Quais portas precisam estar acessíveis em um controlador de domínio para que os clientes façam logon?

Question

Quais portas precisam estar acessíveis em um controlador de domínio para que os clientes façam logon?

#1 resposta do (5 votos)
#2 resposta do (2 votos)

1

Atualmente, estamos segmentando nossa rede. Vamos mover os servidores em outra sub-rede que os clientes. É claro que os clientes ainda precisam de acesso ao controlador de domínio para se autenticarem.

Encontrei vários artigos sobre as portas que precisam estar acessíveis entre os controladores de domínio para permitir a replicação, mas nenhuma sobre as portas que são importantes para os clientes. Tenho certeza que o cliente não acessará diretamente o banco de dados LDAP, por exemplo, e eu quero reduzir a superfície de ataque o máximo possível.

Então, quais portas são necessárias para um cliente poder trabalhar com um controlador de domínio?

networking firewall active-directory port domain-controller

por davidb 25.06.2016 / 23:56

2 respostas

2

O cliente precisará acessar o Kerberos para que seja TCP 88 Depois, há o serviço de Catálogo Global, de modo que é TCP 3268 Existe o serviço TCP 464 do KPassword (isso permite alterações de senha) Em seguida, há a porta LDAP TCP 389, os clientes ainda precisam acessá-la para ajudar a localizar os controladores de domínio.

Também existem portas UDP para Kerberos (88) e KPassword (464). Não tenho certeza se elas são necessárias ou não. tente sem eles primeiro.

por 26.06.2016 / 13:22

Tags networking firewall active-directory port domain-controller

A melhor VPN ponto-a-ponto? Como hospedar um único site em vários servidores [fechado]

score 5 · Accepted Answer

tcp/53 DNS  
tcp/88 Kerberos  
tcp/135 RPC  
tcp/445 sysvol share  
tcp/389 LDAP  
tcp/464 Kerberos password (Max/Unix clients)  
tcp/636 LDAP SSL  (if the domain controllers have/need/use certificates)   
tcp/1688 KMS (if KMS is used.  Not necessarily AD, but the SRV record is in AD and clients need to communicate with the KMS).  
tcp/3268 LDAP GC
tcp/3269 LDAP GC SSL (if the domain controllers have/need/use certificates)   
tcp/49152 through 65535 (Windows Vista/2008 and higher) aka “high ports”  

udp/53 DNS
udp/88 Kerberos
udp/123 time  
udp/135 RPC  
udp/389 LDAP  
udp/445 sysvol share

Você pode minimizar o intervalo de porta alta configurando uma porta RPC estática para o Active Directory.

Restringindo o tráfego RPC do Active Directory a uma porta específica link

Geralmente, é uma boa ideia forçar o Kerberos a usar somente TCP / IP, principalmente se você tiver uma rede grande e complexa ou se as contas forem membros de um grande número de grupos / tamanho de token grande.

Como forçar o Kerberos a usar o TCP em vez do UDP no Windows link