修改windows ad端口后无法加入域

更新时间：2023-03-28 17:08:01 阅读量：说明书文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

修改windows用户密码推荐度：
相关推荐

修改windows ad端口后无法加入域关于AD限制开放端口后加域不成功的问题。现在我的环境中是Win7的客户端，AD使用的是Windows Server2008 R2，并在网络中需要通过防火墙，在网上也查到了AD需要开放的端口，单向开通了从客户端到AD的如下端口： Port

53/TCP/UDP

88/TCP/UDP

123/UDP

135/TCP

139/TCP

445/TCP

389/TCP/UDP

636/TCP

3268/TCP

3269/TCP

464 TCP/ UDP

ICMP/IP Protocol DNS Kerberos Time Service RPC NetBIOS session SMB LDAP LDAP SSL LDAP GC LDAP GC SSL Kerberos ICMP

50000~60000/TCP RPC动态端口

我这里需要将RPC动态端口限制为50000-60000，所以在AD上使用”set dynamicportrange protocol=tcp startport=50000 numberofports=10000“命令将服务器的RPC动态端口更改为了 50000-60000.查看的话也显示已更改成功。

但是在将客户端（win7）加入域时不成功，可以输入加域时需要的用户名和密码，先提示加域成功，但紧接着又出现 ”将该计算机的主域DNS名称更改为“”失败“的报错，后来开启了UDP138端口，不再出现该错误，但是又出现了”RPC服务不可用“的报错，发现win7客户端始终在尝试连接AD的 49152-50000之间的某个端口，我已经将AD的RPC动态端口改为了50000-60000，并且也在防火墙开启了这段端口，为什么还在使用这个端口？后来我又在防火墙中开启了49152-65536这段端口范围（但是我并没有将RPC动态端口范围改回默认的49152-65536），客户端可以加域并成功登陆到域。

问题如下：

1. 在上面表中的端口，我是不是还有需要开通的？如需要开放137/UDP端口吗？

2. 是不是因为我没有更改客户端的RPC动态端口范围，所以客户端始终会去连接服务器端的49152-50000之间的某个端口？我还需要更改客户端的

RPC动态端口也为50000~60000/TCP吗？这个端口是由服务器端分配给客户端吗？

o 曾看到过一篇关于RPC动态端口的文章，在需要使用RPC动态端口

通信的时候，客户端先连接服务器的135/TCP端口，然后服务器会

随机分配给客户端一个PRC动态端口，我的理解有问题吗？

3. 关于后来在防火墙开启49152-65536这段端口范围（但是我并没有将RPC动态端口范围改回默认的49152-65536），客户端可以加域并成功登陆到域该作何解释？

4. 还有win XP默认使用1025-5000之间的RPC动态端口范围，我是只需要在防火墙开启这段端口范围就可以吗？在服务器端的RPC动态端口范围还需不需要改？比如改为1025-65536？这个好像不现实，开的太多了

回答：第一个问题：

默认情况下，需要开通的AD和ADDS的端口

可以参考以下这篇文章 http://www.77cn.com.cn/en-us/library/dd772723(v=ws.10).aspx 其中NetBIOS需要用到的name service主要依靠137/UDP端口而137/TCP端口使用的情况较少。