標籤:資訊 額外 範圍 time 綁定 中間 白名單 互連網 檔案複製
本章為大家簡單整理一下有關Windows server Active Directory和Active Directory網域服務(AD DS)組件的連接埠要求。生產環境中我們在做網路調整、防火牆或者開關連接埠白名單等操作的時候,很多時候都會遇到同步異常等問題,具體是哪些策略影響連接埠通訊引起的我們很難及時排查,本章將為大家簡單整理一下,希望大家可以少走彎路,提高排錯效率。註:可寫網域控制站和唯讀網域控制站(RODC)都具有相同的連接埠要求。
一、預設動態連接埠範圍:
在由基於Windows Server 2003的網域控制站組成的域中,預設的動態連接埠範圍為1025至5000。Windows Server 2008 R2和Windows Server 2008符合互連網號碼分配機構(IANA)的建議,增加了動態連接埠串連範圍。新的預設開始連接埠是49152,並且新的預設連接埠是65535.因此,您必須增加防火牆中的遠端程序呼叫(RPC)連接埠範圍。如果您的混合域環境包含Windows Server 2008 R2和Windows Server 2008伺服器以及Windows Server 2003,請允許通過連接埠1025至5000以及49152至65535的流量。
當您在下表中的協議和連接埠列中看到"TCP Dynamic"時,它指的是連接埠1025到5000(Windows Server 2003的預設連接埠範圍)以及連接埠49152到65535,這是從Windows Server 2008開始的預設連接埠範圍。
您可以使用以下的netsh命令運行Windows Server 2008 的電腦上查看的動態連接埠範圍:
netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp
netsh int ipv6 show dynamicport tcp
netsh int ipv6 show dynamicport udp
注意:為每個傳輸 (TCP或UDP) 分別設定範圍。連接埠範圍現在是真正的起始點和結束點都有一個範圍。部署伺服器啟動並執行是 Windows Server 2008 的 Microsoft 客戶可能影響伺服器如果使用上的內部網路的防火牆之間的 RPC 通訊的問題。在這些情況下,我們建議您重新設定防火牆以允許 49152到 65535的動態連接埠範圍內的伺服器之間的通訊。此範圍不包括服務和應用程式所使用的已知連接埠。或者,可以在每個伺服器上修改伺服器使用的連接埠範圍。您可以通過按如下方式使用netsh命令,調整此範圍:
netsh int <ipv4 | ipv6> set dynamic <tcp | udp> start = number num = range
此命令設定 TCP 動態連接埠範圍。開始端點口是數,和連接埠的總數為地區。下面是樣本命令:
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
netsh int ipv6 set dynamicport tcp start=10000 num=1000
netsh int ipv6 set dynamicport udp start=10000 num=1000
這些樣本命令設定動態連接埠範圍連接埠 10000 和結束連接埠 10999 (1000連接埠) 的開始。可以設定的連接埠的最小數量範圍為 255。可以設定的最小開始端點口為 1025。(根據所配置的範圍) 的最大結束連接埠不能超過 65535。要複製 Windows Server 2003 的預設行為,1025用作開始端點口,並將 3976 作為範圍為TCP和UDP。這會導致 1025開始端點口和結束連接埠為 5000。
注意: 當您在基於 Windows Server 2008 的電腦上安裝 Microsoft Exchange Server 2007年時,預設連接埠範圍是1025到60000。
二、將RPC限制到特定的連接埠:
如上一節"預設動態連接埠範圍"中所述,RPC流量在動態連接埠範圍內使用。如何將RPC流量限制到特定連接埠,請參考如下內容:
預設情況下,Active Directory複製遠端程序呼叫(RPC)通過使用連接埠135通過RPC端點對應程式(RPCSS)在可用連接埠上動態發生。管理員可以覆蓋此功能並指定所有Active Directory RPC通過的連接埠。此過程鎖定連接埠。
通過使用"更多資訊"一節中提到的登錄機碼指定要使用的連接埠時,端點映射器將Active Directory伺服器端複製流量和用戶端RPC流量發送到這些連接埠。此配置是可能的,因為Active Directory支援的所有RPC介面都在其所監聽的所有連接埠上運行。
注意本小結不介紹如何為防火牆配置AD複製。必須開啟其他連接埠才能通過防火牆進行複製。例如,可能需要為Kerberos協議開啟連接埠。
更多資訊:重要說明此部分,方法或任務包含說明如何修改註冊表的步驟。但是,如果您不正確地修改註冊表,則可能會出現嚴重問題。因此,請確保您認真執行這些步驟。為了增加保護,請在修改註冊表之前備份註冊表。然後,如果發生問題,您可以還原註冊表。
當您串連到RPC端點時,用戶端上的RPC運行時會聯絡伺服器上熟知連接埠(135)上的RPC端點對應程式(RPCSS),並擷取要串連的連接埠以支援所需的RPC介面。這假定用戶端不知道完整的綁定。所有AD RPC服務都是這種情況。
該服務在啟動時註冊一個或多個端點,並可選擇動態分配的連接埠或特定的連接埠。
如果將活動目錄和Netlogon配置為在"連接埠x"處運行(如以下條目中所示),則除標準動態連接埠外,這將成為端點映射器註冊的連接埠。
使用登錄編輯程式修改要使用受限制連接埠的每個網域控制站上的以下值。成員伺服器不被視為登入伺服器,因此NTDS的靜態連接埠分配對它們沒有影響。
成員伺服器確實有Netlogon RPC介面,但它很少使用。一些樣本可能是遠程配置檢索,如"nltest /server:member.contoso.com /sc_query:contoso.com"。
註冊表索引值1:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Registry value: TCP/IP Port
Value type: REG_DWORD
Value data: (available port)
註冊表索引值2:
You need to restart the computer for the new setting to become effective.
Registry key 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Registry value: DCTcpipPort
Value type: REG_DWORD
Value data: (available port)
如上兩註冊表索引值修改後,都需要重新啟動Netlogon服務才能使新設定生效。
注意當您使用DCTcpipPort登錄機碼,並將其設定為與"TCP / IP連接埠"登錄機碼相同的連接埠時,您會收到NTDS \ Parameters下的Netlogon錯誤事件5809。這表示配置的連接埠正在使用中,您應該選擇不同的連接埠。
當您擁有唯一的連接埠時,您將收到相同的事件,並且您在網域控制站上重新啟動Netlogon服務。這是通過設計來實現的,並且是由於RPC運行時管理其伺服器連接埠的方式而發生的。該連接埠將在重新啟動後使用,並且該事件可以被忽略。
如果使用任何中間網路裝置或軟體來過濾網域控制站之間的資料包,管理員應確認通過指定連接埠的通訊已啟用。
通常,您還必須手動設定檔案複寫服務 (FRS)(FRS)RPC連接埠,因為AD和FRS複製使用相同的網域控制站進行複製。檔案複寫服務 (FRS)(FRS)RPC連接埠應使用不同的連接埠。
不要以為用戶端只使用Netlogon RPC服務,因此只需要設定DCTcpipPort。客戶還使用其他RPC服務,例如SamRPC,LSARPC以及目錄複寫服務(DRS)介面。因此,您應始終配置兩個註冊表設定並在防火牆上開啟兩個連接埠。
注意:指定連接埠後,可能會遇到以下已知問題:
三、與網域控制站的通訊連接埠匯總:
下表列出了從Windows Server 2003開始的所有版本的Windows Sever中建立DC到DC通訊的連接埠要求。(在唯讀網域控制站(RODC)和可寫DC之間進行通訊需要額外的連接埠。)
協議和連接埠 |
AD和AD DS用法 |
連接埠類型 |
TCP和UDP 389 |
目錄,複製,使用者和電腦認證,組策略,信任 |
LDAP |
TCP 636 |
目錄,複製,使用者和電腦認證,組策略,信任 |
LDAP SSL |
TCP 3268 |
目錄,複製,使用者和電腦認證,組策略,信任 |
LDAP GC |
TCP 3269 |
目錄,複製,使用者和電腦認證,組策略,信任 |
LDAP GC SSL |
TCP和UDP 88 |
使用者和電腦身分識別驗證,林級信任 |
Kerberos |
TCP和UDP 53 |
使用者和電腦認證,名稱解析,信任 |
DNS |
TCP和UDP 445 |
複製,使用者和電腦身分識別驗證,組策略,信任 |
SMB,CIFS,SMB2,DFSN,LSARPC,NbtSS,NetLogonR,SamR,SrvSvc |
TCP 25 |
複製 |
SMTP |
TCP 135 |
複製 |
RPC,EPM |
TCP Dynamic |
複製,使用者和電腦身分識別驗證,組策略,信任 |
RPC,DCOM,EPM,DRSUAPI,NetLogonR,SamR,FRS |
TCP 5722 |
檔案複製 |
RPC,DFSR(SYSVOL) |
UDP 123 |
Windows時間,信任 |
Windows Time |
TCP和UDP 464 |
複製,使用者和電腦認證,信任 |
Kerberos更改/設定密碼 |
UDP Dynamic |
組策略 |
DCOM,RPC,EPM |
UDP 138 |
DFS,組策略 |
DFSN,NetLogon,NetBIOS資料報服務 |
TCP 9389 |
AD DS Web服務 |
SOAP |
UDP 67和UDP 2535 |
DHCP (DHCP不是核心的AD DS服務,但它經常出現在許多AD DS部署中。) |
DHCP,MADCAP |
UDP 137 |
使用者和電腦認證, |
NetLogon,NetBIOS名稱解析 |
TCP 139 |
使用者和電腦身分識別驗證,複製 |
DFSN,NetBIOS會話服務,NetLogon |
Windows Server 2016-Active Directory網域服務連接埠匯總
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
