1、Windows2012R2企業域環境安裝和配置域控制器防火域配置說明本文適用于企業級多域控環境中對硬件防火墻的配置概要：詳細的域控需要開放的防火墻端口說明，如需要查閱端口清單，請下載本人百度文庫中中一表格文件域控防火墻端口清單本文所推薦的端口是復雜域環境下，會涉及多種服務。目錄 TOC o 1-5 h z HYPERLINK l bookmark6 o Current Document 客戶端(PC)到域控的端口清單3 HYPERLINK l bookmark8 o Current Document 域控的端口清單4 HYPERLINK l bookmark10 o Current Docum

2、ent Active Directory (本地安全機構)5 HYPERLINK l bookmark12 o Current Document 計算機瀏覽器5DHCP服務器6 HYPERLINK l bookmark14 o Current Document 分布式文件系統6 HYPERLINK l bookmark16 o Current Document 分布式文件系統復制6 HYPERLINK l bookmark18 o Current Document 分布式鏈接跟蹤服務器7 HYPERLINK l bookmark20 o Current Document 分布式事務處理協調器.

3、7 HYPERLINK l bookmark22 o Current Document DNS服務器7 HYPERLINK l bookmark24 o Current Document 事件日志8 HYPERLINK l bookmark26 o Current Document 文件復制8 HYPERLINK l bookmark28 o Current Document 組策略8 HYPERLINK l bookmark30 o Current Document HTTP SSL9 HYPERLINK l bookmark32 o Current Document Kerberos密鑰發

4、行中心9 HYPERLINK l bookmark34 o Current Document 網絡登錄9 HYPERLINK l bookmark36 o Current Document NetMeeting遠程桌面共享10 HYPERLINK l bookmark38 o Current Document 遠程過程調用(RPC)10 HYPERLINK l bookmark40 o Current Document 遠程過程調用(RPC)定位器11 HYPERLINK l bookmark42 o Current Document 服務器11 HYPERLINK l bookmark44

5、o Current Document 簡單郵件傳輸協議(SMTP)11 HYPERLINK l bookmark46 o Current Document Systems Management Server 2.012 HYPERLINK l bookmark48 o Current Document 終端服務12 HYPERLINK l bookmark50 o Current Document Windows Internet 名稱服務 (WINS)12 HYPERLINK l bookmark52 o Current Document Windows 時間13 HYPERLINK l b

6、ookmark54 o Current Document 萬維網發布服務13客戶端（PC）到域控的端口清單應用程序協議協議端口ICMP (ping)ICMPDNSTCP53HTTPTCP80KerberosTCP88RPCTCP135NetBIOS名稱解析TCP137NetBIOS數據報服務TCP138NetBIOS會話服務TCP139DC定位器TCP389SMBTCP445Kerberos 密碼 V5TCP464LDAP SSLTCP636RPC隨機分配的高TCP端口TCP1024 - 65535RPC隨機分配的高TCP端口TCP49152 - 65535RPC隨機分配的高UDP端口UDP1

7、024 - 65535DNSUDP53DHCP服務器UDP67KerberosUDP88NTPUDP123RPCUDP135NetBIOS名稱解析UDP137NetBIOS數據報服務UDP138NetBIOS會話服務UDP139DC定位器UDP389SMBUDP445Kerberos 密碼 V5UDP464RPC隨機分配的高UDP端口UDP49152 - 65535域控的端口清單應用程序協議協議端口ICMP (ping)ICMPSMTPTCP25WINS復制TCP42DNSTCP53HTTPTCP80KerberosTCP88RPCTCP135NetBIOS名稱解析TCP137NetBIOS數

8、據報服務TCP138NetBIOS會話服務TCP139DC定位器TCP389HTTPSTCP443SMBTCP445Kerberos 密碼 V5TCP464RPC over HTTPSTCP593LDAP SSLTCP636終端服務TCP3389RPCTCP5722AD DS Web ServicesTCP9389RPC隨機分配的高TCP端口TCP1024 - 65535全局編錄服務器TCP32693268RPC隨機分配的高TCP端口TCP49152 - 65535WINS復制UDP42DNSUDP53DHCP服務器UDP67KerberosUDP88NTPUDP123RPCUDP135Net

9、BIOS名稱解析UDP137NetBIOS數據報服務UDP138NetBIOS會話服務UDP139DC定位器UDP389SMBUDP445Kerberos 密碼 V5UDP464IPsec ISAKMPUDP500MADCAPUDP2535NAT-TUDP4500RPC隨機分配的高UDP端口UDP49152 - 65535RPC隨機分配的高UDP端口UDP1024 - 65535ActiveDirectory （本地安全機構）Active Directory在LSASS進程下運行，它包括用于 Windows 2000和 Windows Server 2003域控制器的身份驗證引擎和 復制引擎。

10、除了 1024和65535之間的某一范圍的臨時TCP端口外，域控制器、客戶端計算機和應用程序服務器還需 要通過特定硬編碼端口與Active Directory進行網絡連接，除非使用隧道協議封裝此通信。封裝的解決方案可能在同時 使用第2層隧道協議（L2TP）和IPsec的篩選路由器后面包含一個VPN網關。在此封裝方案中，您必須允許IPsec封 裝式安全協議（ESP）（IP協議50）、IPsec網絡地址轉換器遍歷NAT-T（UDP端口 4500）以及IPsec Internet安全關聯 和密鑰管理協議（ISAKMP）（UDP端口 500）通過路由器，而不是打開下面列出的所有端口和協議。最后，可以按

11、 知 識庫中的以下文章中所述，對用于Active Directory復制的端口進行硬編碼： 224196將Active Directory復制流量限制在特定端口注意：L2TP流量不需要數據包篩選器，因為L2TP受IPSec ESP保護。系統服務名稱：LSASS應用程序協議協議端口全局編錄服務器TCP3269全局編錄服務器TCP3268LDAP服務器TCP389LDAP服務器UDP389LDAP SSLTCP636LDAP SSLUDP636IPsec ISAKMPUDP500NAT-TUDP4500RPCTCP135RPC隨機分配的高TCP端口TCP1024 - 6553549152 - 65

12、535計算機瀏覽器計算機瀏覽器系統服務維護網絡上的最新計算機列表，并為需要此列表的程序提供此列表。基于Windows的計算機 使用計算機瀏覽器”服務來查看網絡域和資源。被指定為瀏覽器的計算機維護瀏覽列表，這些列表中包含網絡上使用的 所有共享資源。Windows程序的早期版本（如網上鄰居、net view命令以及Windows資源管理器）都需要瀏覽功能。 例如，當您在一臺運行 Windows 95的計算機上打開“網上鄰居時，就會出現域和計算機的列表。為了顯示此列表，計 算機從被指定為瀏覽器的計算機上獲取瀏覽列表的副本。系統服務名稱：Browser應用程序協議協議端口NetBIOS數據報服務UDP

13、138NetBIOS名稱解析UDP137NetBIOS會話服務TCP139DHCP服務器“DHCP服務器服務使用動態主機配置協議(DHCP)自動分配IP地址。使用此服務，可以調整DHCP客戶端的高級網 絡設置。例如，可以配置諸如域名系統(DNS)服務器和Windows Internet名稱服務(WINS)服務器之類的網絡設置。 可以建立一個或多個DHCP服務器來維護TCP/IP配置信息并向客戶端計算機提供此信息。系統服務名稱：DHCPServer應用程序協議協議端口DHCP服務器UDP67MADCAPUDP2535分布式文件系統分布式文件系統(DFS)將位于局域網(LAN)或廣域網(WAN)上

14、的不同文件共享集成到一個邏輯命名空間中。DFS服務是Active Directory域控制器公布SYSVOL共享文件夾所必需的。系統服務名稱：Dfs應用程序協議協議端口NetBIOS數據報服務UDP138NetBIOS會話服務TCP139LDAP服務器TCP389LDAP服務器UDP389SMBTCP445RPCTCP135隨機分配的高TCP端口1TCP1024 - 65535之間的隨機端口號 49152 - 65535之間的隨機端口號21有關如何自定義此端口的更多信息，請參閱參考部分中的遠程過程調用和DCOM”部分。2 這是 Windows Server 2008 和 Windows Vis

15、ta 中的范圍。分布式文件系統復制分布式文件系統復制(DFSR)服務是基于狀態的多主機文件復制引擎，它可以在參與公共復制組的計算機之間將更新自 動復制到文件和文件夾中。DFSR已添加到Windows Server 2003 R2中。可以通過使用Dfsrdiag.exe命令行工具來配置 DFSR，以便在特定端口上復制文件，而不考慮這些計算機是否參與分布式文件系統命名空間(DFSN)。系統服務名稱：DFSR應用程序協議協議端口RPCTCP135RPCTCP57223隨機分配的高TCP端口1TCP1024 - 65535之間的隨機端口號 49152 - 65535之間的隨機端口號21有關如何自定義此

16、端口的更多信息，請參閱參考部分中的“分布式文件復制服務部分。2 這是 Windows Server 2008 和 Windows Vista 中的范圍3端口 5722僅用于2008域控制器或2008R2域控制器上。分布式鏈接跟蹤服務器分布式鏈接跟蹤服務器”系統服務存儲信息，使得在卷之間移動的文件可以跟蹤到域中的每個卷。分布式鏈接跟蹤服務 器服務運行在一個域中的所有域控制器上。此服務啟用分布式鏈接跟蹤客戶端服務，以跟蹤已移動到同一個域的另一 個NTFS文件系統卷中的某個位置的鏈接文檔。系統服務名稱：TrkSvr應用程序協議協議端口RPCTCP135隨機分配的高TCP端口1TCP1024 - 65

17、535之間的隨機端口號 49152 - 65535之間的隨機端口號21有關如何自定義此端口的更多信息，請參閱參考部分中的遠程過程調用和DCOM”部分。2 這是 Windows Server 2008 和 Windows Vista 中的范圍分布式事務處理協調器分布式事務處理協調器（DTC）”系統服務負責協調跨多個計算機系統和資源管理器（如數據庫、消息隊列、文件系統和 其他事務保護資源管理器）分布的事務。如果事務性組件是通過COM+配置的，則需要DTC系統服務。消息隊列（也 稱為MSMQ）中的事務性隊列和SQL Server跨多個系統運行也需要DTC系統服務。系統服務名稱：MSDTC應用程序協議

18、協議端口RPCTCP135隨機分配的高TCP端口1TCP1024 - 65535之間的隨機端口號 49152 - 65535之間的隨機端口號21有關如何自定義此端口的更多信息，請參閱參考部分中的分布式事務處理協調器”部分。2 這是 Windows Server 2008 和 Windows Vista 中的范圍。DNS服務器“DNS服務器”服務通過應答有關DNS名稱的查詢和更新請求來啟用DNS名稱解析。查找使用DNS名稱標識的設備和 服務以及在Active Directory中查找域控制器都需要DNS服務器。系統服務名稱：DNS應用程序協議協議端口DNSUDP53DNSTCP53事件日志事件日

19、志系統服務記錄由程序和Windows操作系統生成的事件消息。事件日志報告中包含對診斷問題有用的信息。 在事件查看器中查看報告。事件日志”服務將程序、服務以及操作系統發送的事件寫入日志文件。這些事件中不僅包含 特定于源程序、服務或組件的錯誤，還包含診斷信息。日志可以通過事件日志API或通過MMC管理單元中的事件查 看器以編程方式查看。系統服務名稱：Eventlog應用程序協議協議端口RPC/命名管道（NP）TCP139RPC/NPTCP445RPC/NPUDP137RPC/NPUDP138注意：事件日志服務通過命名管道使用RPC。此服務的防火墻要求與文件和打印機共享功能相同。文件復制文件復制服務

20、（FRS）是一個基于文件的復制引擎，它可以在參與公共FRS副本集的計算機之間將更新自動復制到文件 和文件夾中。FRS是用于在位于公共域中基于 Windows 2000和基于 Windows Server 2003的域控制器之間復制 SYSVOL文件夾內容的默認復制引擎。可將FRS配置為通過使用DFS管理工具在DFS根或鏈接的目標之間復制文件和 文件夾。系統服務名稱：NtFrs應用程序協議協議端口RPCTCP135隨機分配的高TCP端口1TCP1024 - 65535之間的隨機端口號 49152 - 65535之間的隨機端口號21有關如何自定義此端口的更多信息，請參閱參考部分中的文件復制服務部分

21、。2 這是 Windows Server 2008 和 Windows Vista 中的范圍組策略為成功應用組策略，客戶端必須能夠通過DCOM、ICMP、LDAP、SMB和RPC協議與域控制器聯系。如果上述任一協議 不可用或者在客戶端和相關域控制器之間被阻止，策略將不會應用或刷新。對于跨域登錄（其中計算機在一個域中，而 用戶帳戶在另一個域中），客戶端、資源域和帳戶域可能需要這些協議進行通信。ICMP用來檢測慢速鏈接。有關慢速 鏈接檢測的更多信息，請單擊下面的文章編號，以查看知識庫中相應的文章：227260如何檢測慢速鏈接來處理用戶配置文件和組策略系統服務名稱：組策略應用程序協議協議端口DCOM

22、1TCP + UDP1024 - 65535之間的隨機端口號 49152 - 65535之間的隨機端口號2ICMP (ping)ICMPLDAPTCP389SMBTCP445RPCTCP135, 1024 - 65535之間的隨機端口母1有關如何自定義此端口的更多信息，請參閱“參考部分中的域控制器和Active Directory”部分。2 這是 Windows Server 2008 和 Windows Vista 中的范圍。注意：當組策略管理控制臺（MMC）管理單元創建組策略結果報告和組策略建模報告時，將使用DCOM和RPC發送 和接收客戶端或域控制器中策略結果集（RSoP）提供程序的信息

23、。構成組策略 管理控制臺（MMC）管理單元功能的各 種二進制文件主要使用COM調用發送或接收信息。HTTPSSLHTTP SSL系統服務允許IIS執行SSL功能。SSL是一個開放式標準，用于建立加密的通信通道以幫助防止攔截重要信息 （如信用卡號碼）。盡管此服務旨在處理其他Internet服務，但它主要用于啟用萬維網（WWW）上的加密電子金融交易。通過Internet Information Services （IIS）管理器管理單元可以配置用于此服務的端口。系統服務名稱：HTTPFilter應用程序協議協議端口HTTPSTCP443Kerberos密鑰發行中心當您使用Kerberos密鑰發行中

24、心（KDC）系統服務時，用戶可以使用Kerberos版本5身份驗證協議登錄到網絡。與在 Kerberos協議的其他實現中一樣，KDC是一個提供兩個服務的進程：身份驗證服務和票證授予服務。身份驗證服務頒發 票證授予票證，票證授予服務頒發用于連接到自己的域中的計算機的票證。系統服務名稱：kdc應用程序協議協議端口KerberosTCP88KerberosUDP88Kerberos 密碼 V5UDP464Kerberos 密碼 V5TCP464DC定位器UDP389網絡登錄“網絡登錄”系統服務維護計算機和域控制器之間的安全通道，對用戶和服務進行身份驗證。它將用戶的憑據傳遞給域控 制器，然后返回用戶的

25、域安全標識符和用戶權限。這通常稱為pass-through身份驗證。網絡登錄被配置為僅在成員計 算機或域控制器加入域時自動啟動。在 Windows 2000 Server系列和 Windows Server 2003系列中，網絡登錄發布DNS 中的服務資源定位器記錄。當此服務運行時，它依賴工作站服務和本地安全機構服務來偵聽傳入的請求。在域成員 計算機上，網絡登錄使用命名管道上的RPC。在域控制器上，它使用命名管道上的RPC、RPC over TCP/IP、郵筒以及 輕型目錄訪問協議（LDAP）。系統服務名稱：Netlogon應用程序協議協議端口NetBIOS數據報服務UDP138NetBIOS

26、名稱解析UDP137NetBIOS會話服務TCP139SMBTCP445LDAPUDP389RPC1TCP135, 1024 - 65535之間的隨機端口號135, 49152 - 65535之間的隨機端口號21有關如何自定義此端口的更多信息，請參閱“參考部分中的域控制器和Active Directory”部分。2 這是 Windows Server 2008 和 Windows Vista 中的范圍。注意：網絡登錄服務通過下級客戶端的命名管道使用RPC。此服務具有的防火墻要求與文件和打印機共享”功能的要求 相同。NetMeeting遠程桌面共享“NetMeeting遠程桌面共享”系統服務允許

27、經過授權的用戶使用Windows NetMeeting通過公司的內部網，從其他個人計 算機遠程訪問您的Windows桌面。您必須在NetMeeting中顯式啟用此服務。也可以在Windows通知區域中使用一 個圖標來禁用或關閉此功能。系統服務名稱：mnmsrvc應用程序協議協議端口終端服務TCP3389遠程過程調用（RPC）遠程過程調用（RPC）”系統服務是一種進程間通信（IPC）機制，它啟用駐留在另一個進程中的數據交換和功能調用。不 同的進程可以位于同一臺計算機上、LAN上或位于遠程位置，并且可以通過WAN連接或VPN連接進行訪問。RPC服 務充當RPC終結點映射器和組件對象模型（COM）服

28、務控制管理程序。許多服務的成功啟動都依賴于RPC服務。系統服務名稱：RpcSs應用程序協議協議端口RPCTCP135RPC over HTTPSTCP593NetBIOS數據報服務UDP138NetBIOS名稱解析UDP137NetBIOS會話服務TCP139SMBTCP445注意：RPC終結點映射器也通過使用命名管道提供它的服務。此服務具有的防火墻要求與，文件和打印機共享功能的要 求相同。遠程過程調用(RPC)定位器遠程過程調用(RPC)定位器系統服務管理RPC名稱服務數據庫。此服務打開后，RPC客戶端可以定位RPC服務器。 默認情況下此服務處于關閉狀態。系統服務名稱：RpcLocator應

29、用程序協議協議端口NetBIOS數據報服務UDP138NetBIOS名稱解析UDP137NetBIOS會話服務TCP139SMBTCP445注意：RPC服務定位器通過命名管道使用RPC來提供服務。此服務具有的防火墻要求與文件和打印機共享功能的要 求相同。服務器“服務器系統服務提供RPC支持和文件、打印以及通過網絡的命名管道共享。服務器服務允許共享本地資源(如磁盤 和打印機)，以使網絡上的其他用戶可以訪問這些資源。它還允許本地計算機和其他計算機上運行的程序之間的命名管 道通信。命名管道通信是保留的內存，以便將一個進程的輸出用作另一個進程的輸入。接受輸入的進程不必在本地計算 機上。注意：如果某個計

30、算機名稱使用WINS解析為多個IP地址或者WINS失敗并使用DNS解析該名稱，則NetBIOS over TCP/IP (NetBT)將嘗試ping文件服務器的IP地址。端口 139通信取決于Internet控制消息協議(ICMP)回顯消息。 如果未安裝Internet協議版本6 (IPv6)，則端口 445通信也將依靠ICMP進行名稱解析。預加載的Lmhosts條目將繞 過DNS解析程序。如果IPv6安裝在基于Windows Server 2003或Windows XP的系統上，則端口 445通信將不會觸 發任何ICMP請求。系統服務名稱：lanmanserver應用程序協議協議端口NetB

31、IOS數據報服務UDP138NetBIOS名稱解析UDP137NetBIOS會話服務TCP139SMBTCP445簡單郵件傳輸協議(SMTP)簡單郵件傳輸協議(SMTP)系統服務是電子郵件提交和中繼代理。它接受發往遠程目標的電子郵件并將它們排隊，并按指定的時間間隔重試發送。Windows域控制器將SMTP服務用于站點間基于電子郵件的復制。Windows Server 2003 COM 組件的協作數據對象(CDO)可以使用SMTP服務提交出站電子郵件并將它們排隊。系統服務名稱：SMTPSVC應用程序協議協議端口SMTPTCP25SystemsManagementServer2.0Systems

32、Management Server (SMS) 2003為 操作系統的更改和配置管理提供了一個全面的解決方案。使用此解決方案， 組織可以快速經濟地為用戶提供相關的軟件和更新。應用程序協議協議端口NetBIOS數據報服務UDP138NetBIOS名稱解析UDP137NetBIOS會話服務TCP139RPCTCP135SMBTCP445隨機分配的高TCP端口1TCP1024 - 65535之間的隨機端口號 49152 - 65535之間的隨機端口號21有關如何自定義此端口的更多信息，請參閱參考部分中的遠程過程調用和DCOM”部分。2 這是 Windows Server 2008 和 Windows Vista 中的范圍終端服務“終端服務”提供了一個多會話環境，允許客戶端設備訪問虛擬Windows桌面會話和服務器上運行的基于Windows的 程序。終端服務允許多個用戶以交互方式連接到一臺計算機。系統服務名稱：TermService應用程序協議協議端口終端服務TC