仅需要在 Windows 客户端和域控制器之间打开的最小端口数

Question

我只想知道，如果我在 Windows 客户端（XP 或 7）和域控制器（Window Server 2008 R2）之间放置防火墙，需要打开哪个端口

请注意它是在客户端和 DC 之间，而不是在 DC 到 DC 之间

我在谷歌上搜索过，但在谷歌中，我得到的答案是在客户端之间以及从 DC 到 DC。

根据我的发现，我需要打开。

1. 用于 Kerberos 身份验证的 TCP 和 UDP 端口 88
2. LDAP 的 TCP 和 UDP 389
3. SMB/CIFS/SMB2 的 TCP 和 UDP 445
4. 用于 Kerberos 密码更改的 TCP 和 UDP 端口 464
5. 全局编录的 TCP 端口 3268 和 3269
6. 用于 DNS 的 TCP 和 UDP 端口 53
7. TCP 和 UDP 动态 - 1025 到 5000 (Windows Server 2003) & 从 49152 开始到 65535 (Windows Server 2008) 用于 DCOM、RPC、EPM

如果我遗漏了什么，请告诉我。

注意：- 仅在客户端和 DC 之间。

Answer 1

以下是 Microsoft 提供的一些链接，显示您所请求的数据。请注意，2003 和 2008 的动态范围已更改，因此如果您有混合环境，您可能需要打开这两个范围或将其设为静态。

1. http://support.microsoft.com/kb/179442
2. http://support.microsoft.com/kb/224196将允许您限制动态范围以帮助进行防火墙配置。

要查看客户端的动态范围，您可以使用以下命令，有关此内容的更多信息可以在 kb929851 中找到（该网站不允许我发布第三个链接，因此我必须缩短它）

• netsh int ipv4 显示动态端口 tcp
• netsh int ipv4 显示动态端口 udp
• netsh int ipv6 显示动态端口 tcp
• netsh int ipv6 显示动态端口 udp