win2003域控与客户端之间的防火墙开放端口

win2003域控与客户端之间的防火墙开放端口 

（经项目验证最佳方法） 

     

域控服务器通过防火墙的难点主要是RPC端口会动态改变，其端口变化范围为

1024-65535/tcp，如果在防火墙上把这些端口都开放显然是不合适的，可以通过修改注册表的方式限制AD端口和AD replication for the file replication service (FRS) 的端口号。在

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\ 下新建一个TCP/IP Port，键值类型为 DWORD ，值为0000c000，对应的十进制值是49152 ，在

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters \ 下新建一个RPC TCP/IP Port Assignment ，键值类型为 DWORD ，值为0000c001，对应的十进制值是49153。  

操作流程：创建一个注册表文件，直接在域控服务器上安装、导入即可。导入后用regedit看一下是否修改成功，如果成功就重启域控。  

重启后，可以在域控服务器上通过netstat -n看一下实际的活动端口，通过netstat -n > 1.txt,可以把输出结果存放到1.txt，然后找台客户机登陆一下，再通过netstat对比一下，看看实际域控开放的端口是否固定为49152和49153。如果没有问题，就可以在防火墙上配置策略了，针对这部分就开放49152和49153。