背景描述在企业网络信息化建设中,经常会使用AD域(Active Directory Domain)来统一管理网络中的PC终端。在AD域中,DC(域控制器)包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。在今年的大型攻防实战演练中,我们发现使用AD域进行内部网络管理的单位,攻击方和防守方争夺的核心焦点往往聚焦在DC上:对攻击方来说,获得了DC的控制权限即可宣告攻击成功
活动目录 域控制器端口。域成员与域控之间通讯需要开放什么端口,除了LDAP389、139、445、DNS21,还有其他吗?
回答:根据您的描述,我对这个问题的理解是:DC和域成员之间通信所需要打开的端口。以下是需要打开的端口的列表,客户端指的是域成员.
客户端端口 服务器端口 服务
1024-65535/TCP 135/TCP RPC *
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
原创
2011-08-26 09:45:14
2978阅读
命令:netaccounts计算机角色:Primary为第一台域控制器Backup为额外域控器
原创
2019-09-20 21:54:19
1435阅读
活动目录域服务的卸载是将DC降级为独立服务器或成员服务器的过程。
在删除活动目录之前,为了防止操作失败操作系统故障,须对系统进行备份。同时,我们还必须对待删除的域控制器进行如下检查
1、是否有操作主控;
netdom query fsmo或通过在图形进行查看(具体方法参见Windows Server 2008 R2之五操作主控的管理)
2、是否为全局编录服务器,域
原创
2011-12-15 15:16:08
6170阅读
点赞
1评论
AD域控制器迁移方法1:新DC安装系统,配置IP DNS指向老DC (新DC可以加入现有域,也可以不加)。2:提升新DC为辅助域控制器后重启。3:重启完成后,安装DNS服务.然后等老DC的DNS信息自动
原创
2013-12-11 22:24:08
10000+阅读
主域控制器与辅域控制器通讯端口。我公司现有两台域控制器,一台为主域控制器另一台为辅域控制器,并且辅域控制器上安装了EXCHANGE 2003,现在想把辅域控制器放在防火墙的DMZ区,而主域控制器放在内网,要想主域控制器和辅域控制器能够正常通讯,在防火墙上需要开放哪些端口,才能保证主域控制器与辅域控制器正常通讯。
回答:强烈建议不要这么做。这样容易导致DC的复制失败,Exchange 服务运行失败。虽然从理论上来说可以做到,但是,要把RPC端口限制的某一个固定的端口范围,这容易导致RPC通讯失败。关于在防火墙上配置RPC 通讯,请参考以下文章:
Configuring an Intranet Firewall
原创
2011-08-26 09:46:53
2197阅读
AD active Direcotry域控制器是指在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。将多台网络中的计算机逻辑上组织到一起,对这些计算机进行集中式管理,这些多台计算机组成的逻辑环境叫作域环境。与传统的工作组环境相比,工作组环境属于分散式管理,只适合少数计算机的管理。随
AD域控制器安装使用一、在服务器上安装域控制器二、将此服务器提升为域控制器三、将主机加入到我们创建的域中-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
原创
2019-07-05 09:36:25
1004阅读
端口 协议 应用程序协议 系统服务名称
n/a GRE GRE(IP 协议 47) 路由和远程访问
n/a ESP IPSec ESP(IP 协议 50) 路由和远程访问
n/a AH IPSec AH(IP 协议 51) 路由和远程访问
7 TCP Echo 简单 TCP/IP 服务
7 UDP Echo 简单 TCP/IP 服务
9 TCP Discard 简单 TCP
原创
2009-04-08 10:15:00
1492阅读
我们一般把活动目录的备份和恢复分成两种情况:
1、 整个网络中有且仅有一台域控制器;
首先,本人并不成赞成网络中存在这种情况,也就是说网络中最好是存在两台或两台以上的域控制器,当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟,一般是能用就行,至于坏了怎么办?那当然是网络管理员来想办法解决了,难道白给你工资啊?所以有些网络中的确
转载
2009-09-09 17:15:46
823阅读
1评论
    1.         完成windows server backup功能角色安装如图1-1, 图1-1 完成windows server backup安装 2.         配置一次性备份,在指定
原创
2012-11-24 00:26:22
1374阅读
本例来搭建辅助域控制器IP 设置,首选 DNS 指向第一台域控,备用填写自己的 IP 机器名此处新建一个用户和安全组,针对安全组来设置权限,在之后的操作中都使用该用来来操作新建用户添加成员添加相应角色安装过程和第一台一样,此步骤略安装完成后,单击 关闭将此服务器提升为域控制器按照下图选择填写刚才新建具有权限的用户,不使用默认的administrator选择域,确定完成域确认后,下一步保持
原创
2016-09-10 13:04:22
6313阅读
父子域之间的防火墙需要开启的通信端口:
服务名称
UDP
TCP
原创
2011-11-10 21:03:47
875阅读
端口 协议 应用程序协议 系统服务名称 n/a GRE GRE(IP 协议 47) 路由和远程访问 n/a ESP IPSec ESP(IP 协议 50) 路由和远程访问 n/a AH IPSec AH(IP 协议 51) 路由和远程访问 7 TCP Echo 简单 TCP/IP 服务 7 UDP Echo 简单 TCP/IP 服务 9 TCP Discard 简单 TCP/IP 服务 9 UDP
转载
精选
2016-06-13 17:22:18
3407阅读
配制Windows 2003 Server Active Directory额外域控制器
配制Windows 2003 Server Active Directory 复制伙伴环境:域: pjj.com DC:PjjA (IP:192.168.9.101)Member Server:PjjB (IP:192.168.9.102)
原创
2008-09-03 14:38:30
2055阅读
点赞
3评论
1、整个网络中有且仅有一台域控制器;
首先,本人并不成赞成网络中存在这种情况,也就是说网络中最好是存在两台或两台以上的域控制器,当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟,一般是能用就行,至于坏了怎么办?那当然是网络管理员来想办法解决了,难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象,那么对于这种情况,备份是必不可少的了,而且建议备份到
转载
精选
2010-03-09 12:34:56
748阅读
C:\Users\DomainAdmin>dsmod user zhang.san /?描述: 修改目录中现有的用户。语法: dsmod user <UserDN ...> [-upn <UPN>] [-fn <FirstName>] &nb
原创
2015-11-23 09:38:38
6427阅读
我目前有三个站点,需要进行保障AD站点间的同步与通讯,请问在这种情况下,需要开放域控上的哪些端口出来?
1:三个站点的域控可以正常互访(包括复制等)
2:平时每个站点的客户端可以访问到各自站点的域控,但当本站点域控故障时要可以访问到其他两个站点的域控。
3:三个站点都有文件服务器,我采用了win2008的dfs 同步复制,那么这三台文件服务器上需要打开什么端口?
4:exchange 2007邮件服务器在sh站点,目前访问上海的域控正常。bj和sz没有部署邮件服务器,将来他们使用上海的邮件系统。这时候要开在分站点的域控开设什么端口?
原创
2011-08-26 09:41:23
1354阅读
AD域控制器所有使用的端口明细列表:lol端口 协议 应用程序协议 系统服务名称 n/a GRE GRE(IP 协议 47) 路由和远程访问 n/a ESP IPSec ESP(IP 协议 50) 路由和远程访问 n/a AH IPSec AH(IP 协议 51) 路由和远程访问 7 TCP Echo 简单 TCP/IP 服务 7 UDP Echo
原创
2017-12-25 22:12:56
4980阅读