Active Directory 端口列表
一、什么是 Active Directory 端口?
Active Directory(AD,活动目录)端口是特定的网络通信端点,用于支持不同服务间的交互,保障整个AD基础架构正常运行。这些端口适用于多种关键任务,例如域控制器之间的数据复制、用户与计算机的身份验证等。例如,389端口支持轻型目录访问协议(LDAP)与AD的通信,135端口实现客户端与域控制器的交互。若这些端口未开放,网络及其服务将无法正常运作,因此正确配置这些端口对于任何基于Windows的企业环境的可靠运行、安全防护及故障排查至关重要。
二、Active Directory 通信所需端口
以下是防火墙必须开放的核心端口,以确保客户端设备、域控制器及相关服务间的正常通信。部分端口会根据服务需求同时使用传输控制协议(TCP)和用户数据报协议(UDP)。
三、Active Directory 身份验证端口
这些端口是域内用户登录、密码修改及身份验证的必需端口。
| 端口 | 协议 | 端口用途 |
|---|---|---|
| 88 | TCP/UDP | Kerberos 身份验证:处理Kerberos票据交换,为AD域内的用户和计算机提供安全的双向身份验证。 |
| 389 | TCP/UDP | LDAP:支持通过轻型目录访问协议(LDAP)进行目录服务查询和更新,无加密。 |
| 636 | TCP | 基于SSL的LDAP(LDAPS):提供加密的LDAP通信,提升目录查询和更新的安全性。 |
| 464 | TCP/UDP | Kerberos 密码修改:在Kerberos身份验证框架内,保障用户或计算机密码修改过程中的数据交换安全。 |
| 3268 | TCP | 全局编录(GC):支持林范围内的快速搜索,帮助客户端快速查找多个域中的对象。 |
| 3269 | TCP | 基于SSL的全局编录:3268端口的安全(加密)版本,用于林范围内受保护的目录搜索。 |
| 123 | UDP | W32Time:Windows时间服务使用此端口同步域内计算机的时钟,对Kerberos身份验证的准确性至关重要。 |
四、Active Directory 复制端口
这些端口是AD域控制器同步数据、保障全网目录信息一致性的必需端口。
| 端口 | 协议 | 端口用途 |
|---|---|---|
| 135 | TCP | RPC端点映射器:作为远程过程调用(RPC)服务的目录,将客户端引导至该服务对应的动态分配端口。 |
| 49152-65535 | TCP/UDP | RPC动态端口:为各类基于RPC的AD服务动态分配端口,保障通信的灵活性。 |
| 445 | TCP | SMB:通过服务器消息块(SMB)协议实现文件共享和域控制器复制,对AD数据同步至关重要。 |
| 389/636 | TCP/UDP | LDAP 或 LDAPS:用于部分复制操作,尤其是通过LDAP查询修改操作复制目录数据时。 |
| 3268/3269 | TCP | 全局编录或基于SSL的全局编录:当涉及全局编录服务器时,支持跨多个域或整个林的复制。 |
| 53 | TCP/UDP | DNS查询:帮助客户端和服务器在网络中定位域控制器及其他服务。 |
五、管理和目录服务端口
这些端口支持AD的管理、远程运维、功能扩展以及遗留系统或基于Web的访问。
| 端口 | 协议 | 端口用途 |
|---|---|---|
| 9389 | TCP | Active Directory Web Services(ADWS,活动目录Web服务):通过Web服务支持AD的远程管理和运维,包括PowerShell cmdlets命令操作。 |
| 80 | TCP | HTTP:用于与组策略、远程服务器管理及Active Directory联合身份验证服务(AD FS)相关的非加密Web流量。 |
| 443 | TCP | HTTPS:为基于Web的AD管理、联合身份验证服务及单点登录解决方案提供安全的加密通道。 |
| 49443 | TCP | AD FS:AD FS专用端口,用于组织内的安全联合身份验证和身份服务。 |
| 137-139 | UDP/TCP | NetBIOS服务:遗留端口,用于早期Windows网络和名称解析。现代环境通常用445端口上的SMB协议替代这些端口。 |
六、AD防火墙端口安全配置最佳实践
要确保AD的安全性和全功能运行,需重点正确配置防火墙端口,尤其是客户端与域控制器通信所需的端口。
- •明确需求:了解所需端口及其用途——身份验证、复制或管理。
- •限制访问:遵循最小权限原则,仅允许可信系统使用这些端口。
- •保护复制流量:限制高价值端口(如445端口和RPC动态端口范围49152-65535)的访问权限,仅开放给可信端点。
- •定期审查:定期审计防火墙规则,确保仅开放必要端口。
七、启用这些端口对AD环境的重要性
正确配置Active Directory端口对安全、可用的Windows网络基础架构至关重要。
(1)身份验证与安全
88端口(Kerberos)、389或636端口(LDAP或LDAPS)是AD环境中用户和设备身份验证的核心。Kerberos通过为用户和计算机颁发票据提供安全的双向身份验证,而LDAP支持安全的目录查询和更新。
(2)复制
AD域控制器严重依赖RPC动态端口范围和445端口上的SMB协议在服务器间复制数据。此复制过程确保所有站点和分支机构的用户账户、组成员身份、安全设置及其他目录对象保持一致和最新。
(3)名称解析
53端口用于域名系统(DNS),而DNS是AD中几乎所有操作的基础。域控制器、客户端系统及众多网络服务均通过DNS将服务器和服务名称解析为对应的IP地址。
(4)管理与联合身份验证
现代管理工具和联合身份验证功能依赖9389端口(ADWS)、80或443端口(HTTP或HTTPS)及49443端口(AD FS)。这些端口支持IT管理员远程管理AD、通过脚本自动化任务,以及与其他组织或云服务实现单点登录。
八、ADManager Plus 如何助力 Active Directory 管理
ADManager Plus 是一款身份治理与运维解决方案,具备全面的AD域管理及报表功能,可通过单一友好的控制台简化复杂的运维任务:
- 通过无脚本的集中控制台管理用户、联系人、组、许可证及其他AD对象。
- 自动化用户配置和注销流程,跨多个平台协调任务,减少人为错误。
- 通过200多种预制报表实时监控IT环境。
- 将AD和Microsoft Entra ID属性委派给技术人员,使其能够执行密码重置、组创建、组织单元(OU)管理等任务。
- 通过智能工作流简化任务执行,确保委派活动可被监控。
- 通过AD、Microsoft Entra ID和Google Workspace的备份与恢复保障业务连续性。
常见问题(FAQs)
- 1. Active Directory 使用389端口的TCP还是UDP协议?
389端口由AD中的LDAP使用,支持TCP和UDP两种协议,但TCP更常用于标准目录查询和通信。UDP协议在389端口通常用于简单查询或诊断等有限场景。
- 2. 什么是 Active Directory 防火墙端口?
AD防火墙端口指必须在域控制器、客户端及相关服务之间的防火墙上开放的特定网络端口,以确保AD的正常、安全通信和功能运行。最关键的端口包括53端口(TCP/UDP,用于DNS)、88端口(TCP/UDP,用于Kerberos身份验证)和389端口(TCP/UDP,用于LDAP)。其他重要端口包括445 TCP端口(用于SMB)以及一系列用于基于RPC的服务(如复制)的动态端口。
- 3. 哪些 Active Directory 防火墙端口用于客户端与域控制器的通信?
客户端与域控制器通信需开放多个防火墙端口。最核心的包括53端口(TCP/UDP,用于DNS名称解析)、88端口(TCP/UDP,用于Kerberos身份验证)和389端口(TCP/UDP,用于LDAP)。其他关键端口包括445 TCP端口(用于SMB,支持文件共享和组策略更新)和135 TCP端口(用于RPC端点映射器,帮助客户端定位各类服务)。此外,基于RPC的服务使用一系列动态端口(通常为49152-65535的高端口范围),这些端口也必须允许访问。
- 4. RPC动态端口范围(49152-65535)是否必须全部开放?
无需全部开放,可根据实际AD服务需求限制端口范围,但需确保覆盖基于RPC的关键服务(如域控制器复制)所需端口。建议结合防火墙策略仅允许可信客户端和域控制器之间的通信,同时定期审计端口使用情况,避免开放不必要的端口增加安全风险。
