客戶端登錄時需要在域控制器上訪問哪些埠？

我們目前正在分割我們的網路。我們將把伺服器移動到客戶端以外的另一個子網中。當然，客戶端仍然需要訪問域控制器才能對其進行身份驗證。

我發現了各種關於需要在域控制器之間訪問以允許複製的埠的文章，但沒有關於對客戶端重要的埠的文章。例如，我很確定客戶端不會直接訪問 LDAP 數據庫，並且我想盡可能地減少攻擊面。

那麼客戶端需要哪些埠才能與域控制器一起工作？

tcp/53 DNS  
tcp/88 Kerberos  
tcp/135 RPC  
tcp/445 sysvol share  
tcp/389 LDAP  
tcp/464 Kerberos password (Max/Unix clients)  
tcp/636 LDAP SSL  (if the domain controllers have/need/use certificates)   
tcp/1688 KMS (if KMS is used.  Not necessarily AD, but the SRV record is in AD and clients need to communicate with the KMS).  
tcp/3268 LDAP GC
tcp/3269 LDAP GC SSL (if the domain controllers have/need/use certificates)   
tcp/49152 through 65535 (Windows Vista/2008 and higher) aka “high ports”  

udp/53 DNS
udp/88 Kerberos
udp/123 time  
udp/135 RPC  
udp/389 LDAP  
udp/445 sysvol share  

您可以通過為 Active Directory 配置靜態 RPC 埠來最小化高埠範圍。

將 Active Directory RPC 流量限製到特定埠

https://support.microsoft.com/en-us/kb/224196

強制 Kerberos 僅使用 tcp/ip 通常是一個好主意，特別是如果您有一個大型、複雜的網路，或者帳戶是大量組/大型令牌的成員。

如何強制 Kerberos 在 Windows 中使用 TCP 而不是 UDP

https://support.microsoft.com/en-us/kb/244474

引用自：https://serverfault.com/questions/786289