ADManager Plus 部署场景

• 启用SSL实现互联网安全通信
• 配置ADManager Plus在非军事区（DMZ）安全运行
• 开放特定防火墙端口以实现互联网访问
• 使用的协议与端口

为通过互联网的安全通信启用 SSL：

为提升安全性并实现ADManager Plus通过互联网的安全通信，您需要启用SSL。请按以下步骤在ADManager Plus上启用SSL：

• 通过提供正确的凭据登录"ADManager Plus管理员登录"界面：admin
• 点击"管理员"选项卡 ==> "连接"。
• 勾选"启用SSL端口[https]"
• 点击"保存"以存储设置并重启ADManager Plus。

此操作将启用 SSL，使 ADManager Plus 能够通过互联网进行安全通信。需应用有效的 SSL 证书才能启用 SSL。

配置 ADManager Plus 在非军事区（DMZ）安全运行

若需在DMZ（非军事区）部署ADManager Plus，需在防火墙中开放端口"389"（用于LDAP协议通信）和端口"135"（用于RPC通信），同时开放其他动态端口。

章节"查找所有动态端口"详细说明了识别需在防火墙中开放的动态端口的步骤。我们强烈建议您在DMZ服务器安装环境中以安全套接层（SSL）模式运行ADManager Plus应用程序。请参阅上述章节了解如何启用SSL。

为实现互联网访问而选择性开放防火墙端口：

(i) 当ADManager Plus安装在局域网内且URL可通过互联网访问时：

• 打开ADManager Plus运行的端口。默认端口为8080，该设置可配置。

(ii) 当ADManager Plus部署于DMZ时，需在防火墙开放下列端口：

• 端口"389"用于与LDAP协议通信。
• 端口"135"用于RPC通信。
• 查找其他需要在防火墙中打开的动态端口（）。这些端口将用于AD与ADManager Plus之间的通信。

 

使用的协议与端口

ADManager Plus通过Windows ADSI（Active Directory服务接口）与Active Directory交互，后者则使用LDAP协议（用于通过TCP/IP查询和修改目录服务）在端口 389上运行。

当前ADManager Plus通过常规LDAP连接与Active Directory通信。我们计划引入安全LDAP连接。

动态端口识别：

ADManager Plus使用多个动态端口。管理员需识别所有可用动态端口并在防火墙中开放。 开放动态防火墙端口可按以下步骤操作：

步骤 1：在域控制器上打开命令提示符。

步骤 2：在命令提示符中输入并执行以下命令。

portqry -n "<您的域控制器名称>" -e 135 -l resultPorts.txt

若RPC使用其他端口，请将命令中的135替换为实际运行端口号。

步骤 3：执行上述命令后，在命令执行目录中打开"resultPorts.txt"文件。

步骤 4：在"resultPorts.txt"中查找所有"_tcp"字符串（示例：ncacn_ip_tcp:100.190.1.2[1142]）

步骤5：方括号[ ]内的数值即需开放的端口，请记录这些端口。 （例如：上例中1142即为需开放的端口）

步骤 6：继续搜索直至文件末尾，并打开所有识别出的端口。