authority Process使用的动态端口却是20000端口起始,现在想排查这个问题,烦请协助,谢谢!


    谷青松


    • 已编辑 谷青松 2020年8月5日 2:45 补充
    2020年8月4日 8:13
  • 尊敬的客户,您好!

    非常感谢您的反馈。

    很抱歉回复的信息不是我们咨询的动态端口问题。关于您的问题,我跟同事们谈论了下,觉得当前我们的问题是有点奇怪。如我们所说,默认情况下Windows 2008之后的版本动态端口是49152-65535。我在自己的Windows 2016环境中,使用如下命令查看运行的动态端口范围也是49152-65535。(见下图)我们可以尝试运行下以下命令查看下当前使用的动态端口范围。

    netsh int ipv4 show dynamicport tcp
    netsh int ipv4 show dynamicport udp
    netsh int ipv6 show dynamicport tcp
    netsh int ipv6 show dynamicport udp




    鉴于我们的问题有点奇怪,无法做基础的排查。可能需要抓包进一步分析。建议我们可以联系Microsoft客户服务和支持以获得有效的解决方案。
    https://support.microsoft.com/zh-cn/supportforbusiness/productselection

    感谢您的理解和支持。


    此致,
    Hannah Xiong


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 谷青松 2020年8月6日 2:51
    2020年8月5日 9:40