域服务器安装防火墙需要开放哪些端口客户机才能登录
2009-10-14 20:58
423 查看
问题:
當我開啟windows 2003 server的防火牆功能后,我應開啟哪些端口,以保證用戶可以正常的進行域登錄,獲取組策略,dhcp,dns,winns,文件打印共享功能.谢谢
A:
dc与client的通讯是紧密地,由于使用到rpc,在高位端口将会从1024-65535随即跳跃。
这是之前我回复给一位朋友的信件,其中提到了这个问题:
您好,在不同网段进行客户端的登陆是没有问题的,确切来说,除非划分子网,进而涉及到划分站点,除此之外,ad并不关心客户端所处的网段。之所以登陆会遇到问题,就是由于客户端登陆到网域的时候,需要和DC、GC发生验证,查询的动作,这其后的一些通讯所使用到的RPC,可能会随机的使用一些1024以上的端口。而这种情况,往往在企业内部以及通往Internet的防火墙上是不允许的。
关于客户端在登陆验证过程中所使用的端口,有些数据可供参考:
User Login and Authentication
• Microsoft-DS traffic (445/tcp, 445/udp)
• Kerberos authentication protocol (88/tcp, 88/udp)
• Lightweight Directory Access Protocol (LDAP) ping (389/udp)
• Domain Name System (DNS) (53/tcp, 53/udp)
Computer Login and Authentication
A computer logon to a domain controller uses the following:
• Microsoft-DS traffic (445/tcp, 445/udp)
• Kerberos authentication protocol (88/tcp, 88/udp)
• LDAP ping (389/udp)
• DNS (53/tcp, 53/udp)
但这并不意味着,如果dc和client之间如果存放防火墙设置,仅仅开放端口就足以让它们可以获得正常通讯,以及完全实现ad的功能特性。
遇到这种情况,作为管理员需要明确两个问题:
1、dc和client之间的通讯模式是松散的,MS并未设计一种变通的工作方式,可以让dc和client之间的通讯可以局限于一个或者某些端口。在进行企业IT基础架构部署过程中,使用诸如Vlan等技术,人为的将dc与client分隔开,是不妥当的。
2、在必须进行分隔的区域之间,如果存在dc与client的通讯,可以在隔离的区域内部署一台或多台dc,让dc跨越隔离区进行dc区域间的复制,而client在隔离区之内进行本地登陆。MS是允许通过手动设定的方式,让dc之间的复制局限于某些特定的端口,这就为分隔区域的ad部署提供了弹性设置。
关于dc跨越防火墙进行复制的设置,请参考
http://www.microsoft.com/china/technet/windows2000/win2ksrv/adrepfir.asp
此文转载自新席地网:http://newxd.com/article.asp?id=3928
當我開啟windows 2003 server的防火牆功能后,我應開啟哪些端口,以保證用戶可以正常的進行域登錄,獲取組策略,dhcp,dns,winns,文件打印共享功能.谢谢
A:
dc与client的通讯是紧密地,由于使用到rpc,在高位端口将会从1024-65535随即跳跃。
这是之前我回复给一位朋友的信件,其中提到了这个问题:
您好,在不同网段进行客户端的登陆是没有问题的,确切来说,除非划分子网,进而涉及到划分站点,除此之外,ad并不关心客户端所处的网段。之所以登陆会遇到问题,就是由于客户端登陆到网域的时候,需要和DC、GC发生验证,查询的动作,这其后的一些通讯所使用到的RPC,可能会随机的使用一些1024以上的端口。而这种情况,往往在企业内部以及通往Internet的防火墙上是不允许的。
关于客户端在登陆验证过程中所使用的端口,有些数据可供参考:
User Login and Authentication
• Microsoft-DS traffic (445/tcp, 445/udp)
• Kerberos authentication protocol (88/tcp, 88/udp)
• Lightweight Directory Access Protocol (LDAP) ping (389/udp)
• Domain Name System (DNS) (53/tcp, 53/udp)
Computer Login and Authentication
A computer logon to a domain controller uses the following:
• Microsoft-DS traffic (445/tcp, 445/udp)
• Kerberos authentication protocol (88/tcp, 88/udp)
• LDAP ping (389/udp)
• DNS (53/tcp, 53/udp)
但这并不意味着,如果dc和client之间如果存放防火墙设置,仅仅开放端口就足以让它们可以获得正常通讯,以及完全实现ad的功能特性。
遇到这种情况,作为管理员需要明确两个问题:
1、dc和client之间的通讯模式是松散的,MS并未设计一种变通的工作方式,可以让dc和client之间的通讯可以局限于一个或者某些端口。在进行企业IT基础架构部署过程中,使用诸如Vlan等技术,人为的将dc与client分隔开,是不妥当的。
2、在必须进行分隔的区域之间,如果存在dc与client的通讯,可以在隔离的区域内部署一台或多台dc,让dc跨越隔离区进行dc区域间的复制,而client在隔离区之内进行本地登陆。MS是允许通过手动设定的方式,让dc之间的复制局限于某些特定的端口,这就为分隔区域的ad部署提供了弹性设置。
关于dc跨越防火墙进行复制的设置,请参考
http://www.microsoft.com/china/technet/windows2000/win2ksrv/adrepfir.asp
此文转载自新席地网:http://newxd.com/article.asp?id=3928
相关文章推荐
- 如果域控(domain controller)在防火墙内, 那么需要开放哪些端口才能让墙外的机器正常连接domain controller呢?
- SharePoint 2010服务器场的防火墙需要开放哪些端口?
- AD Exchange Lync 服务器需要想客户端开放的防火墙端口
- 扫描服务器开放了哪些端口
- WEB服务器访问SQL Server 2008数据库服务器需要开启哪些端口?
- CentOS7安装MySql5.7,防火墙关闭,修改防火墙开放端口
- 【centos安装wordpress】要执行请求的操作,WordPress 需要访问您网页服务器的权限。 请输入您的 FTP 登录XXXX”完美解决方法
- Linux学习笔记(三)---数据库Mysql安装步骤之Linux下Mysql防火墙开放3306端口
- 关于NetScaler与后台XD环境之前需要开放的防火墙端口
- tfs需要对防火墙开放的端口
- AD服务器与客户端联系需要在防火墙上开放的端口
- centos7.4安装最新版svn远程服务器并开放3690端口设置远程访问
- Linux 服务器如何开放端口 配置防火墙
- 运行cPanel服务,配置防火墙策略,应该开放哪些端口?
- NetScaler与后台XD环境之前需要开放的防火墙端口
- 自己装服务器之防火墙之停止firewalld以及开放端口
- linux安装jdk以及配置防火墙开放端口
- 服务器本地防火墙配置只开放80端口关闭远程连接端口
- 服务器防火墙打开失败,如何开放端口