Какие порты должны быть доступны на контроллере домена для входа клиентов в систему?

tcp/53 DNS  
tcp/88 Kerberos  
tcp/135 RPC  
tcp/445 sysvol share  
tcp/389 LDAP  
tcp/464 Kerberos password (Max/Unix clients)  
tcp/636 LDAP SSL  (if the domain controllers have/need/use certificates)   
tcp/1688 KMS (if KMS is used.  Not necessarily AD, but the SRV record is in AD and clients need to communicate with the KMS).  
tcp/3268 LDAP GC
tcp/3269 LDAP GC SSL (if the domain controllers have/need/use certificates)   
tcp/49152 through 65535 (Windows Vista/2008 and higher) aka “high ports”  

udp/53 DNS
udp/88 Kerberos
udp/123 time  
udp/135 RPC  
udp/389 LDAP  
udp/445 sysvol share  

Вы можете минимизировать диапазон высокоскоростных портов, настроив статический порт RPC для Active Directory.

Ограничение RPC-трафика Active Directory определенным портом
https://support.microsoft.com/en-us/kb/224196

Обычно рекомендуется принудительно использовать Kerberos только tcp / ip, особенно если у вас большая сложная сеть или учетные записи являются членами большого количества групп / большого размера токена.

Как заставить Kerberos использовать TCP вместо UDP в Windows
https://support.microsoft.com/en-us/kb/244474

Клиент должен будет получить доступ к Kerberos, так что это TCP 88 Затем есть служба глобального каталога, так что TCP 3268 Существует служба KPassword TCP 464 (это позволяет изменять пароль) Затем есть порт LDAP TCP 389, клиентам все еще нужен доступ к нему помочь найти контроллеры домена.

Есть также порты UDP для Kerberos (88) и KPassword (464), я не уверен, нужны они или нет. сначала попробуйте без них.