Networking
客戶端登錄時需要在域控制器上訪問哪些埠?
我們目前正在分割我們的網路。我們將把伺服器移動到客戶端以外的另一個子網中。當然,客戶端仍然需要訪問域控制器才能對其進行身份驗證。
我發現了各種關於需要在域控制器之間訪問以允許複製的埠的文章,但沒有關於對客戶端重要的埠的文章。例如,我很確定客戶端不會直接訪問 LDAP 數據庫,並且我想盡可能地減少攻擊面。
那麼客戶端需要哪些埠才能與域控制器一起工作?
tcp/53 DNS tcp/88 Kerberos tcp/135 RPC tcp/445 sysvol share tcp/389 LDAP tcp/464 Kerberos password (Max/Unix clients) tcp/636 LDAP SSL (if the domain controllers have/need/use certificates) tcp/1688 KMS (if KMS is used. Not necessarily AD, but the SRV record is in AD and clients need to communicate with the KMS). tcp/3268 LDAP GC tcp/3269 LDAP GC SSL (if the domain controllers have/need/use certificates) tcp/49152 through 65535 (Windows Vista/2008 and higher) aka “high ports” udp/53 DNS udp/88 Kerberos udp/123 time udp/135 RPC udp/389 LDAP udp/445 sysvol share
您可以通過為 Active Directory 配置靜態 RPC 埠來最小化高埠範圍。
將 Active Directory RPC 流量限製到特定埠
https://support.microsoft.com/en-us/kb/224196
強制 Kerberos 僅使用 tcp/ip 通常是一個好主意,特別是如果您有一個大型、複雜的網路,或者帳戶是大量組/大型令牌的成員。
如何強制 Kerberos 在 Windows 中使用 TCP 而不是 UDP