活动目录安装后 你的防火墙真的安全了吗？

老王上周在技术部茶水间跟我抱怨，说他新部署的活动目录总出现间歇性断连。我端着咖啡杯凑过去一看，原来服务器防火墙还开着「一刀切」模式。这种情况就像给自家防盗门装了十道锁，结果把送外卖的小哥和自己老婆都关在门外了。

防火墙必须开的五个城门

活动目录就像古代的都城，不同城门承担着不同职能。根据微软最新技术文档，这些端口必须保持畅通：

• TCP 88 凯撒的密信通道（Kerberos认证）
• UDP 123 全城统一时辰（时间同步）
• TCP 135 宰相的传令官（RPC服务）
• UDP 389 平民户籍登记处（LDAP查询）
• TCP 636 加密的皇家档案室（LDAPS协议）

新手常见三大坑

刚装完活动目录那会，我也犯过这些低级错误：

• 开着防火墙却忘了放行动态端口（范围在49152-65535）
• 域控制器之间用IPSec加密，结果把心跳检测包给过滤了
• 组策略更新时没开远程事件日志管理端口

Windows防火墙设置四步诀窍

第一步：创建安全组标签

在防火墙控制台新建「AD_通信」规则组，就像给快递柜贴上不同公司的标签：

规则名称	协议类型	作用范围
Kerberos通行证	TCP/UDP 88	域内所有设备
时间校对员	UDP 123	仅域控制器
全局目录快递	TCP 3269	跨域通信设备

第二步：巧用预定义规则

别傻乎乎地手动建规则，Windows自带的「Active Directory 域控制器」模板藏着宝贝。启用时会自动开放13个必要端口，比手工配置节省半小时。

第三步：动态端口管理妙招

在注册表HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Rpc\\Internet路径下，把端口范围设为5000-6000。这就像给快递员划定专用停车区，既方便管理又不影响其他车辆通行。

第四步：双重验证机制

搭配Windows Defender高级威胁防护，给每个入站请求加上「健康码」：

• 第一次验证：检查数字证书是否由自家CA颁发
• 第二次验证：匹配设备ID是否在合规设备清单

救命！设置后出现连环故障

上个月市场部小张的骚操作导致整个分公司断网，记住这三个救命锦囊：

• 症状：客户端显示「找不到域」
  解法：运行netsh advfirewall show currentprofile检查配置文件
• 症状：组策略同步失败
  解法：在防火墙入站规则启用「远程事件日志管理」
• 症状：域控制器时间不同步
  解法：检查UDP 123端口是否被杀毒软件拦截

企业级防护进阶方案

防护层级	基础方案	增强方案
身份验证	Windows自带防火墙	第三方身份感知防火墙
日志分析	事件查看器	Splunk实时监控
攻击防御	默认入站规则	动态行为分析引擎

窗外的天色渐渐暗下来，机房指示灯还在不知疲倦地闪烁。设置完最后一条防火墙规则，我顺手给行政部的打印机加了条白名单。毕竟明天一早，财务大姐还要打印工资单呢。