dav*_*idb 1 networking firewall active-directory port domain-controller
我们目前正在细分我们的网络。我们将在另一个子网中移动服务器而不是客户端。当然,客户端仍然需要访问域控制器以对其进行身份验证。
我找到了关于需要在域控制器之间访问以允许复制的端口的各种文章,但没有关于对客户端很重要的端口的文章。例如,我很确定客户端不会直接访问 LDAP 数据库,我想尽可能地减少攻击面。
那么客户端需要哪些端口才能与域控制器一起工作呢?
tcp/53 DNS
tcp/88 Kerberos
tcp/135 RPC
tcp/445 sysvol share
tcp/389 LDAP
tcp/464 Kerberos password (Max/Unix clients)
tcp/636 LDAP SSL (if the domain controllers have/need/use certificates)
tcp/1688 KMS (if KMS is used. Not necessarily AD, but the SRV record is in AD and clients need to communicate with the KMS).
tcp/3268 LDAP GC
tcp/3269 LDAP GC SSL (if the domain controllers have/need/use certificates)
tcp/49152 through 65535 (Windows Vista/2008 and higher) aka “high ports”
udp/53 DNS
udp/88 Kerberos
udp/123 time
udp/135 RPC
udp/389 LDAP
udp/445 sysvol share
您可以通过为 Active Directory 配置静态 RPC 端口来最小化高端口范围。
将 Active Directory RPC 流量限制到特定端口
https://support.microsoft.com/en-us/kb/224196
强制 Kerberos 仅使用 tcp/ip 通常是一个好主意,特别是如果您有一个大型复杂的网络,或者帐户是大量组/大令牌大小的成员。
如何强制 Kerberos 在 Windows 中使用 TCP 而不是 UDP
https://support.microsoft.com/en-us/kb/244474
| 归档时间: |
|
| 查看次数: |
11311 次 |
| 最近记录: |