AD域要开放的端口

1.用户登录与验证身份时会用到的连接端口

Microsoft-DS traffic : 445/TCP 445/UDP

Kerberos : 88/TCP 88/UDP

LDAP ping : 389/UDP

DNS : 53/TCP 53/UDP

2.计算机登录与验证身份时会用到的连接端口

Microsoft-DS traffic : 445/TCP 445/UDP

Kerberos : 88/TCP 88/UDP

LDAP ping : 389/UDP

DNS : 53/TCP 53/UDP

3.建立域信任时会用到的连接端口

位于不同林的域在建立“显性信任（explict trust）”关系时，会用到以下的服务。

Microsoft-DS traffic : 445/TCP 445/UDP

Kerberos : 88/TCP 88/UDP

LDAP ： 389/TCPAK 636/TCP(如果使用SSL)

LDAP ping : 389/UDP

DNS : 53/TCP 53/UDP

4.验证域信任时会用到的连接端口

两个域内的域控制器在验证信任关系时会用到以下的服务。

Microsoft-DS traffic : 445/TCP 445/UDP

Kerberos : 88/TCP 88/UDP

LDAP : 389/TCPAK 636/TCP(如果使用SSL)

LDAP ping : 389/UDP

DNS : 53/TCP 53/UDP

Net Logon service无法被锁定在固定的一个RPC连接端口，也就是它是使用动态的RPC连接端口，此时我们如何开放连接端口呢？还好动态的RPC连接端口可以被限制在一个范围内，因此我们只在防火墙上开放这些范围内的RPC连接端口即可。

RPC endpoint mapper : 135/TCP 135/UDP 使用动态RPC连接端口时，需要搭配RPC endpoint mapper服务，因此请在防火墙上开放此服务的连接端口。

5.访问文件资源时会用到的连接端口

SMB over IP : 445/TCP 445/UDP

6.执行DNS查询会用到的连接端口

DNS : 53/TCP 53/UDP

7.执行Active Directory复制会用到的连接端口

两台域控制器之间在进行Active Directory复制工作时会用到以下服务。

Active Directory 复制 ： 它是使用动态的RPC连接端口，如果动态的RPC连接端口被限制在一段范围内，我们则只需要在防火墙上开放这段范围的RPC连接端口即可（参见本节中“限制动态RPC连接端口的范围”的内容）。不过您也可以自行指定一个固定的连接端口。

kerberos : 88/TCP 88/UDP

LDAP : 389/TCPAK 636/TCP(如果使用SSL)

LDAP ping : 389/UDP

DNS : 53/TCP 53/UDP

SMB over IP : 445/TCP 445/UDP

File Replication Service(FRS) : 同一个域的域控制器之间在复制SYSVOL文件夹内的文件时，还会用到FRS。FRS也是采用动态的RPC连接端口，如果将动态的RPC连接端口限制在一段范围内，就只要在防火墙开放这段范围内的RPC连接端口即可。

RPC endpoint mapper : 135/TCP 135/UDP 使用动态的RPC连接端口时，需要搭配RPC endpoint mapper服务,因此请在防火墙开放此服务的连接端口。

8.其他可能需要开放的连接端口

Global Catalog : 3268/TCP 3269/TCP(如果使用SSL)假设用户登录时，负责验证用户身份的域控制器需要通过防火墙，来向“全局编录”查询用户所隶属的通用组数据时，就需要在防火墙上开放连接端口3268。

又例如Microsoft Exchange Server需要访问位于防火墙另外一端的“全局编录”，您也需要开放连接端口3268。

Network Time Protocol(NTP) : 123/UDP 它负责时间的同步

NetBIOS的相关服务 ： 137/TCP 137/UDP 138/UDP 139/UDP 开放这些连续的端口，以便于通过防火墙来使用NetBIOS服务，例如支持旧客户端来登录、浏览网上邻居等。

9.限制动态RPC连接端口的范围

Active Directory 的复制，Exchange Server的复制、Net Logon等服务是使用动态RPC连接端口的，也就是没有固定的连接端口，这将造成在防火墙设置上的困扰，但动态的RPC连接端口可以被限制在一段范围内，因此我们只要在防火墙上开放这段范围内的RPC连接端口即可。

将动态的RPC端口限制在指定的范围内，建议从5000开始，而且因为可能有多个应用都在使用RPC连接端口，因此建议至少包含20个以上的连接端口。

我们需要修改注册表的方式来将动态RPC端口限制在指定范围内。到要限制动态RPC端口范围的计算机上运行注册表编辑程序REGEDIT.EXE，然后通过以下路径来设置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc

步骤1：在上述路径下添加一个名为Internet的项

步骤2：请在Internet的项之下添加如下三个数值

步骤3：完成修改后，重新启动计算机，检查计算机内所有用到动态RPC端口的程序，是否都会使用5000～5020之间的端口

C:\> netstat –n

10.限制Active Directory数据库复制使用指定的静态端口

若域功能级别不是windows Server 2008，则同一个域的域控制器之间在复制SYSVOL文件夹时，会使用FRS（File Replication Service）.FRS默认使用动态RPC端口，但是我可以指定一个静态端口。到域控制器上运行注册表编辑程序REGEDIT.EXE，然后通过以下路径来设置：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

在上述路径添加一个如下表所示的数值，我们将端口号设置为45678，注意此端口不可以与其他服务所使用的端口相同.完成后重新启动。以后这台域控制器的FRS服务所使用的端口将会是45678.

数值名称

数据类型

数值

RPC TCP/IP Port Assignment

REG_DWORD

自定义，例如45678

11.限制FRS使用指定的静态端口

若域功能级别为Windows Server 2008，则Windows Server 2008域控制器之间在复制SYSVOL文件夹时需要利用DFS复制服务，而DFS也是采用动态RPC端

口，但是我们可以使用DFSRDIAG.EXE程序来将其设置到一个静态端口。到域控制器上打开命令提示符，然后执行以下命令：

C:\> dfsrdiag staticRPC /port:34567

注意：此端口不可以与其他服务所用的端口相同。完成后，重新起动这台域控制器，以后DFS复制服务所使用的端口为34567.

第二篇：端口的作用

进入163、126邮箱都开放443端口，禁用后会时常打不开，要刷新几次才可以进入 端口：80

服务：HTTP

说明：用于网页浏览。木马Executor开放此端口

端口：443

服务：Https

说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。

4000端口：4000端口是用于大家经常使用的QQ聊天工具的，再细说就是为QQ客户端开放的端口，QQ服务端使用的端口是8000。

5554端口：在今年4月30日就报道出现了一种针对微软lsass服务的新蠕虫病毒——震荡波（Worm.Sasser），该病毒可以利用TCP 5554端口开启一个FTP服务，主要被用于病毒的传播。

5632端口：5632端口是被大家所熟悉的远程控制软件pcAnywhere所开启的端口。

8080端口：8080端口同80端口，是被用于WWW代理服务的，可以实现网页浏览。

555~1555多数都是木马端口,

1433 Microsoft的SQL服务开放的端口

常见网络游戏的端口列表

1、帝国时代：在“虚拟服务器”的“端口应用”中设置 进端口范围 : 2300 - 2400 出端口范围: 2300 - 2400; 进端口范围: 47624-47624 出端口范围:47624-42624 才能让对方与你成功连线。

2、星际争霸：进入“虚拟服务器”，在“内部端口范围”中填入 6112 ~ 6112 协议中选择： UDP, IP地址：192.168.16.x(您的电脑的局域网IP地址)，再在下一行填入：116 ~ 118 协议中 选择：TCP, IP地址：192.168.16.x(您的电脑的局域网IP地址)就可以展开游戏了！

3、三国世纪：TCP端口为 6002 UDP端口为 8191 和 8192

4、传奇：UDP端口：7000, 7050, 7100, 7200-7210

5、万王之王：TCP端口为： 1234--1238，4002，4999，5002，9002 如果通过以上设置能正常登陆账号和密码，但是在输入人物ID和密码之后就停住了,请将TCP端口：5002, 9002打开再试一下。

6、三角洲部队：大地勇士3： TCP/UDP端口：17478

7、TCP 9999 光大证券 218.1.119.199； 202.96.172.200

TCP 9999 中信证券202.108.253.154

TCP 8601 光大证券天网2003－218.1.72.93

TCP 8999 光大证券天网2003下单

TCP 8002;8003;8013;8023;8033;8043 光大证券天网2003委托交易

TCP 8888 证券之星

TCP 7708-7709 国信证券－鑫网通达信证券分析交易系统

TCP 8601 申银万国 神网E通

TCP 22221，22223，22224 大智慧，218.242.245.227，61.151.248.202 TCP 5002 听歌219.142.78.75

UDP 5004 听歌219.142.78.75

BT常用端口 TCP6881~6889，6969，8881~8889，16881~16889

8、联众游戏的端口号

TCP 1007 联众游戏－暗棋

TCP 2000 联众游戏大厅

TCP 2002 联众游戏－聊天室

TCP 2005 联众游戏－麻将

TCP 3000 联众游戏－围棋

TCP 3001 联众游戏－俄罗斯方块

TCP 3002 联众游戏－三打一

TCP 3003 联众游戏－斗地主

TCP 3004 联众游戏－升级

TCP 3005 联众游戏－梭哈

TCP 3006 联众游戏－拱猪

TCP 3007 联众游戏－够级

TCP 3008 联众游戏－双扣

TCP 3010 联众游戏－跑得快

TCP 3012 联众游戏－飞行棋

TCP 3013 联众游戏－拼图

TCP 3015 联众游戏－台球

TCP 3016 联众游戏－原子

TCP 3017 联众游戏－510k

TCP 3018 联众游戏－憋7

TCP 3019 联众游戏－黑白棋

TCP 3020 联众游戏－锄大地

TCP 3021 联众游戏－炒地皮

TCP 3022 联众游戏－炸弹人

TCP 3023 联众游戏－敲三家

TCP 3050 联众游戏－五子棋

TCP 3060 联众游戏－桥牌

TCP 3100 联众游戏－跳棋

TCP 3200 联众游戏－中国象棋

TCP 3300 联众游戏－国际象棋

TCP 3400 联众游戏－四国军棋

TCP 4000~4010 联众游戏－GICQ

TCP 8000 上海热线游戏

TCP 8003 上海热线游戏

TCP 8012 上海热线游戏

TCP 8013 上海热线游戏

TCP 8014 上海热线游戏

TCP 8015 上海热线游戏

TCP 8016 上海热线游戏

TCP 8017 上海热线游戏

TCP 8026 上海热线游戏

9、中国游戏在线:8000--8100

TCP 8000 中国游戏中心-大厅

TCP 8001 中国游戏中心-台球

TCP 8004 中国游戏中心-麻将

TCP 8011 中国游戏中心-围棋

TCP 8012 中国游戏中心-军棋

TCP 8018 中国游戏中心-大怪路子

TCP 8032 中国游戏中心-炒地皮

10、万王之王:1234--1238，4002，4999，5002，9002

11、游戏茶苑

双扣端口号：4202

12、TCP 7000~7200 盛大传奇

TCP 7000 盛大传奇世界

TCP 7080 盛大传奇

TCP 7100 盛大传奇世界

TCP 7200~7205 盛大传奇世界

TCP 41820 盛大 疯狂坦克

TCP 44405 9c奇迹MU

TCP 6666 天堂2

TCP 7777 天堂2

TCP 8001 网上赢家

TCP 2050 凯思帝国游戏在线

TCP 8000 上海热线游戏频道，中国游戏中心 TCP 9696 中国围棋网

TCP 4000 边锋网络游戏世界

TCP 8300~8400 坦克宝贝

TCP 5050 浩方，通讯用

TCP 1203 浩方游戏

TCP 4300 天娇

TCP 7000 天娇

TCP 21188 梦幻西游

TCP 27545 梦幻西游－下载

TCP 7488 大话西游－上海专区

TCP 7388 大话西游－江苏专区

TCP 航海世纪

TCP 3838，4848，29865 泡泡堂

UDP3869 6869 29851 29853 3986 9889 9977泡泡堂 TCP 6661 剑侠情缘

TCP 9014 魔力宝贝

UDP 6000-6004 腾讯QQ语音

TCP 1863 MSN

UDP 3001 UC

UDP 3002 UC

网易泡泡 UDP 4001

QQ服务器分为三类：

1、UDP 8000端口类18个：速度最快，服务器最多

QQ上线会向这些服务器发送UDP数据包，选择回复速度最快的一个作为连接服务器。 UDP 1429 腾讯QQ

61.144.238.145

61.144.238.146

61.144.238.156

61.144.238.150

202.104.129.251

202.104.129.254

202.104.129.252

202.104.129.253

61.141.194.203

202.96.170.166

218.18.95.221

219.133.45.15

61.141.194.200

61.141.194.224

202.96.170.164

202.96.170.163

219.133.40.216

218.18.95.209

sz sz2 : 61.144.238.145 61.144.238.146 61.144.238.156

sz3 sz4 sz6 sz7 : 202.104.129.251 202.104.129.252 202.104.129.253 202.104.129.254 sz5 : 61.141.194.203

2、TCP HTTP连接服务器5个，使用HTTP 80 和443端口连接

这4个服务器名字均以tcpconn开头，域后缀是tencent.com，域名与IP对应为 tcpconn tcpconn3 218.17.209.23

tcpconn2 tcpconn4 218.18.95.153

61.141.194.227

218.18.95.171 218.18.95.221

3、会员VIP登陆服务器，使用HTTP 443安全连接

服务器IP 218.17.209.42

218.18.95.165

202.96.170.188

202.104.129.246

61.144.238.137

202.96.170.175

202.103.190.61

202.103.149.40

202.103.190.61

202.103.149.40

218.18.95.140

218.18.95.153

61.135.131.24

0216.239.33.99

218.17.209.23

218.17.209.42

202.104.129.251

61.144.238.155

61.144.238.145:8000

61.144.238.146:8000

202.96.170.163:8000

202.96.170.164:8000

202.104.129.254:8000

218.18.95.165:8000

218.18.95.236:8000

:8000 ，61.144.238.145 :8000 ，61.144.238.146 :8000 ，202.104.129.251 :8000 ，202.104.129.254 :8000 ，61.141.194.203 :8000 ，202.104.129.252 :8000 ，202.104.129.253