最近永恒之蓝病毒比较火,尽管是很久以前就发布补丁了但是依旧影响了大量的校园及教育网等设备,为了防止小沟沟里翻船还是趁早打上补丁的好“ms17-010”
又顺手关了几个端口。关闭之后发现AD域的'用户和计算机'提示:“RPC服务不可用”,经过一番百度之后发现是445端口关闭导致的。
so...
1.用户登录与验证身份时会用到的连接端口
Microsoft-DS traffic : 445/TCP 445/UDP
Kerberos : 88/TCP 88/UDP
LDAP ping : 389/UDP
DNS : 53/TCP 53/UDP
2.计算机登录与验证身份时会用到的连接端口
Microsoft-DS traffic : 445/TCP 445/UDP
Kerberos : 88/TCP 88/UDP
LDAP ping : 389/UDP
DNS : 53/TCP 53/UDP
3.建立域信任时会用到的连接端口
位于不同林的域在建立“显性信任(explict trust)”关系时,会用到以下的服务。
Microsoft-DS traffic : 445/TCP 445/UDP
Kerberos : 88/TCP 88/UDP
LDAP : 389/TCPAK 636/TCP(如果使用SSL)
LDAP ping : 389/UDP
DNS : 53/TCP 53/UDP
4.验证域信任时会用到的连接端口
两个域内的域控制器在验证信任关系时会用到以下的服务。
Microsoft-DS traffic : 445/TCP 445/UDP
Kerberos : 88/TCP 88/UDP
LDAP : 389/TCPAK 636/TCP(如果使用SSL)
LDAP ping : 389/UDP
DNS : 53/TCP 53/UDP
Net Logon service无法被锁定在固定的一个RPC连接端口,也就是它是使用动态的RPC连接端口,此时我们如何开放连接端口呢?还好动态的RPC连接端口可以被限制在一个范围内,因此我们只在防火墙上开放这些范围内的RPC连接端口即可。
RPC endpoint mapper : 135/TCP 135/UDP 使用动态RPC连接端口时,需要搭配RPC endpoint mapper服务,因此请在防火墙上开放此服务的连接端口。
5.访问文件资源时会用到的连接端口
SMB over IP : 445/TCP 445/UDP
6.执行DNS查询会用到的连接端口
DNS : 53/TCP 53/UDP
7.执行Active Directory复制会用到的连接端口
两台域控制器之间在进行Active Directory复制工作时会用到以下服务。
Active Directory 复制 : 它是使用动态的RPC连接端口,如果动态的RPC连接端口被限制在一段范围内,我们则只需要在防火墙上开放这段范围的RPC连接端口即可(参见本节中“限制动态RPC连接端口的范围”的内容)。不过您也可以自行指定一个固定的连接端口。
