下面我将端口分为“核心必需端口” 和“其他重要端口” 两类,并附上说明,以便您根据实际网络环境(尤其是防火墙策略)进行配置。
这些端口是域功能正常运行所绝对必需的,如果它们被阻断,将会导致登录失败、组策略无法应用、时间不同步等严重问题。
| 端口 | 协议 | 服务名称 | 用途说明 |
| 53 | TCP/UDP | DNS | 域名解析,域成员通过DNS定位域控制器(查找_ldap._tcp.dc._msdcs.<域名> 等SRV记录),这是最先需要确保连通的端口。 |
| 88 | TCP/UDP | Kerberos | 身份认证,用户和计算机登录域时使用的主要认证协议。 |
| 389 | TCP/UDP | LDAP | 轻量目录访问协议,用于查询和修改Active Directory数据库中的对象(用户、计算机、组等)。 |
| 636 | TCP | LDAPS | 基于SSL的LDAP(加密的LDAP通信)。 |
| 445 | TCP | SMB | 服务器消息块,用于文件共享、远程管理(如通过管理工具连接)和组策略中某些文件的访问。 |
| 464 | TCP/UDP | Kerberos Password | Kerberos 密码更改协议,用于更改用户密码。 |
| 3268 | TCP | LDAP GC | 全局编录,用于查询林中所有域的对象信息(在跨域登录或Exchange查询时使用)。 |
| 3269 | TCP | LDAPS GC | 基于SSL的全局编录(加密的GC通信)。 |
| 135 | TCP | RPC Endpoint Mapper | RPC端点映射器,客户端通过此端口查询其他RPC服务(如Netlogon)实际使用的动态端口。 |
这些端口对于特定功能或管理场景非常重要。
| 端口 | 协议 | 服务名称 | 用途说明 |
| 123 | UDP | NTP | 网络时间协议,确保域内所有计算机的时间同步,时间偏差超过5分钟会导致Kerberos认证失败。 |
| 139 | TCP | NetBIOS | NetBIOS会话服务,较老的协议,但某些旧应用或网络可能仍依赖它进行名称解析和服务发现。 |
| 137 | UDP | NetBIOS Name | NetBIOS名称解析。 |
| 138 | UDP | NetBIOS Datagram | NetBIOS数据报服务。 |
| 25 | TCP | SMTP | 简单邮件传输协议,如果域控制器承担了邮件中继角色(如用于站点间复制),则需要此端口。 |
| 5722 | TCP | DFSR | DFS复制,用于在域控制器之间通过DFS复制SYSVOL内容(Windows Server 2008 R2及以后版本)。 |
| 9389 | TCP | AD WS | Active Directory Web服务,用于PowerShell的AD模块等新型管理工具。 |
| 49152-65535 | TCP | 动态RPC端口 | 这是一个大范围的高端口,许多服务(如Netlogon、LSASS)在135端口注册后,会使用这个范围内的随机端口进行实际通信,这是配置防火墙时最棘手的地方。 |
1、域成员 ↔ 域控制器:
* 在域成员的防火墙出站规则和网络防火墙策略中,必须允许其访问域控制器上的上述核心端口。
* 对于动态RPC端口,微软推荐在域控制器上通过组策略限制其范围,以简化防火墙规则,可以将其限制在较小的范围内,例如50000-51000。
2、域控制器 ↔ 域控制器(站内/站间复制):
* 除了上述端口外,还需要确保RPC相关端口(135和动态端口)和DFS端口(5722)的连通性,以便进行目录和文件复制。
3、防火墙配置建议:
内部网络如果域控制器和成员在同一受信任的内网,可以开放所有TCP和UDP端口,或至少开放上述所有核心端口。
受保护网段/跨防火墙如果域控制器位于独立的网段(如DMZ用于身份认证),或在不同站点之间通过防火墙连接,则需要精确配置规则。
必须开放53, 88, 389, 445, 464, 3268。
强烈建议开放135, 以及一个受限制的动态RPC端口范围。
管理访问如果需要远程管理,还需要开放RDP(3389)和WinRM(5985/5986)端口。
4、官方参考:
微软官方文档是最终的权威来源,请参考
* [Active Directory 和 Active Directory 域服务端口要求](https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/identity/active-directory-ports)
* [服务概述和网络端口要求](https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/services-for-network-ports)
为了方便记忆,这里是一个最精简的核心端口列表:
| 端口 | 协议 | 服务 | 关键性 |
| 53 | TCP/UDP | DNS | 极高(找不到域控制器) |
| 88 | TCP/UDP | Kerberos | 极高(无法认证) |
| 389 | TCP/UDP | LDAP | 极高(无法查询目录) |
| 445 | TCP | SMB | 高(组策略、管理) |
| 135 | TCP | RPC | 高(多种服务的基石) |
| 动态端口 | TCP | RPC Services | 高(需要管理范围) |
配置时,请务必结合您的具体网络架构和安全要求进行操作。
文章摘自:https://idc.huochengrm.cn/js/17238.html
评论
员鸿飞
回复域控服务器通常需要开启389(LDAP)、636(LDAPS)、88(Kerberos)、53(DNS)等端口。