AD網域主機和客戶端電腦防火牆需要開通那些Port?

ad網域

chsinzk 2022-07-12 10:21:10 ‧ 2321 瀏覽

分享至

想請教各位前輩
AD網域主機和客戶端電腦防火牆之間需要開通那些Port
AD網域主機>>客戶端電腦需要開什麼Port
AD網域主機<<客戶端電腦需要開什麼Port

使用情境如
DMZ的電腦需要連到AD主機需要開通那些Port
AD網域主機連到DMZ區的電腦又需要開通那些Port

麻煩各位前輩解惑感謝

harrytsai iT邦新手 1 級 ‧ 2022-07-13 11:30:36 檢舉

AD到客戶端電腦,基本上架起來他該開的PORT自己會起來,不用特別開Port
連到AD不建議用DMZ,也不知道你連到AD主機要做什麼

chsinzk iT邦研究生 1 級 ‧ 2022-07-13 14:40:41 檢舉

感謝您的回應，想問的是跨網段硬體防火牆要開那些Port讓他通，是想問需要開那些Port才不會影響到ad和客戶端電腦運作溝通

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

Ray

iT邦大神 1 級 ‧ 2022-07-12 10:22:35

最佳解答

其實用戶端幾乎要全開, 伺服器端遇到 RPC 也是要全開:
https://docs.microsoft.com/zh-tw/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts

回應 2
分享
檢舉

chsinzk iT邦研究生 1 級 ‧ 2022-07-13 14:38:56 檢舉

大神您好，看網頁說明幾乎是全開了，所以一般公司DMA區的主機防火牆也會這樣開嗎?

Ray iT邦大神 1 級 ‧ 2022-07-13 15:30:16 檢舉

AD 是 2000 年發表的東西, 距今超過 20+ 年了, 中間也沒有大幅度翻修, 當時還沒有 Zero Trust 的觀念, 所以會相信: 內網就是安全的; 在網路安全的設計上, 應對現代: 內網即外網的資安變化, 已經有捉襟見肘的狀況.

我們會盡可能將 AD 環境限縮到最小程度, 外部伺服器盡可能不要去連 AD, 如果有身分驗證需求, 也僅透過 AD LDS 來做驗證就好, 也就是: 對所有的 AD 需求進行細緻化分解與應用分析之後, 只開放它會用到的部分, 不需要整個 AD 五大角色都放給他用.

登入發表回應

CyberSerge

iT邦好手 1 級 ‧ 2022-07-14 09:31:54

DMZ的電腦需要連到AD主機,是需要AD的什麼功能?
是否可以直接在DMZ部屬RODC(read only domain controller)滿足需求?

回應 1
分享
檢舉

chsinzk iT邦研究生 1 級 ‧ 2022-07-14 15:30:30 檢舉

單純是公司電腦都加入網域，套用群組原則及網域帳號登入，還是DMZ區的電腦就不建議加入網域管理?

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22173 篇

完賽人數

597 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙