在前面9篇文章中跟大家分享了2008上dc的搭建以及core模式下的一些應用，當我們為企業部署好基礎架構服務后為了安全起見都會啟動windows server 2008自帶的windows 防火墻，并且很多企業還會單獨部署一些安全解決產品（如ISA）。那么，要很好的完成這些產品的部署，我們就要了解活動目錄的服務以及DC上的網絡連接端口，以便大家在部署防火墻產品的時候開放必要的端口來讓我們的企業合法用戶及時連接服務。 DC的網絡連接端口：在這里我解釋為DC上為域用戶和成員計算機提供的與域相關的應用服務所開放的端口號。 下面我們來具體看看會提供哪些服務并開放哪些端口： 首先，在DC上打開DNS服務管理工具，展開正向查找區域的域名wgs.com（這里以wgs.com域為例），里面有_tcp和_udp這兩項SRV資源記錄，而通過查看SRV資源記錄就可以看到DC上提供活動目錄相關服務所開放的連接端口： a . 選擇_tcp，查看DC上活動目錄相關服務所開放的TCP端口 b. 大家可以看到有_ldap（端口為tcp的389）、_kpasswd(端口為tcp的464) 、_kerberos(端口為tcp的88)、_gc(端口為tcp的3268) c. 選擇_tcp，查看DC上活動目錄相關服務開放的UDP端口 d. 大家可以看到有_kerberos(端口為UDP的88) _kpasswd(端口為UDP的464) 小結：以上看到的端口都是需要開放的，各自有不同的作用，并相互配合完成域環境中的各種業務交付： _ldap(TCP[389])是活動目錄復制服務的端口：允許客戶機在指定域中找到ldap服務器 _gc(TCP[3268])是全局編錄查詢的時候所要使用的服務端口：允許客戶機找到使用活動目錄根域的全局目錄服務器 _kerberos(TCP[88])票據管理服務的端口：允許客戶機找到對本域的kerberosKDC服務 _kpasswd(TCP[464])密碼更改相關服務端口：允許客戶機找到域中的kerberos改變密碼服 ---------------------------------------------------------------------------------------- _kerberos(UDP[88])票據管理服務的端口：允許客戶機找到對本域的kerberosKDC服務 _kpasswd(UDP[464])密碼更改相關服務端口：允許客戶機找到域中的kerberos改變密碼服務 接下來，我們來用一臺加入域的成員計算機使用 'Active Directory 用戶和計算機'工具連接DC上的活動目錄服務,并且觀察一下連接端口： 通過上面兩副截圖大家可以看到當192.168.99.11(成員計算機)使用 'Active Directory 用戶和計算機'工具連接DC上的活動目錄服務時，在192.168.99.2(DC)上運行netstat 命令查看到DC的389端口被成員計算機連接使用。 ok，結合上面大家了解到的端口，現在我們就可以在跨地域的網絡中通過發布活動目錄相關服務端口的方式讓互聯網中的用戶來連接到DC了（加入域/登錄域，并享受域環境中的資源）。 下面，我們看看如何設置windows 防火墻來滿足上面的企業應用需求（讓互聯網中的用戶來連接到DC）。 如上面兩副圖片所示，您的防火墻必須例外設置 Active Directory 域服務[389][3268] Kerberos密鑰分發中心[88][464] 文件復制[389] 文件和打印機共享[445][139] 在了解到上面的這些必須添加到例外的服務之后，我們再遇到活動目錄服務不可用的提示時就可以根據這些服務的默認端口來判斷問題所在，并采取相應措施了。 PS：如果您的服務器放至在內網，您要通過端口映射來實現外網用戶對此服務器的訪問，現在您也可以更具本文中談及的端口來做映射了。



本文轉自 angerfire 51CTO博客，原文鏈接：http://blog.51cto.com/angerfire/200130，如需轉載請自行聯系原作者

總結

以上是生活随笔為你收集整理的DC的网络连接端口与防火墙设置[为企业部署Windows Server 2008系列十]的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。