在有网络安全策略的环境加域所需要启开的端口

最新推荐文章于 2024-11-11 11:20:31 发布
转载 最新推荐文章于 2024-11-11 11:20:31 发布 · 1.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/532213
文章标签:

#运维 #网络

本文记录了一次解决AD服务器加域过程中遇到的问题。客户要求AD服务器与应用服务器分开部署,并通过路由策略进行访问控制。在加域过程中出现了“终结点映射器中没有更多的终结点可用”的错误,经过排查发现还需开放TCP1026端口才能成功加域。

客户要求AD服务器和应用服务器分开部署,分别放置于不同的工作区域。2台服务器之间通过路由做访问策略。

经过查看微软白皮书,域需要开启如下端口:

DNS : 53/TCP,53/UDP
Kerberos : 88/TCP,88/UDP
Network Time Protocol(NTP) : 123/UDP
NetBIOS的相关服务 : 137/UDP,138/UDP,139/TCP
LDAP : 389/TCP,389/UDP
SMB over IP : 445/TCP,445/UDP
Global Catalog : 3268/TCP

接着,问题来了,加域过程能正常解析,但是在最终确认后出现如下报错:

“终结点映射器中没有更多的终结点可用”

 

 

第一次遇到过,google,baidu找了一个便,众说纷纭。没有任何正确答案!更有号称是微软的MVP直接推荐AD和需要加域的服务器之间不建议使用网络策略!真心想骂这种不负责的微软MVP

 

只能自己找环境测试。在AD上使用网络防火墙,开启上述的端口做测试,整个加域过程中出现如下端口不能访问的日志:(需要一个TCP1026 入站

开启相应端口,顺利加入到域

 

 

 

后期是否还需要进一步开一些端口,有待测试

 

目前开启的端口如下:

DNS : 53/TCP,53/UDP
Kerberos : 88/TCP,88/UDP
Network Time Protocol(NTP) : 123/UDP
NetBIOS的相关服务 : 137/UDP,138/UDP,139/TCP
LDAP : 389/TCP,389/UDP
SMB over IP : 445/TCP,445/UDP
Global Catalog : 3268/TCP
1026/TCP
135/TCP(后通过抓包,发现还有一个端口需要开启)
本文转自    yuxye   51CTO博客,原文链接:http://blog.51cto.com/fishvsfrog/910084
计算机入控用到的端口,AD控制器使用端口的说明
weixin_30499091的博客
07-27 9709
AD控需要开放的端口1.用户登录与验证身份时会用到的连接端口Microsoft-DS traffic : 445/TCP 445/UDPKerberos : 88/TCP 88/UDPLDAP ping : 389/UDPDNS : 53/TCP 53/UDP2.计算机登录与验证身份时会用到的连接端口Microsoft-DS traffic : 445/TCP 445/UDPKerberos :...
计算机入控用到的端口,【ADDC】控需要开放的端口
weixin_39638012的博客
07-27 3130
【ADDC】控需要开放的端口6年前 (2015-06-03) 作者:Jiaozn 分类:Windows 阅读次数:3486评论(0)在环境里面,如果两个DC之间启动防火墙,就会出现无法同步的现象。从服务器日志看到:文件复制服务有困难启用复制: 从 PDC 到 BDC 为 c:\windows\sysvol\domain 用 DNS 名称 pdc.xin***.com。FRS ...
客户端AD需要开放的端口
weixin_34297704的博客
08-20 3106
客户端AD需要开放的端口 转载于:https://blog.51cto.com/4964151/2161879
控制器防火墙需要开放的端口
迷逝
02-04 4010
一、实验环境: 主控制器、额外控制器都开启windows防火墙。 二、问题现状 此时两个DC 之间启动防火墙,就会出现无法同步的现象。从服务器日志看到: 文件复制服务有困难启用复制: 从PDC 到BDC 为 c:\windows\sysvol\domain 用DNS 名称pdc.xin***.com 。FRS 将继续重试。 以下是您看到此警告的一些原因。 1、FRS 不能从此计算...
启开副斜井辅助水仓临时密闭排放瓦斯措施.docx
10-01
在煤矿行业,安全问题一直是工作的重中之重,特别是瓦斯管理,因为瓦斯是煤矿中最常见的有害气体,浓度过高可能导致爆炸或窒息,对矿工的生命安全造成极大威胁。因此,启开副斜井辅助水仓临时密闭排放瓦斯的措施显得...
基于老年人生活光环境需求的智能灯光控制系统设计策略.pdf
09-07
起夜照明区具有人体感应功能和软启功能,微波红外感应器能让老人起夜时不需要开关控制灯光就能及时亮起,而软启开、关功能使灯光可渐渐亮起,渐渐熄灭,不但解决刺眼灯光影响老人再次入睡,而且保护了老人的眼睛,...
启开高绩效团队的秘密.pptx
10-13
团队成员需要理解冲突的价值,策略性地解决分歧,保持高度统一。 2. **团队精神与协作能力**:强调个人能力与积极团队精神的结合,通过案例分析和活动演练,使学员理解如何在团队中发挥最大的效能。 3. **领导者的...
团队建设——启开高绩效团队的秘密
12-28
在现代企业环境中,团队建设是实现高绩效的关键因素之一。"团队建设——启开高绩效团队的秘密"这一主题深入探讨了如何构建并优化团队,使其达到最佳效能。这份资料,以PPT的形式呈现,旨在为管理者提供实用工具和...
华为eNSP:RSTP
最新发布
nankon_的博客
11-11 1614
保护功能。
常见控开放端口及其作用
st3pby的博客
01-23 4446
TCP/UDP 3268(全局编录服务,Microsoft Global Catalog):全局编录服务是控制器上的特殊服务,存储了整个中所有对象的部分副本。TCP/UDP 636(安全套接字层LDAP,LDAPS):LDAPS是LDAP协议的密版本,使用SSL/TLS密通信。TCP 389(轻量级目录访问协议,LDAP):LDAP是用于访问和维护目录服务的协议。TCP/UDP 53(名系统,DNS):控制器使用DNS端口来提供名解析服务,将名映射到IP地址,以便客户端能够找到控制器。
Windows Server 2016-客户端端口汇总
WenZhongxiang
02-06 4759
简单对客户端端口做汇总操作,希望对大家有帮助。 之前有对服务端口做汇总,具体请参照:Windows Server 2016-Active Directory服务端口汇总:http://blog.51cto.com/wenzhongxiang/2088693 部分内容需单独测试,后续补充精细化内容,请周知。 协议 端口 端口类型 ...
windows server 2016 跨网段
soulman1234的专栏
07-12 8813
多台不同网段服务器web,db,应用,等要入统一控。 前置一些条件,跨网段需要开通端口,ad需要以下端口: 先建一个林,也就是控根节点。具体不详说了,比较普通。 重要事项:配置控前先安装DNS服务。如果没有,会比较麻烦。 配置控根服务器172.26.12.52: 新增ADMIN用户,入Domain Admins组: 在要控的服务器上,先ping下控服...
安全组策略配置(端口放行)
jianming21的博客
06-09 8490
原文链接 什么是阿里云安全组策略? 阿里云安全组是一种虚拟防火墙,也是阿里云处于安全考虑的一种策略,一台ECS云服务器实例必须至少属于一个安全组。我们知道服务器的各种服务要依赖端口来实现,我们可以将安全组想象成服务器各个端口的开关,默认创建购买的ECS云服务器,阿里云默认只开放了22号和2239号端口,所以配置安全组是新手必须要完成的作业。 安全组配置通俗的讲就是端口放行,即授权安全组规则可以允许...
Linux -- 防火墙 -- 端口策略与 Telnet 之间的关系
支棱起来
04-04 1166
开放端口的前提是打开防火墙。如果没有打开防火墙,没有必要开放端口。因为我们并不会收到什么限制 举例:应用的访问端口是 8080 在我们关闭防火墙的时候,无论什么时候我们都是可以正常访问的。但是如果我们开启了防火墙,那么我们必须开放 8080 端口,否则应用虽然在正常运行,但我们却无法通过网页正常访问 firewall-cmd --permanent --zone=public --add-port...
445端口不通经验总结
热门推荐
tech
04-12 3万+
445端口不通经验总结日期:2018年4月11日 445端口是使用共享文件夹的端口。近期遇到一个问题,客户必须使用共享文件夹服务,所以必须把445端口打开。这两天很多精力都耗费在这件事情上,现在总结经验如下。 445端口若不通,首先在本地连接属性中将“Microsoft网络客户端”和“Microsoft网络的文件和打印机共享”两项勾选上。  然后运行gpedit.msc,在“本地组策略编辑器”中选...
客户端无法入到的原因以及解决方案
04-27 3589
在公司内部基于管理模式,经常会遇到客户端无法入到。一般无法入到有以下几种情况:客户端计算机的网络有故障客户端计算机上的一些服务器被停用活动目录没有创建相应的帐号客户端计算机中病毒连接到控制器时很慢以上是比较常见的问题解决方案:检查计算机网卡是否正常,是否可以拼通控检查服务内DHCP Client、Tcp/IP Netbios Hel
windows10入AD,找不到网络路径。
weixin_34194702的博客
02-07 1347
这是一起对抗勒索病毒引发的事故。简单的说,win10,无论DC和PC是否在同一个网段,都必须保证445端口能正常通信。为什么这样强调,因为win7不需要,这可能是他们的SMB版本不一样导致。事情经过是这样的:当时为了抵抗勒索病毒,我在三层交换机上针对每个接口做了禁止访问445端口的ACL,因为是应急,所以没有做相关的日志说明,早就忘了这茬了,就是这时埋下的故障隐患。 上个月在做桌面云时,发现w...
AD要开放的端口
lionzl的专栏
10-22 6468
AD要开放的端口 1.用户登录与验证身份时会用到的连接端口 Microsoft-DS traffic : 445/TCP 445/UDP Kerberos : 88/TCP 88/UDP LDAP ping : 389/UDP DNS : 53/TCP 53/UDP 2.计算机登录与验证身份时会用到的连接端口 Microsof
华为ensp避免交换环路问题,需配置交换机的RSTP功能,网络拓扑收敛。要求核心交换机有较高优先级,SW1为根交换机,SW2为备用根交换机,SW1-SW3和SW1-SW4为主链路; (2) 技术部使用VLAN10,网络地址为10.0.1/24,PC1和PC2分别接入到SW3和SW4。 图1-1 网络拓扑图 2.项目规划设计 内部局网中SW1和SW2为核心交换机,其中将SW1配置为根交换机,SW2为备用根交换机;SW3和SW4作为接入交换机,其中SW1-SW3及SW1-SW4的链路由主链路,SW2-SW4及SW2-SW3的2条链路作为备用链路。故在STP配置中需将SW1的优先级设为最高,SW2的优先级为次高,即SW1的优先级为0,SW2的优先级为4096。将连接终端计算机的交换机端口配置为边缘端口,以网络的收敛。同时,技术部的计算机划分在VLAN10的网段内,且计算机连接在不同的交换机上,故交换机之间的链路需配置为Trunk模式。 具体配置步骤如下: (1) 创建VLAN (2) 将端口划分至相应VLAN (3) 启开STP (4) 配置RSTP优先级 (5) 配置边缘端口 (6) 配置各部门计算机的IP地址
05-28
好的,以下是在华为ensp网络模拟器上配置的具体步骤: (1) 创建VLAN 进入交换机的全局配置模式,使用“vlan vlan-id”命令创建VLAN,其中vlan-id为VLAN的编号。例如,创建编号为10的VLAN的命令为: ``` sys ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值