计算机加入域后,通过ADUC,选择计算机账户,右键管理,可以对客户端计算机进行管理.但是有些时候连过去会失败.有可能是防火墙,也有可能是服务.请问要开放什么端口,或启动那些服务呢?特别是指某些机器无法通过ADUC进行连接管理。通过ADUC连接远程管理计算机需要目标计算机开启哪些服务?哪些共享呢?

回答:根据您的描述,我对这个问题的理解是:

1.       通过ADUC对客户机进行管理,不稳定;
2.       您认为连接失败和防火墙或开启服务及端口有关;

第一:就我的经验ADUC对客户机进行管理,不稳定的原因很多, 我想知道您连接不上是有规律还是随机发生?
第二:当您发生连接不上时,是一台连接不上,还是所有的都有问题?
第三:当您发生连接失败时,需要保留错误信息截图
第四:根据您的描述,您的问题好像有时候是好的,但是考虑到防火墙的配置是不会变化的,因此我推断您的问题与防火墙没什么关系。可能是由其他原因导致的。

关于防火墙的配置可以参考:
http://technet.microsoft.com/en-us/library/cc738900(WS.10).aspx

ADUC连接管理客户机,是通过RPC服务进行通讯的。但是由于默认情况下RPC服务会随机选择一个1024以上的动态端口作为通讯,所以在配置防火墙策略来允许RPC通讯会有一些难度。我们可以通过修改注册表手动指定RPC使用哪一个范围的端口池,然后在防火墙上配置策略允许这一个端口池。这样子就可以允许这些客户端让DC正常进行远程管理。更多关于如何配置的信息,请参看下面这篇文章: 

如何配置与防火墙一起使用的 RPC 动态端口分配
http://support.microsoft.com/kb/154596/zh-cn

Charles Lu, MCSE/MCSA

远程管理活动目录计算机的服务或端口的相关文章请参考
无法管理活动目录域计算机
远程管理活动目录计算机的服务或端口
活动目录远程管理工具
win7如何管理活动目录

活动目录管理域分支机构规划指南
活动目录域管理
活动目录管理的四个复杂性
WindowsAD域活动目录管理
---gnaw0725