Liste der TCP/UDP-Ports für Active Directory und weitere Dienste
Die Konfiguration von Portfilter-Regeln für die Bereitstellung eines Microsoft Windows Servers mit Active Directory ist mitunter ziemlich nervig. Ein AD benötigt je nach Konfiguration sehr viele unterschiedliche Ports.
Fehlermeldungen in der Ereignisanzeige
Wenn du am Client oder zweiten AD-Server Fehlermeldungen wie RPC server not available o.ä. vorfindest, solltest du erst einmal den Antivirus bzw. die Endpoint Protection überprüfen. Wenn du alle Anwendungen und auch die Windows Firewall überprüft hast, hilft eigentlich nur noch ein weniger bekanntes Tool, um dem Problem effektiv entgegenzuwirken.
Active Directory-Konnektivitätsprobleme mit PortQry identifizieren
Die häufig verwendeten Tools ping, nslookup oder nmap helfen bei der Identifizierung von Konnektivitätsproblemen mit AD-Servern nur bedingt. Sie sind nicht dazu ausgelegt, die speziellen AD-Ports und Funktionen zu überprüfen.
Download: PortQryUI – GUI
Version: 1.0 | Größe: 213 KB
Im Tool kannst du mit „Domains & Trusts“ zwischen AD oder/und Client oder auch einem anderen AD die Verbindung auf blockierte AD-Ports oder nicht korrekt funktionierende AD-Funktionen überprüfen.
Die Anwendung gibt bei Problemen mit Ports „NOTLISTENING“, 0x00000001 oder 0x0000000002 aus. Wenn Probleme bei den UDP-Ports 389 und/oder 88 auftreten, können diese in den meisten Fällen ignoriert werden. Bei TCP 42-Fehlern kann dies bedeuten, dass kein WINS auf dem AD aktiv ist. WINS wird nur noch in wenigen Szenarien benötigt.
AD Firewall-Ports und die Erklärung
| Protokoll und Port | Erklärung bzw. Zweck | Dienst |
| TCP/25 | Replikation | SMTP |
| TCP/42 | Verwendung von WINS in einem Domain-Trust-Szenario mit NetBIOS-Auflösung | WINS |
| TCP/135 | Replikation | RPC, EPM |
| TCP/137 | NetBIOS-Namensauflösung | NetBIOS |
| TCP/139 | Benutzer- und Computer-Authentifizierung, Replikation | DFSN, NetBIOS-Sitzungsdienst, NetLogon |
| TCP und UDP/389 | Verzeichnis, Replikation, Benutzer- und Computer-Authentifizierung, Gruppenrichtlinien, Trusts | LDAP |
| TCP/636 | Verzeichnis, Replikation, Benutzer- und Computer-Authentifizierung, Gruppenrichtlinien, Trusts | LDAP SSL |
| TCP/3268 | Verzeichnis, Replikation, Benutzer- und Computer-Authentifizierung, Gruppenrichtlinien, Trusts | LDAP GC |
| TCP/3269 | Verzeichnis, Replikation, Benutzer- und Computer-Authentifizierung, Gruppenrichtlinien, Trusts | LDAP GC SSL |
| TCP und UDP/88 | Benutzer- und Computer-Authentifizierung, Forest Level Trusts | Kerberos |
| TCP und UDP/53 | Benutzer- und Computer-Authentifizierung, Namensauflösung, Trusts | DNS |
| TCP und UDP/445 | Replikation, Benutzer- und Computer-Authentifizierung, Gruppenrichtlinien, Trusts | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
| TCP/9389 | AD DS-Webdienste | SOAP |
| TCP/5722 | Datei-Replikation | RPC, DFSR (SYSVOL) |
| TCP und UDP/464 | Replikation, Benutzer- und Computer-Authentifizierung, Trusts | Kerberos-Kennwort ändern/einstellen |
| UDP/123 | Windows-Zeit, Trusts | Windows-Zeit |
| UDP/137 | Benutzer- und Computer-Authentifizierung | NetLogon, NetBIOS-Namensauflösung |
| UDP/138 | DFS, Gruppenrichtlinien, NetBIOS Netlogon | DFSN, NetLogon, NetBIOS-Datagrammdienst |
| UDP/67 und 2535 | DHCP (Hinweis: DHCP ist kein zentraler AD DS-Dienst, aber diese Anschlüsse können für andere Funktionen neben DHCP, wie z. B. WDS, erforderlich sein) | DHCP, MADCAP, PXE |
