DC的网络连接端口与防火墙设置[为企业部署Windows Server 2008系列十]

本文涉及的产品
云防火墙,500元 1000GB
简介:
在前面9篇文章中跟大家分享了2008上dc的搭建以及core模式下的一些应用,当我们为企业部署好基础架构服务后为了安全起见都会启动windows server 2008自带的windows 防火墙,并且很多企业还会单独部署一些安全解决产品(如ISA)。那么,要很好的完成这些产品的部署,我们就要了解活动目录的服务以及DC上的网络连接端口,以便大家在部署防火墙产品的时候开放必要的端口来让我们的企业合法用户及时连接服务。
DC的网络连接端口:在这里我解释为DC上为域用户和成员计算机提供的与域相关的应用服务所开放的端口号。
下面我们来具体看看会提供哪些服务并开放哪些端口:
首先,在DC上打开DNS服务管理工具,展开正向查找区域的域名wgs.com(这里以wgs.com域为例),里面有_tcp和_udp这两项SRV资源记录,而通过查看SRV资源记录就可以看到DC上提供活动目录相关服务所开放的连接端口:
a . 选择_tcp,查看DC上活动目录相关服务所开放的TCP端口
2
b. 大家可以看到有_ldap(端口为tcp的389)、_kpasswd(端口为tcp的464) 、_kerberos(端口为tcp的88)、_gc(端口为tcp的3268)
1
c. 选择_tcp,查看DC上活动目录相关服务开放的UDP端口
3
d. 大家可以看到有_kerberos(端口为UDP的88) _kpasswd(端口为UDP的464)
4
小结:以上看到的端口都是需要开放的,各自有不同的作用,并相互配合完成域环境中的各种业务交付:
_ldap(TCP[389])是活动目录复制服务的端口:允许客户机在指定域中找到ldap服务器
_gc(TCP[3268])是全局编录查询的时候所要使用的服务端口:允许客户机找到使用活动目录根域的全局目录服务器
_kerberos(TCP[88])票据管理服务的端口:允许客户机找到对本域的kerberosKDC服务
_kpasswd(TCP[464])密码更改相关服务端口:允许客户机找到域中的kerberos改变密码服
----------------------------------------------------------------------------------------
_kerberos(UDP[88])票据管理服务的端口:允许客户机找到对本域的kerberosKDC服务
_kpasswd(UDP[464])密码更改相关服务端口:允许客户机找到域中的kerberos改变密码服务
接下来,我们来用一台加入域的成员计算机使用 'Active Directory 用户和计算机'工具连接DC上的活动目录服务,并且观察一下连接端口:
6
5
通过上面两副截图大家可以看到当192.168.99.11(成员计算机)使用 'Active Directory 用户和计算机'工具连接DC上的活动目录服务时,在192.168.99.2(DC)上运行netstat 命令查看到DC的389端口被成员计算机连接使用。
ok,结合上面大家了解到的端口,现在我们就可以在跨地域的网络中通过发布活动目录相关服务端口的方式让互联网中的用户来连接到DC了(加入域/登录域,并享受域环境中的资源)。
下面,我们看看如何设置windows 防火墙来满足上面的企业应用需求(让互联网中的用户来连接到DC)。
7
8
如上面两副图片所示,您的防火墙必须例外设置 Active Directory 域服务[389][3268] Kerberos密钥分发中心[88][464] 文件复制[389] 文件和打印机共享[445][139]
在了解到上面的这些必须添加到例外的服务之后,我们再遇到活动目录服务不可用的提示时就可以根据这些服务的默认端口来判断问题所在,并采取相应措施了。
PS:如果您的服务器放至在内网,您要通过端口映射来实现外网用户对此服务器的访问,现在您也可以更具本文中谈及的端口来做映射了。





本文转自 angerfire 51CTO博客,原文链接:http://blog.51cto.com/angerfire/200130,如需转载请自行联系原作者
目录
相关文章
|
1月前
|
负载均衡 网络协议 算法
不为人知的网络编程(十九):能Ping通,TCP就一定能连接和通信吗?
这网络层就像搭积木一样,上层协议都是基于下层协议搭出来的。不管是ping(用了ICMP协议)还是tcp本质上都是基于网络层IP协议的数据包,而到了物理层,都是二进制01串,都走网卡发出去了。 如果网络环境没发生变化,目的地又一样,那按道理说他们走的网络路径应该是一样的,什么情况下会不同呢? 我们就从路由这个话题聊起吧。
71 4
不为人知的网络编程(十九):能Ping通,TCP就一定能连接和通信吗?
|
16天前
|
缓存 负载均衡 安全
Swift中的网络代理设置与数据传输
Swift中的网络代理设置与数据传输
|
1月前
|
Ubuntu 网络协议 Linux
快速部署WSL(Windows Subsystem for Linux)
WSL提供了一种轻量级的方法,使开发者能够在Windows上无缝运行Linux环境。通过本文介绍的步骤,可以快速安装、配置和使用WSL,以满足开发和测试的需求。
121 8
|
22天前
|
传感器 算法
基于GA遗传优化的WSN网络最优节点部署算法matlab仿真
本项目基于遗传算法(GA)优化无线传感器网络(WSN)的节点部署,旨在通过最少的节点数量实现最大覆盖。使用MATLAB2022A进行仿真,展示了不同初始节点数量(15、25、40)下的优化结果。核心程序实现了最佳解获取、节点部署绘制及适应度变化曲线展示。遗传算法通过初始化、选择、交叉和变异步骤,逐步优化节点位置配置,最终达到最优覆盖率。
|
2月前
|
监控 安全 网络安全
Elasticsearch集群的网络设置
Elasticsearch集群的网络设置
69 3
|
2月前
|
网络协议 Linux
使用nmcli命令设置IP地址并排查网络故障
nmcli 是一个功能强大的网络管理工具,通过它可以轻松配置IP地址、网关和DNS,同时也能快速排查网络故障。通过正确使用nmcli命令,可以确保网络配置的准确性和稳定性,提高系统管理的效率。希望本文提供的详细步骤和示例能够帮助您更好地掌握nmcli的使用方法,并有效解决实际工作中的网络问题。
226 2
|
2月前
|
物联网 5G 数据中心
|
3月前
|
Docker 容器
docker swarm启动服务并连接到网络
【10月更文挑战第16天】
66 5
|
2月前
|
运维 负载均衡 安全
|
3月前
|
安全 网络架构
无线网络:连接未来的无形纽带
【10月更文挑战第13天】
93 4

热门文章

最新文章