lsn0LSN 2013-06-29
win2003域控与客户端之间的防火墙开放端口
(经项目验证最佳方法)
域控服务器通过防火墙的难点主要是RPC端口会动态改变,其端口变化范围为
1024-65535/tcp,如果在防火墙上把这些端口都开放显然是不合适的,可以通过修改注册表的方式限制AD端口和AD replication for the file replication service (FRS) 的端口号。在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\ 下新建一个TCP/IP Port,键值类型为 DWORD ,值为0000c000,对应的十进制值是49152 ,在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters \ 下新建一个RPC TCP/IP Port Assignment ,键值类型为 DWORD ,值为0000c001,对应的十进制值是49153。
操作流程:创建一个注册表文件,直接在域控服务器上安装、导入即可。导入后用regedit看一下是否修改成功,如果成功就重启域控。
重启后,可以在域控服务器上通过netstat -n看一下实际的活动端口,通过netstat -n > 1.txt,可以把输出结果存放到1.txt,然后找台客户机登陆一下,再通过netstat对比一下,看看实际域控开放的端口是否固定为49152和49153。如果没有问题,就可以在防火墙上配置策略了,针对这部分就开放49152和49153。