客户要求AD服务器和应用服务器分开部署,分别放置于不同的工作区域。2台服务器之间通过路由做访问策略。
经过查看微软白皮书,域需要开启如下端口:
DNS : 53/TCP,53/UDP
Kerberos : 88/TCP,88/UDP
Network Time Protocol(NTP) : 123/UDP
NetBIOS的相关服务 : 137/UDP,138/UDP,139/TCP
LDAP : 389/TCP,389/UDP
SMB over IP : 445/TCP,445/UDP
Global Catalog : 3268/TCP
接着,问题来了,加域过程能正常解析,但是在最终确认后出现如下报错:
“终结点映射器中没有更多的终结点可用”
第一次遇到过,google,baidu找了一个便,众说纷纭。没有任何正确答案!更有号称是微软的MVP直接推荐AD和需要加域的服务器之间不建议使用网络策略!真心想骂这种不负责的微软MVP
只能自己找环境测试。在AD上使用网络防火墙,开启上述的端口做测试,整个加域过程中出现如下端口不能访问的日志:(需要一个TCP1026 入站)
开启相应端口,顺利加入到域
后期是否还需要进一步开一些端口,有待测试
目前开启的端口如下:
DNS : 53/TCP,53/UDP
Kerberos : 88/TCP,88/UDP
Network Time Protocol(NTP) : 123/UDP
NetBIOS的相关服务 : 137/UDP,138/UDP,139/TCP
LDAP : 389/TCP,389/UDP
SMB over IP : 445/TCP,445/UDP
Global Catalog : 3268/TCP
1026/TCP
135/TCP(后通过抓包,发现还有一个端口需要开启)
本文转自 yuxye 51CTO博客,原文链接:http://blog.51cto.com/fishvsfrog/910084
