DC间有防火墙需要开什么端口|ad活动目录域控制器防火墙设置。二台DC间复制、同步和分布式文件系统所需要的端口，能不能把端口帮我例出来，二台DC平时不连通，每月手动的开放一下端口，让他们同步一下，这样行不行？

回答：根据您的问题我建议您打开一下几个端口
User Login and Authentication
     Microsoft-DS traffic (445/tcp, 445/udp)
     Kerberos authentication protocol (88/tcp, 88/udp)
     Lightweight Directory Access Protocol (LDAP) ping (389/udp)
     Domain Name System (DNS) (53/tcp, 53/udp)
Computer Login and Authentication
A computer logon to a domain controller uses the following:
     Microsoft-DS traffic (445/tcp, 445/udp)
     Kerberos authentication protocol (88/tcp, 88/udp)
     LDAP ping (389/udp)
     DNS (53/tcp, 53/udp)
请参考http://www.mcse.org.cn/showtopic-2302.aspx
希望我的答复能帮助您解决问题。
--  瞿晟荣(QuShengrong) MCSE2003|MCSA2003|MCP|MTO|MVP

我们不建议您在2台DC之间配置防火墙，并且让2台DC不进行通信。由于DC之间的复制以及DFS通讯可能会随机的使用一些的端口。而这种情况，在企业内的防火墙上，往往是不允许的。关于所使用的端口，有些数据可供您参考：您看到的文章源自活动目录seo http://gnaw0725.blogbus.com/c1404552/

需TCP/UDP的端口
389 TCP (LDAP) or TCP 686 if using Secure Sockets Layer (SSL).
389 UDP (LDAP ping).
88 TCP/UDP (Kerberos).
53 TCP/UDP (DNS).
445 TCP/UDP (SMB over IP traffic).
135 TCP/UDP (RPC Endpoint Mapper)

但这并不意味着，如果dc之间如果放置防火墙，仅仅开放上面这些端口就足以让它们可以获得完全正常的通讯。

关于dc跨越防火墙进行复制的设置，请参考：
如何为域和信任关系配置防火墙
http://support.microsoft.com/kb/179442/zh-cn

Tom Zhang 张一平 在线技术支持工程师 微软全球技术支持中心

ad活动目录域复制的更多文章请参考
活动目录是可以跨网段的|活动目录端口活动目录SEO
活动目录域控制器DC复制故障排查排错troubleshooting 活动目录SEO
在活动目录域AD中如何配置DNS复制？ 活动目录SEO
如何规划活动目录站点以恢复建立域控制器DC间的复制链接活动目录SEO
http://www.googlesyndicatedsearch.com/u/blogbus?hl=zh-CN&inlang=zh-CN&newwindow=1&ie=GB2312&q=site%3Agnaw0725.blogbus.com+%BB%EE%B6%AF%C4%BF%C2%BC%B8%B4%D6%C6%B6%CB%BF%DA
－－－gnaw0725