Active Directory 端口列表

一、什么是 Active Directory 端口？

Active Directory（AD，活动目录）端口是特定的网络通信端点，用于支持不同服务间的交互，保障整个AD基础架构正常运行。这些端口适用于多种关键任务，例如域控制器之间的数据复制、用户与计算机的身份验证等。例如，389端口支持轻型目录访问协议（LDAP）与AD的通信，135端口实现客户端与域控制器的交互。若这些端口未开放，网络及其服务将无法正常运作，因此正确配置这些端口对于任何基于Windows的企业环境的可靠运行、安全防护及故障排查至关重要。

二、Active Directory 通信所需端口

以下是防火墙必须开放的核心端口，以确保客户端设备、域控制器及相关服务间的正常通信。部分端口会根据服务需求同时使用传输控制协议（TCP）和用户数据报协议（UDP）。

三、Active Directory 身份验证端口

这些端口是域内用户登录、密码修改及身份验证的必需端口。

四、Active Directory 复制端口

这些端口是AD域控制器同步数据、保障全网目录信息一致性的必需端口。

五、管理和目录服务端口

这些端口支持AD的管理、远程运维、功能扩展以及遗留系统或基于Web的访问。

六、AD防火墙端口安全配置最佳实践

要确保AD的安全性和全功能运行，需重点正确配置防火墙端口，尤其是客户端与域控制器通信所需的端口。

•明确需求：了解所需端口及其用途——身份验证、复制或管理。
•限制访问：遵循最小权限原则，仅允许可信系统使用这些端口。
•保护复制流量：限制高价值端口（如445端口和RPC动态端口范围49152-65535）的访问权限，仅开放给可信端点。
•定期审查：定期审计防火墙规则，确保仅开放必要端口。

七、启用这些端口对AD环境的重要性

正确配置Active Directory端口对安全、可用的Windows网络基础架构至关重要。

（1）身份验证与安全
88端口（Kerberos）、389或636端口（LDAP或LDAPS）是AD环境中用户和设备身份验证的核心。Kerberos通过为用户和计算机颁发票据提供安全的双向身份验证，而LDAP支持安全的目录查询和更新。

（2）复制
AD域控制器严重依赖RPC动态端口范围和445端口上的SMB协议在服务器间复制数据。此复制过程确保所有站点和分支机构的用户账户、组成员身份、安全设置及其他目录对象保持一致和最新。

（3）名称解析
53端口用于域名系统（DNS），而DNS是AD中几乎所有操作的基础。域控制器、客户端系统及众多网络服务均通过DNS将服务器和服务名称解析为对应的IP地址。

（4）管理与联合身份验证
现代管理工具和联合身份验证功能依赖9389端口（ADWS）、80或443端口（HTTP或HTTPS）及49443端口（AD FS）。这些端口支持IT管理员远程管理AD、通过脚本自动化任务，以及与其他组织或云服务实现单点登录。

八、ADManager Plus 如何助力 Active Directory 管理

ADManager Plus 是一款身份治理与运维解决方案，具备全面的AD域管理及报表功能，可通过单一友好的控制台简化复杂的运维任务：

• 通过无脚本的集中控制台管理用户、联系人、组、许可证及其他AD对象。
• 自动化用户配置和注销流程，跨多个平台协调任务，减少人为错误。
• 通过200多种预制报表实时监控IT环境。将AD和Microsoft Entra ID属性委派给技术人员，使其能够执行密码重置、组创建、组织单元（OU）管理等任务。
• 通过智能工作流简化任务执行，确保委派活动可被监控。通过AD、Microsoft Entra ID和Google Workspace的备份与恢复保障业务连续性。