加入子網域的電腦會不斷去連根網域控制站的389 port - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0

加入子網域的電腦會不斷去連根網域控制站的389 port

active directory windows server

Norman 2023-11-22 11:03:03 ‧ 932 瀏覽

分享至

公司有一根網域:root
有二子網域:sub1、sub2

公司清查防火牆log時，發現會有加入sub1及sub2的PC會去不斷連線root DC的udp 389 port
但在AD建置時官方文檔並沒有提到需要開通子網域電腦到跟網域控制站這一段，因此有大量被拒絕的log
且按理說加入子網域的電腦應不須和root有任何LDAP傳輸需求，請問是否有方法可以避免此連線或是官方機制本就是這樣?

登入發表討論

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

1 個回答

0

Sujira

iT邦新手 4 級 ‧ 2023-11-22 13:50:00

https://learn.microsoft.com/zh-tw/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts
裡面有寫到用戶端的random port需要連到伺服器的389 tcp/udp

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

Norman iT邦新手 5 級 ‧ 2023-11-22 15:25:45 檢舉

這個文件寫的應是指加入網域的用戶端，但我目前狀況是加入子網域的電腦會去找更上層的根網域，按理說他不是加入根網域，不應有任何的傳輸才對
還是感謝您的回答~

Sujira iT邦新手 4 級 ‧ 2023-11-22 15:28:51 檢舉

但這些用戶資訊也是store在root的db裡面呀當然需要389...

Norman iT邦新手 5 級 ‧ 2023-11-22 17:27:44 檢舉

但是官方文件查不到相關說明要開到root的389，公司比較嚴格的規範需要有文件說明或是改掉此連線的方法......

Sujira iT邦新手 4 級 ‧ 2023-11-22 18:05:28 檢舉

..那篇就是官方文件了
只是沒有白話文特別指出sub domain這個點
如果要超級白話文建議跟官方開case, 讓原廠工程師回應您

登入發表回應

我要發表回答

立即登入回答

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css 程式設計 react vue.js

IT邦幫忙