在前面9篇文章中跟大家分享了2008上dc的搭建以及core模式下的一些應(yīng)用，當我們?yōu)槠髽I(yè)部署好基礎(chǔ)架構(gòu)服務(wù)后為了安全起見都會啟動windows server 2008自帶的windows 防火墻，并且很多企業(yè)還會單獨部署一些安全解決產(chǎn)品（如ISA）。那么，要很好的完成這些產(chǎn)品的部署，我們就要了解活動目錄的服務(wù)以及DC上的網(wǎng)絡(luò)連接端口，以便大家在部署防火墻產(chǎn)品的時候開放必要的端口來讓我們的企業(yè)合法用戶及時連接服務(wù)。 DC的網(wǎng)絡(luò)連接端口：在這里我解釋為DC上為域用戶和成員計算機提供的與域相關(guān)的應(yīng)用服務(wù)所開放的端口號。 下面我們來具體看看會提供哪些服務(wù)并開放哪些端口： 首先，在DC上打開DNS服務(wù)管理工具，展開正向查找區(qū)域的域名wgs.com（這里以wgs.com域為例），里面有_tcp和_udp這兩項SRV資源記錄，而通過查看SRV資源記錄就可以看到DC上提供活動目錄相關(guān)服務(wù)所開放的連接端口： a . 選擇_tcp，查看DC上活動目錄相關(guān)服務(wù)所開放的TCP端口 b. 大家可以看到有_ldap（端口為tcp的389）、_kpasswd(端口為tcp的464) 、_kerberos(端口為tcp的88)、_gc(端口為tcp的3268) c. 選擇_tcp，查看DC上活動目錄相關(guān)服務(wù)開放的UDP端口 d. 大家可以看到有_kerberos(端口為UDP的88) _kpasswd(端口為UDP的464) 小結(jié)：以上看到的端口都是需要開放的，各自有不同的作用，并相互配合完成域環(huán)境中的各種業(yè)務(wù)交付： _ldap(TCP[389])是活動目錄復(fù)制服務(wù)的端口：允許客戶機在指定域中找到ldap服務(wù)器 _gc(TCP[3268])是全局編錄查詢的時候所要使用的服務(wù)端口：允許客戶機找到使用活動目錄根域的全局目錄服務(wù)器 _kerberos(TCP[88])票據(jù)管理服務(wù)的端口：允許客戶機找到對本域的kerberosKDC服務(wù) _kpasswd(TCP[464])密碼更改相關(guān)服務(wù)端口：允許客戶機找到域中的kerberos改變密碼服 ---------------------------------------------------------------------------------------- _kerberos(UDP[88])票據(jù)管理服務(wù)的端口：允許客戶機找到對本域的kerberosKDC服務(wù) _kpasswd(UDP[464])密碼更改相關(guān)服務(wù)端口：允許客戶機找到域中的kerberos改變密碼服務(wù) 接下來，我們來用一臺加入域的成員計算機使用 'Active Directory 用戶和計算機'工具連接DC上的活動目錄服務(wù),并且觀察一下連接端口： 通過上面兩副截圖大家可以看到當192.168.99.11(成員計算機)使用 'Active Directory 用戶和計算機'工具連接DC上的活動目錄服務(wù)時，在192.168.99.2(DC)上運行netstat 命令查看到DC的389端口被成員計算機連接使用。 ok，結(jié)合上面大家了解到的端口，現(xiàn)在我們就可以在跨地域的網(wǎng)絡(luò)中通過發(fā)布活動目錄相關(guān)服務(wù)端口的方式讓互聯(lián)網(wǎng)中的用戶來連接到DC了（加入域/登錄域，并享受域環(huán)境中的資源）。 下面，我們看看如何設(shè)置windows 防火墻來滿足上面的企業(yè)應(yīng)用需求（讓互聯(lián)網(wǎng)中的用戶來連接到DC）。 如上面兩副圖片所示，您的防火墻必須例外設(shè)置 Active Directory 域服務(wù)[389][3268] Kerberos密鑰分發(fā)中心[88][464] 文件復(fù)制[389] 文件和打印機共享[445][139] 在了解到上面的這些必須添加到例外的服務(wù)之后，我們再遇到活動目錄服務(wù)不可用的提示時就可以根據(jù)這些服務(wù)的默認端口來判斷問題所在，并采取相應(yīng)措施了。 PS：如果您的服務(wù)器放至在內(nèi)網(wǎng)，您要通過端口映射來實現(xiàn)外網(wǎng)用戶對此服務(wù)器的訪問，現(xiàn)在您也可以更具本文中談及的端口來做映射了。



本文轉(zhuǎn)自 angerfire 51CTO博客，原文鏈接：http://blog.51cto.com/angerfire/200130，如需轉(zhuǎn)載請自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的DC的网络连接端口与防火墙设置[为企业部署Windows Server 2008系列十]的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。