【ADDC】域控需要開放的端口

6年前 (2015-06-03)??? 作者:Jiaozn??? 分類:Windows??? 閱讀次數:3486

評論(0)

在域環境里面，如果兩個DC之間啟動防火墻，就會出現無法同步的現象。

從服務器日志看到：文件復制服務有困難啟用復制: 從 PDC 到 BDC 為 c:\windows\sysvol\domain 用 DNS 名稱 pdc.xin***.com。FRS 將繼續重試。

以下是您看到此警告的一些原因。

[1] FRS 不能從此計算機正確解析此 DNS 名稱 pdc.xin****.com。

[2] FRS 不在 pdc.xin***.com 上運行。

[3] Active Directory 里此副件的拓撲信息還沒有復制到所有域控制器。

這個事件紀錄消息將每個連接出現一次。問題解決后，您將看到另一個事件日志消息， 它表明連接被建立。

譬如：在主域控制器以外的域控制器里面建用戶，提示，windows無法驗證用戶名的唯一性,因為在全局編錄聯系下發生下列錯誤：該服務器不可操作

解決辦法：

1、關閉域控制器的防火墻

2、或者開放域控制器所需端口

用戶登錄與驗證身份時會用到的連接端口

用戶登錄時會用到以下的服務，因此如果用戶的計算機與域控制器之間被防火墻隔開，就必須在防火墻開放這些服務的連接端口。

Microsoft-DS traffic: 445/TCP、445/UDP

Kerberos: 88/TCP、 88/UDP

LDAP ping: 389/UDP

DNS: 53/TCP、53/UDP

計算機登錄與驗證身份時會用到的連接端口

計算機登錄到域控制器時會用到以下的服務，因此如果域的成員計算機與域控制之間被防火墻隔開，就必須在防火墻開放這些服務的連接端口。

Microsoft-DS traffic: 445/TCP、445/UDP

Kerberos: 88/TCP、 88/UDP

LDAP ping: 389/UDP

DNS: 53/TCP、53/UDP

建立域信任時會用到的連接端口

位于不同林的域在建立“顯性信任(explicit trust)”關系時，會用到以下的服務，因此如果這兩個域的域控制器之間被防火墻隔開，就必須在防火墻開放這些服務的連接端口。

Microsoft-DS traffic: 445/TCP、445/UDP

Kerberos: 88/TCP、 88/UDP

LDAP：389/TCPAK 636/TCP(如果使用SSL)

LDAP ping: 389/UDP

DNS: 53/TCP、53/UDP

驗證域信任時會用到的連接端口

兩個域內的域控制器在驗證信任關系時會用到以下的服務，因此如果這兩臺域控制器之間被防火墻隔開，就必須在防火墻開放這些服務的連接端口。

Microsoft-DS traffic: 445/TCP、445/UDP

Kerberos: 88/TCP、 88/UDP

LDAP：389/TCPAK 636/TCP(如果使用SSL)

LDAP ping: 389/UDP

DNS: 53/TCP、53/UDP

Net Logon service 無法被鎖定在固定的一個RPC連接端口，也就是它是使用動態的RPC連接端口，此時我們如何開放連接端口呢？還好動態的RPC連接端口可以被限制在一個范圍內

AD數據復制需要的端口- –

RPC 終結點影射器：135/TCP,135/UDP

NetBIOS 名稱服務：137/TCP,137/UDP

NetBIOS 數據文報服務：138/UDP

NetBIOS 會話服務：139/TCP

RPC 動態分配：1024-65535/TCP

Microsoft-DS：445/TCP,445/UDP

LDAP：389/TCP

SSL 上的LDAP：636/TCP

全局編錄 LDAP：3268/TCP

SSL 上的全局編錄 LDAP：3269/TCP

Kerberos：88/TCP,88/UDP

DNS：53/TCP,53/UDP

WINS解析(如果需要)：1512/TCP,1512/UDP

WINS復制(如果需要)：42/TCP,42/UDP

AD用戶密碼修改：464/TCP

除非注明，發表在“Jiaozn的博客”的文章『【ADDC】域控需要開放的端口』版權歸Jiaozn所有。

評論

發表評論???取消回復

昵稱*

E-mail*(建議輸入，以便收到博主回復的提示郵件)

網站

總結

以上是生活随笔為你收集整理的计算机入域时域控用到的端口,【ADDC】域控需要开放的端口的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。