DC的网络连接端口与防火墙设置[为企业部署Windows Server 2008系列十]

核心提示： 图片看不清楚？请点击这里查看原图（大图），通过上面两副截图大家可以看到当192.168.99.11(成员计算机)使用 'Active Directory 用户和计算机'工具连接DC上的活动目录服务时，DC的网络连接端口与防火墙设置[为企业部署Windows Server 2008

图片看不清楚？请点击这里查看原图（大图）。

通过上面两副截图大家可以看到当192.168.99.11(成员计算机)使用 'Active Directory 用户和计算机'工具连接DC上的活动目录服务时，在192.168.99.2(DC)上运行netstat 命令查看到DC的389端口被成员计算机连接使用。

ok，结合上面大家了解到的端口，现在我们就可以在跨地域的网络中通过发布活动目录相关服务端口的方式让互联网中的用户来连接到DC了（加入域/登录域，并享受域环境中的资源）。

下面，我们看看如何设置windows 防火墙来满足上面的企业应用需求（让互联网中的用户来连接到DC）。

如上面两副图片所示，您的防火墙必须例外设置 Active Directory 域服务[389][3268] Kerberos密钥分发中心[88][464] 文件复制[389] 文件和打印机共享[445][139]

在了解到上面的这些必须添加到例外的服务之后，我们再遇到活动目录服务不可用的提示时就可以根据这些服务的默认端口来判断问题所在，并采取相应措施了。

PS：如果您的服务器放至在内网，您要通过端口映射来实现外网用户对此服务器的访问，现在您也可以更具本文中谈及的端口来做映射了。

出处: http://angerfire.blog.51cto.com/198455/200130