一、實驗環境:
主域控制器、額外域控制器都開啓windows防火牆 。
二、問題現狀
此時兩個DC 之間啓動防火牆,就會出現無法同步的現象。從服務器日誌看到:
文件複製服務有困難啓用複製: 從PDC 到BDC 爲
c:\windows\sysvol\domain 用DNS 名稱pdc.xin***.com 。FRS 將繼續重試。
以下是您看到此警告的一些原因。
1、FRS 不能從此計算機正確解析此DNS 名稱pdc.xin****.com 。
2、FRS 不在pdc.xin***.com 上運行。
3、Active Directory 裏此副件的拓撲信息還沒有複製到所有域控制器。
這個事件紀錄消息將每個連接出現一次。問題解決後,您將看到另一個事件日誌消息, 它
表明連接被建立。
譬如:在主域控制器以外的域控制器裏面建用戶,提示, windows 無法驗證用戶名的唯一
性, 因爲在全局編錄聯繫下發生下列錯誤:該服務器不可操作
三、解決辦法:
1 、關閉域控制器的防火牆
當然,如果關閉防火牆就會不太安全,一般的大企業也不會讓你這樣做。
2 、開放域控制器所需的端口
這是我們需要考慮:
- 用戶登錄與驗證身份時會用到的連接端口;
- 計算機登錄與驗證身份時會用到的連接端口
- 用戶登錄時會用到的服務,服務所對應的一個或多個的端口。
- 計算機登錄到域控制器時會用到的服務
- DNS所用到的端口
須在防火牆開放這些服務的連接端口。
Microsoft-DS traffic: 445/TCP 、445/UDP
Kerberos: 88/TCP 、88/UDP
LDAP ping: 389/UDP
DNS: 53/TCP 、53/UDP
四、位於不同林的域
位於不同林的域在建立“顯性信任( explicit trust ) ”關係時,除了會用到上面所提到的端口外,還會有Net Logon service 無法被鎖定在固定的一個RPC 連接端口, 也就是它是使用動態的RPC連接端口,此時我們如何開放連接端口呢?還好動態的RPC 連接端口可以被限制在一個範圍內。AD 數據複製需要的端口:
RPC 終結點影射器: 135/TCP ,135/UDP
NetBIOS 名稱服務: 137/TCP ,137/UDP
NetBIOS 數據文報服務: 138/UDP
NetBIOS 會話服務: 139/TCP
RPC 動態分配: 1024-65535/TCP
Microsoft-DS :445/TCP ,445/UDP
LDAP :389/TCP
SSL 上的LDAP :636/TCP
全局編錄LDAP : 3268/TCP
SSL 上的全局編錄LDAP :3269/TCP
Kerberos :88/TCP ,88/UDP
DNS :53/TCP ,53/UDP
WINS 解析(如果需要) :1512/TCP ,1512/UDP
WINS 複製(如果需要) :42/TCP ,42/UDP
AD 用戶密碼修改: 464/TCP