活动目录是可以跨网段的

活动目录是可以跨网段的|活动目录端口？问题：在一个企业网中，不同DC和要登录它的客户机处于不同网段中，如DC的IP为192.168.1.1、客户机IP为192.168.2.3，客户机通过路由能Ping得通DC，在这种情况下，客户机能将登录域设置为这台DC吗，会成功吗，如果能成功的话，为什么在互联网上办不到！！！

回答：您好，在不同网段进行客户端的登陆是没有问题的，确切来说，除非划分子网，进而涉及到划分站点，除此之外，ad并不关心客户端所处的网段。

之所以登陆会遇到问题，就是由于客户端登陆到网域的时候，需要和DC、GC发生验证，查询的动作，这其后的一些通讯所使用到的RPC，可能会随机的使用一些1024以上的端口。而这种情况，在企业内部以及通往Internet的防火墙上，往往是不允许的。这就是导致您遇到这种状况的原因。

关于客户端在登陆验证过程中所使用的端口，有些数据可供参考：

User Login and Authentication

• Microsoft-DS traffic (445/tcp, 445/udp)

• Kerberos authentication protocol (88/tcp, 88/udp)

• Lightweight Directory Access Protocol (LDAP) ping (389/udp)

• Domain Name System (DNS) (53/tcp, 53/udp)

Computer Login and Authentication

A computer logon to a domain controller uses the following:

• Microsoft-DS traffic (445/tcp, 445/udp)

• Kerberos authentication protocol (88/tcp, 88/udp)

• LDAP ping (389/udp)

• DNS (53/tcp, 53/udp)

但这并不意味着，如果dc和client之间如果放置防火墙，仅仅开放上面这些端口就足以让它们可以获得完全正常的通讯，以及完全实现ad的功能特性。

遇到这种情况，需要考虑两个问题：

1、由于dc和client之间的通讯模式是松散的，在win2k3 及之前版本的操作系统上，MS并未设计一种变通的工作方式，可以让dc和client之间的通讯可以局限于一个或者某些端口，并保障它们的通讯安全。在进行企业IT基础架构部署过程中，使用诸如Vlan等技术，人为的将dc与client分隔开，是不妥当的。在Vista及Longhorn的平台上，IPSec与OS之间将获得进一步整合，同时AD上的安全性改进将会允许利用IPSec来保障通讯安全。

2、在必须进行分隔的区域之间，如果存在dc与client的通讯，可以在隔离的区域内部署一台或多台dc，让dc跨越隔离区进行dc区域间的复制，而client在隔离区之内进行本地登陆。MS是允许通过手动设定的方式，让dc之间的复制局限于某些特定的端口，这就为分隔区域的ad部署提供了弹性设置。

关于dc跨越防火墙进行复制的设置，请参考

http://www.microsoft.com/china/technet/windows2000/win2ksrv/adrepfir.asp

域控制器端口的相关文章请参考

分支域控制器端口设置

域控制器端口

主域控制器与辅域控制器通讯端口

活动目录是可以跨网段的

－－－gnaw0725