admin管理员组文章数量:1534356
2024年3月14日发(作者:)
修改windows ad端口后无法加入域
关于AD限制开放端口后加域不成功的问题。现在我的环境中是Win7的客户端,
AD使用的是Windows Server2008 R2,并在网络中需要通过防火墙,在网上也查
到了AD需要开放的端口,单向开通了从客户端到AD的如下端口:
Port
53/TCP/UDP
88/TCP/UDP
123/UDP
135/TCP
139/TCP
445/TCP
389/TCP/UDP
636/TCP
3268/TCP
3269/TCP
464 TCP/ UDP
ICMP/IP
Protocol
DNS
Kerberos
Time Service
RPC
NetBIOS session
SMB
LDAP
LDAP SSL
LDAP GC
LDAP GC SSL
Kerberos
ICMP
50000~60000/TCP RPC动态端口
我这里需要将RPC动态端口限制为50000-60000,所以在AD上使 用”set
dynamicportrange protocol=tcp startport=50000 numberofports=10000“命
令将服务器的RPC动态端口更改为了 50000-60000.查看的话也显示已更改成
功。
但是在将客户端(win7)加入域时不成功,可以输入加域时需要的用户名和密码,
先提示加域成功,但紧接着又出现 ”将该计算机的主域DNS名称更改为“”失
败“的报错 ,后来开启了UDP138端口,不再出现该错误,但是又出现了”RPC
服务不可用“的报错,发现win7客户端始终在尝试连接AD的 49152-50000之
间的某个端口,我已经将AD的RPC动态端口改为了50000-60000,并且也在防
火墙开启了这段端口,为什么还在使用这个 端口?后来我又在防火墙中开启了
49152-65536这段端口范围(但是我并没有将RPC动态端口范围改回默认的
49152-65536),客户端可以 加域并成功登陆到域。
问题如下:
1. 在上面表中的端口,我是不是还有需要开通的?如需要开放137/UDP端口
吗?
2. 是不是因为我没有更改客户端的RPC动态端口范围,所以客户端始终会去
连接服务器端的49152-50000之间的某个端口?我还需要更改客户端的
RPC动态端口也为50000~60000/TCP吗?这个端口是由服务器端分配给客
户端吗?
o
曾看到过一篇关于RPC动态端口的文章,在需要使用RPC动态端口
通信的时候,客户端先连接服务器的135/TCP端口,然后服务器会
随机分配给客户端一个PRC动态端口,我的理解有问题吗?
3. 关于后来在防火墙开启49152-65536这段端口范围(但是我并没有将RPC
动态端口范围改回默认的49152-65536),客户端可以加域并成功登陆到
域该作何解释?
4. 还有win XP默认使用1025-5000之间的RPC动态端口范围 ,我是只需要
在防火墙开启这段端口范围就可以吗?在服务器端的RPC动态端口范围
还需不需要改?比如改为1025-65536?这个好像不现实,开的太多了
回答:第一个问题:
默认情况下,需要开通的AD和ADDS的端口
可以参考以下这篇文章
/en-us/library/dd772723(v=ws.10).aspx
其中NetBIOS需要用到的name service主要依靠137/UDP端口而137/TCP端口
使用的情况较少。
您可以参考以下这篇文章关于NetBIOS的文章:
/wiki/NetBIOS
第二个问题:
客户端首先会和服务器端建立一个服务请求(通过135 Mapping端口),然后服
务器端会分配一个高端口(49152-65536)给客户端,客户端再用高端口去服务
端请求相关的服务。因此动态端口不是由 客户端生成的,而是由服务器分配的。
您对于这个过程的理解没有问题。
第三个问题:
据您的描述来看,有可能是端口限制的配置没有生效,请您尝试用以下命令在服
务器端设置动态端口:
netsh int ipv4 set dynamicport tcp start=50000 num=10000
版权声明:本文标题:修改windows ad端口后无法加入域 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1710416070a264438.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论