Active Directory RPC トラフィックを特定のポートに制限する方法
この記事では、Active Directory (AD) レプリケーション リモート プロシージャ コール (RPC) トラフィックを Windows Server の特定のポートに制限する方法について説明します。
適用対象: サポートされているすべてのバージョンの Windows Server
元の KB 番号: 224196
概要
既定では、Active Directory レプリケーション リモート プロシージャ コール (RPC) は、ポート 135 を使用して RPC エンドポイント マッパー (RPCSS) を介して使用可能なポートを介して動的に実行されます。 管理者は、この機能をオーバーライドし、すべての Active Directory RPC トラフィックが通過するポートを指定できます。 この手順では、ポートをロックダウンします。
詳細情報のレジストリ エントリを使用して使用するポートを指定すると、Active Directory サーバー側レプリケーション トラフィックとクライアント RPC トラフィックの両方がエンドポイント マッパーによってこれらのポートに送信されます。 Active Directory でサポートされているすべての RPC インターフェイスが、リッスンしているすべてのポートで実行されているため、この構成が可能です。
注:
この記事では、ファイアウォールの AD レプリケーションを構成する方法について説明しません。 ファイアウォールを介してレプリケーションを動作させるには、追加のポートを開く必要があります。 たとえば、Kerberos プロトコルのポートを開く必要がある場合があります。 ファイアウォール経由のサービスに必要なポートの完全な一覧を取得するには、「 Windows のサービスの概要とネットワーク ポートの要件」を参照してください。
詳細
重要
このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。
RPC エンドポイントに接続すると、クライアント上の RPC ランタイムは、既知のポート (135) にあるサーバー上の RPCSS に接続します。 また、目的の RPC インターフェイスをサポートするサービスに接続するポートを取得します。 これは、クライアントが完全なバインドを認識していないことを前提としています。 これは、すべての AD RPC サービスの状況です。
サービスは、起動時に 1 つ以上のエンドポイントを登録し、動的に割り当てられたポートまたは特定のポートを選択できます。
次のエントリのように ポート x で実行するように Active Directory と Netlogon を構成すると、標準の動的ポートに加えて、エンドポイント マッパーに登録されているポートになります。
制限付きポートを使用する各ドメイン コントローラーで次の値を変更するには、レジストリ エディターを使用します。 メンバー サーバーはログオン サーバーとは見なされません。 そのため、NTDS の静的ポート割り当ては、メンバー サーバーには影響しません。
メンバー サーバーには Netlogon RPC インターフェイスがありますが、ほとんど使用されません。 一部の例としては、 などのリモート構成取得があります nltest /server:member.contoso.com /sc_query:contoso.com
。
レジストリ キー 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
レジストリ値: TCP/IP ポート
値の種類: REG_DWORD
値データ: (使用可能なポート)
新しい設定が有効になるようにコンピューターを再起動します。
レジストリ キー 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
レジストリ値: DCTcpipPort
値の種類: REG_DWORD
値データ: (使用可能なポート)
新しい設定を有効にするには、Netlogon サービスを再起動します。
注:
レジストリ エントリを DCTcpipPort
使用し、レジストリ エントリと同じポート TCP/IP Port
に設定すると、 の下 NTDS\Parameters
に Netlogon エラー イベント 5809 が表示されます。 これは、構成されたポートが使用中であり、別のポートを選択する必要があることを示します。
一意のポートがあり、ドメイン コントローラーで Netlogon サービスを再起動すると、同じイベントが発生します。 この動作は仕様です。 これは、RPC ランタイムがサーバー ポートを管理する方法が原因で発生します。 ポートは再起動後に使用され、イベントは無視できます。
中間ネットワーク デバイスまたはソフトウェアを使用してドメイン コントローラー間のパケットをフィルター処理する場合、管理者は、指定したポート経由の通信が有効になっていることを確認する必要があります。
AD レプリケーションと FRS レプリケーションが同じドメイン コントローラーでレプリケートされるため、ファイル レプリケーション サービス (FRS) RPC ポートも手動で設定する必要があります。 FRS RPC ポートでは、別のポートを使用する必要があります。
クライアントが Netlogon RPC サービスのみを使用するため、設定 DCTcpipPort
のみが必要であると想定しないでください。 クライアントは、SamRPC、LSARPC、ディレクトリ レプリケーション サービス (DRS) インターフェイスなどの他の RPC サービスも使用しています。 両方のレジストリ設定を常に構成し、ファイアウォールで両方のポートを開く必要があります。
既知の問題
ポートを指定すると、次の問題が発生する可能性があります。
- Windows Server 2008 R2 ベースのドメイン環境で NTDS と Netlogon に特定の静的ポートを設定した後のログオン時間が長い
- WINDOWS ベースのドメイン環境で NTDS の静的ポートを設定した後、RPC の問題で AD レプリケーションが失敗する
- Windows Server 2012 R2 または Windows Server 2008 R2 でクライアント RPC を DC トラフィックに制限した後、ログオンが失敗する
問題を解決するには、記事に記載されている更新プログラムをインストールします。
データ収集
Microsoft サポートからの支援が必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」で説明されている手順に従って情報を収集することをお勧めします。