导语

各位运维界的"岛主"们，今天咱们来聊聊域服务器的"海关政策"——端口！如果你发现客户端死活加不进域，或者组策略像断了线的风筝，八成是防火墙把关键端口给"封海"了。别急，跟着我这个踩坑无数的老司机，一起把域服务器的端口安排得明明白白！（文末附赠一张「端口速查表」，懒人必备！）

第一章：域服务器为啥要开端口？

想象一下：域控制器（DC）是个霸道总裁，客户端是小员工。总裁发号施令（比如组策略、身份验证），得靠"专属电话线"（端口）传话。如果防火墙把电话线掐了……

- 经典翻车现场：

- 客户端："老板！我加不进公司群（域）啊！"

- DC："你拨打的号码不在服务区……（因为TCP 445被屏蔽了）"

第二章：必开端口清单（含原理+举例）

1. 核心四大天王

- TCP 135（RPC Endpoint Mapper）

- 作用：像公司的前台总机，告诉客户端该找哪个部门（具体服务端口）。

- 不开的后果：客户端连DC的DNS都查不到，直接上演《迷失东京》。

- TCP/UDP 389（LDAP）

- 作用：查询目录信息，比如"张三的工位在几楼？"。

- 骚操作举例：如果你用`nslookup`查不到域记录，先检查389是不是被防火墙"静音"了。

- TCP/UDP 53（DNS）

- 作用：域名解析界的GPS。没有它？客户端连DC的门牌号都找不到。

- 血泪教训：某次我把53端口误封了，整个域的电脑集体表演"我是谁？我在哪？"。

- TCP/UDP 445（SMB）

- 作用：文件共享和组策略的核心通道。

- 真实案例：客户抱怨组策略不生效，一查发现445被某安全软件当病毒拦了……

2. 进阶VIP通道

- TCP/UDP 88（Kerberos认证）

- 作用：发放入场券（Ticket），没它？所有登录都会变成"无证驾驶"。

- TCP/UDP 464（Kerberos密码修改）

- 冷知识：用户改密码时必用，不开的话……"您的密码已过期，但您无法修改它"。

- UDP 123（NTP时间同步）

- 玄学警告：如果DC和客户端时间差超过5分钟，Kerberos会直接罢工！（错误代码`0x6`警告）

第三章：防火墙配置实战指南

Windows防火墙规则示例

```powershell

一键放行LDAP和Kerberos（管理员权限运行）

New-NetFirewallRule -DisplayName "Allow Domain Core Ports" -Direction Inbound -Protocol TCP -LocalPort 135,389,445,88,464 -Action Allow

New-NetFirewallRule -DisplayName "Allow Domain UDP Ports" -Direction Inbound -Protocol UDP -LocalPort 53,88,123,389,445,464 -Action Allow

```

企业级避坑Tips

1. NAT设备小心机：如果DC躲在路由器后面，记得做端口映射+检查ACL规则。

2. 云服务商套路深 ：阿里云/AWS默认屏蔽135等端口，需手动开安全组。

第四章：验证端口的骚操作

- Telnet大法好 （适合快速测试）：

```bash

telnet DC_IP_ADDRESS 389

```

如果看到一片漆黑+光标闪烁，说明端口畅通；如果提示`连接失败`……准备背锅吧！

- 神器Nmap扫描术 ：

```bash

nmap -p53,88,135,389,445 DC_IP_ADDRESS

```

（输出结果里出现`open`就是胜利！）

第五章：【懒人福利】域服务器端口速查表

| 端口 | TCP/UDP | 用途 | "不开会死星人"指数 |

|||--||

| 53 | Both | DNS解析 | 🌟🌟🌟🌟🌟 |

| 88 | Both | Kerberos认证 | 🌟🌟🌟🌟🌟 |

| 135 | TCP | RPC调度 | 🌟🌟🌟🌟 |

| 389 | Both | LDAP查询 | 🌟🌟🌟🌟🌟 |

| 445 | TCP | SMB/组策略 | 🌟🌟🌟🌟🌟 |

| 123 | UDP | NTP时间同步 | 🌟🌟🌟 |

****

记住啦各位岛主——宁可多开一个口，莫让全网成孤舟！如果还遇到灵异事件，欢迎在评论区抛出你的错误代码，老司机带你飙车排障~ 🚗💨

TAG:域服务器要开通什么端口,域服务器配置要求,域控服务器需要开放的端口,域服务器有哪些功能