2023年6月24日发(作者：)

Windows 2008 主域控与辅助域控通讯端口

现在有个客户的需求是要在外地部署辅助域控，并且对安全要求极高，因此需要知道辅助域控正常工作需要开启哪些端口？谢谢！最好可以有微软官方的说明文档

回答：根据您的描述，我对这个问题的理解是: 您想了解Windows Server 2008主域控与辅助域控之间需要开启哪些端口。因为客户需要在外地部署辅助域控且对安全要求很高。

由于域控的服务较多，需要的端口也比较多，我列出我们所需要的端口供您参考。同时我们确实也有官方文档具体讲述这些内容，我在回复最后提供了文章链接给您，供您参考：

1. 复制：下表列出了 Active Directory 和 AD DS 复制的端口分配。

端口 通信类型

TCP LDAP

和

UDP

389

TCP LDAP SSL

636

TCP GC

3268

TCP Kerberos

和

UDP

88

TCP DNS

和

UDP

53

TCP SMB over IP

和

UDP

445 TCP SMTP

25

TCP RPC、ECM

135

备注

动态

SYSVOL 的复制要求在动态 RPC 端口上进行文件复制服务 (FRS) 或分布式文件系统 (DFS) 复制。如果您想将 FRS 或 DFS 复制配置为使用特殊端口，请参阅

Microsoft 知识库中的文章 832017

(/fwlink/?LinkID=22498)（可能为英文网页）。

2. 信任

客户端端口 服务器端口

TCP 动态 TCP 135、49152–65535

通信类型

RPC、EPM

TCP 和 TCP 和 UDP 389 LDAP

UDP 动态

TCP 动态 TCP 636

TCP 动态 TCP 3268

TCP 动态 TCP 3269

TCP 和 TCP 和 UDP 53

UDP 53 动态

TCP 和 TCP 和 UDP 88

UDP 动态

TCP 和 TCP-NP 和

UDP 动态 UDP-NP 445

TCP 动态 UDP 138

LDAP SSL

GC

GC SSL

DNS

Kerberos

安全帐户管理器

(SAM)、LSA

NetBIOS 数据报服务

3. 全局编录

端口

TCP 3268

TCP 3269

通信类型

GC

GC SSL

4. DNS: 下表列出了域名系统 (DNS) 的端口要求。

端口 通信类型 TCP 和 UDP 53 DNS

5. DHCP: 下表列出了动态主机配置协议 (DHCP) 的端口要求。

端口

UDP 67

UDP 2535

通信类型

DHCP

MADCAP

6. 用户和计算机身份验证

端口 通信类型

TCP SMB/CIFS/SMB2

和

UDP

445

TCP Kerberos

和

UDP

88

UDP LDAP

389

TCP DNS

和

UDP

53

TCP RPC

动备注

态

有关如何将 RPC 通信限制于特定端口的信息，请参阅

Microsoft 知识库中的文章 224196

(/fwlink/?LinkID=133489)（可能为英文网页）。

7. 组策略: 下表列出了组策略的端口要求。除了下表中的端口之外，客户端计算机还必须能够通过 Internet 控制消息协议 (ICMP) 联系域控制器。ICMP 用于慢速链接检测。

端口

TCP 和 UDP 动态

TCP 389

TCP 445

通信类型

DCOM、RPC、EPM

LDAP

SMB 具体的信息，我们可以参考如下文章：

Active Directory 和 Active Directory 域服务端口要求

/zh-cn/library/dd772723(WS.10).aspx

如何为域控制器配置 Windows Server2003 防火墙

/kb/555381/zh-cn

Windows 服务器系统的服务概述和网络端口要求

/kb/832017/zh-cn

徐颖彧 微软全球技术支持中心

Windows 2008 主域控与辅助域控通讯端口的相关文章请参考

域控制器端口

域客户端登录用到的端口

域客户端远程管理端口

无法远程管理域客户端

主域控制器与辅域控制器通讯端口

Windows 2008 主域控与辅助域控通讯端口

分支域控制器同步端口

活动目录是可以跨网段的

—gnaw0725