Использование Active Directory через брандмауэр

У меня сегодня была странная установка, когда я хотел включить брандмауэр Windows на компьютере с Windows 2003 R2 SP2, который будет действовать как контроллер домена Active Directory.

Я не нашел в Интернете ни одного ресурса, в котором перечислялось бы, что для этого потребуется, поэтому я подумал, что перечислю их здесь и посмотрю, есть ли у кого-нибудь что-нибудь добавить / увидеть что-то, что не нужно.

Открываемые порты с областью «подсети»:

• 42 | TCP | WINS (если вы его используете)
• 53 | TCP | DNS
• 53 | UDP | DNS
• 88 | TCP | Kerberos
• 88 | UDP | Kerberos
• 123 | UDP | NTP
• 135 | TCP | RPC
• 135 | UDP | RPC
• 137 | UDP | NetBIOS
• 138 | UDP | NetBIOS
• 139 | TCP | NetBIOS
• 389 | TCP | LDAP
• 389 | UDP | LDAP
• 445 | TCP | SMB
• 445 | UDP | SMB
• 636 | TCP | LDAPS
• 3268 | TCP | GC LDAP
• 3269 | TCP | GC LDAP

Порты, которые нужно открывать с "любой" областью действия (для DHCP)

• 67 | UDP | DHCP
• 2535 | UDP | DHCP

ТАКЖЕ Вам нужно ограничить RPC для использования фиксированных портов вместо всех> 1024. Для этого вам нужно добавить два ключа реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Registry value: TCP/IP Port
Value type: REG_DWORD
Value data:  <-- pick a port like 1600 and put it here

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters 
Registry value: DCTcpipPort
Value type: REG_DWORD
Value data: <-- pick another port like 1650 and put it here

... не забудьте добавить записи в брандмауэр, чтобы разрешить их в (TCP, область подсети).

После всего этого я смог добавить клиентский компьютер в домен AD (за брандмауэром Windows) и успешно войти в систему.