一、什么是 Active Directory 端口?
Active Directory(AD,活动目录)端口是特定的网络通信端点,用于支持不同服务间的交互,保障整个AD基础架构正常运行。这些端口适用于多种关键任务,例如域控制器之间的数据复制、用户与计算机的身份验证等。例如,389端口支持轻型目录访问协议(LDAP)与AD的通信,135端口实现客户端与域控制器的交互。若这些端口未开放,网络及其服务将无法正常运作,因此正确配置这些端口对于任何基于Windows的企业环境的可靠运行、安全防护及故障排查至关重要。
二、Active Directory 通信所需端口
以下是防火墙必须开放的核心端口,以确保客户端设备、域控制器及相关服务间的正常通信。部分端口会根据服务需求同时使用传输控制协议(TCP)和用户数据报协议(UDP)。
三、Active Directory 身份验证端口
这些端口是域内用户登录、密码修改及身份验证的必需端口。
四、Active Directory 复制端口
这些端口是AD域控制器同步数据、保障全网目录信息一致性的必需端口。
五、管理和目录服务端口
这些端口支持AD的管理、远程运维、功能扩展以及遗留系统或基于Web的访问。
六、AD防火墙端口安全配置最佳实践
要确保AD的安全性和全功能运行,需重点正确配置防火墙端口,尤其是客户端与域控制器通信所需的端口。
•明确需求:了解所需端口及其用途——身份验证、复制或管理。
•限制访问:遵循最小权限原则,仅允许可信系统使用这些端口。
•保护复制流量:限制高价值端口(如445端口和RPC动态端口范围49152-65535)的访问权限,仅开放给可信端点。
•定期审查:定期审计防火墙规则,确保仅开放必要端口。
七、启用这些端口对AD环境的重要性
正确配置Active Directory端口对安全、可用的Windows网络基础架构至关重要。
(1)身份验证与安全
88端口(Kerberos)、389或636端口(LDAP或LDAPS)是AD环境中用户和设备身份验证的核心。Kerberos通过为用户和计算机颁发票据提供安全的双向身份验证,而LDAP支持安全的目录查询和更新。
(2)复制
AD域控制器严重依赖RPC动态端口范围和445端口上的SMB协议在服务器间复制数据。此复制过程确保所有站点和分支机构的用户账户、组成员身份、安全设置及其他目录对象保持一致和最新。
(3)名称解析
53端口用于域名系统(DNS),而DNS是AD中几乎所有操作的基础。域控制器、客户端系统及众多网络服务均通过DNS将服务器和服务名称解析为对应的IP地址。
(4)管理与联合身份验证
现代管理工具和联合身份验证功能依赖9389端口(ADWS)、80或443端口(HTTP或HTTPS)及49443端口(AD FS)。这些端口支持IT管理员远程管理AD、通过脚本自动化任务,以及与其他组织或云服务实现单点登录。
八、ADManager Plus 如何助力 Active Directory 管理
ADManager Plus 是一款身份治理与运维解决方案,具备全面的AD域管理及报表功能,可通过单一友好的控制台简化复杂的运维任务:
- 通过无脚本的集中控制台管理用户、联系人、组、许可证及其他AD对象。
- 自动化用户配置和注销流程,跨多个平台协调任务,减少人为错误。
- 通过200多种预制报表实时监控IT环境。将AD和Microsoft Entra ID属性委派给技术人员,使其能够执行密码重置、组创建、组织单元(OU)管理等任务。
- 通过智能工作流简化任务执行,确保委派活动可被监控。通过AD、Microsoft Entra ID和Google Workspace的备份与恢复保障业务连续性。
