Назад | Перейти на главную страницу

Минимальное количество портов, которые необходимо открыть только между клиентом Windows и контроллером домена

Я просто хочу знать, какой порт должен быть открыт, если я размещу брандмауэр между Windows Client (XP или 7) и контроллером домена (Window Server 2008 R2)

Обратите внимание, что это между клиентом и контроллером домена, а не между контроллером домена и контроллером домена.

Я искал в Google, но в Google ответ, который я получил, находится между клиентом, а также между DC и DC.

По моему мнению, мне нужно открыть.

  1. TCP и UDP порт 88 для аутентификации Kerberos
  2. TCP и UDP 389 для LDAP
  3. TCP и UDP 445 для SMB / CIFS / SMB2
  4. TCP и UDP-порт 464 для смены пароля Kerberos
  5. TCP-порт 3268 и 3269 для глобального каталога
  6. TCP и UDP порт 53 для DNS
  7. TCP и UDP Dynamic - от 1025 до 5000 (Windows Server 2003) и начиная с 49152 до 65535 (Windows Server 2008) для DCOM, RPC, EPM

Сообщите мне, если я что-то упустил.

Примечание. - Только между клиентом и контроллером домена.

Вот несколько ссылок от Microsoft, которые показывают запрашиваемые вами данные. Обратите внимание, что динамические диапазоны для 2003 и 2008 были изменены, поэтому, если у вас смешанная среда, вам может потребоваться открыть оба диапазона или сделать их статическими.

  1. http://support.microsoft.com/kb/179442
  2. http://support.microsoft.com/kb/224196 позволит вам ограничить динамический диапазон, чтобы облегчить настройку брандмауэра.

Чтобы просмотреть свои динамические диапазоны для клиента, вы можете использовать следующие команды, более подробную информацию об этом можно найти на kb929851 (сайт не позволял мне размещать третью ссылку, поэтому мне пришлось ее сократить)

  • netsh int ipv4 показать динамический порт tcp
  • netsh int ipv4 показать динамический порт udp
  • netsh int ipv6 показать динамический порт tcp
  • netsh int ipv6 показать динамический порт udp

Помимо упомянутого вами списка вам также понадобятся:

  1. TCP-порт 135 для сопоставителя конечных точек RPC
  2. TCP / UDP порт 88 для Kerberos
  3. UDP-порт 123 для времени

Если вы хотите использовать LDAP через SSL, вам также понадобится TCP-порт 636.

Ссылка: Как настроить брандмауэр для доменов и трастов