Active Directory ドメインと信頼のファイアウォールを構成する方法

この記事では、Active Directory ドメインと信頼のファイアウォールを構成する方法について説明します。

元の KB 番号: 179442

注:

すべてのシナリオで、次の表に示すすべてのポートが必要なわけではありません。 たとえば、ファイアウォールでメンバーと DC が分離されている場合、FRS または DFSR ポートを開く必要はありません。 また、SSL/TLS で LDAP を使用するクライアントがないことがわかっている場合は、ポート 636 と 3269 を開く必要はありません。

詳細

注:

2 つのドメイン コントローラーはどちらも同じフォレストに存在するか、2 つのドメイン コントローラーは両方とも別のフォレストにあります。 また、フォレスト内の信頼は、Windows Server 2003 の信頼またはそれ以降のバージョンの信頼です。

クライアント ポート サーバー ポート サービス
1024-65535/TCP 135/TCP RPC エンドポイント マッパー
1024-65535/TCP 1024-65535/TCP RPC for LSA、SAM、NetLogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS RPC (*)

NetBIOS ベースの通信のみをサポートするドメインへの信頼が構成されている場合、Windows NT 用に一覧表示されている NetBIOS ポートは Windows 2000 および Windows Server 2003 にも必要です。 たとえば、Windows NT ベースのオペレーティング システムや、Samba に基づくサード パーティのドメイン コントローラーなどがあります。

LSA RPC サービスで使用される RPC サーバー ポートを定義する方法の詳細については、次を参照してください。

Windows Server 2008 以降のバージョン

Windows Server 2008 の新しいバージョンの Windows Server では、送信接続の動的クライアント ポート範囲が増えています。 新しい既定の開始ポートは 49152、新しい既定の終了ポートは 65535 です。 そのため、ファイアウォールの RPC ポート範囲を増やす必要があります。 この変更は、Internet Assigned Numbers Authority (IANA) の推奨事項に準拠するために行われました。 これは、Windows Server 2003 ドメイン コントローラー、Windows 2000 サーバー ベースのドメイン コントローラー、または既定の動的ポート範囲が 1025 ~ 5000 のレガシ クライアントで構成される混合モード ドメインとは異なります。

Windows Server 2012 および Windows Server 2012 R2 の動的ポート範囲の変更の詳細については、次を参照してください。

クライアント ポート サーバー ポート サービス
49152-65535/UDP 123/UDP W32Time
49152-65535/TCP 135/TCP RPC エンドポイント マッパー
49152-65535/TCP 464/TCP/UDP Kerberos パスワード変更
49152-65535/TCP 49152-65535/TCP RPC for LSA、SAM、NetLogon (*)
49152-65535/TCP/UDP 389/TCP/UDP LDAP
49152-65535/TCP 636/TCP LDAP SSL
49152-65535/TCP 3268/TCP LDAP GC
49152-65535/TCP 3269/TCP LDAP GC SSL
53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
49152-65535/TCP 49152-65535/TCP FRS RPC (*)
49152-65535/TCP/UDP 88/TCP/UDP Kerberos
49152-65535/TCP/UDP 445/TCP SMB (**)
49152-65535/TCP 49152-65535/TCP DFSR RPC (*)

NetBIOS ベースの通信のみをサポートするドメインへの信頼が構成されている場合、Windows NT 用に一覧表示されている NetBIOS ポートは Windows 2000 および Server 2003 にも必要です。 たとえば、Windows NT ベースのオペレーティング システムや、Samba に基づくサード パーティのドメイン コントローラーなどがあります。

(*) LSA RPC サービスで使用される RPC サーバー ポートを定義する方法については、次を参照してください。

(**) 信頼の操作では、このポートは必要ありません。信頼の作成にのみ使用されます。

注:

外部信頼 123/UDP は、外部信頼全体でサーバーと同期するように Windows タイム サービスを手動で構成した場合にのみ必要です。

Active Directory

Microsoft LDAP クライアントは、LDAP 要求が長時間保留中で、応答を待機するときに ICMP ping を使用します。 ping 要求を送信して、サーバーがネットワーク上に残っているかどうかを確認します。 ping 応答を受信しない場合は、LDAP_TIMEOUT で LDAP 要求が失敗します。

Windows リダイレクターでは、ICMP Ping メッセージも使用して、接続が確立される前にサーバー IP が DNS サービスによって解決されていることと、DFS を使用してサーバーが配置されていることを確認します。 ICMP トラフィックを最小限に抑える場合は、次のファイアウォール規則の例を使用できます。

<任意の> ICMP -> DC IP addr = allow

TCP プロトコル層と UDP プロトコル層とは異なり、ICMP にはポート番号がありません。 これは、ICMP が IP レイヤーによって直接ホストされるためです。

既定では、Windows Server 2003 および Windows 2000 Server DNS サーバーは、他の DNS サーバーにクエリを実行するときに、一時的なクライアント側ポートを使用します。 ただし、この動作は、特定のレジストリ設定によって変更される場合があります。 または、Point-to-Point トンネリング プロトコル (PPTP) 強制トンネルを使用して信頼を確立することもできます。 これにより、ファイアウォールが開く必要があるポートの数が制限されます。 PPTP の場合は、次のポートを有効にする必要があります。

クライアント ポート サーバー ポート プロトコル
1024-65535/TCP 1723/TCP PPTP

さらに、IP PROTOCOL 47 (GRE) を有効にする必要があります。

注:

信頼されたドメイン内のユーザーの信頼するドメインのリソースにアクセス許可を追加する場合、Windows 2000 と Windows NT 4.0 の動作にはいくつかの違いがあります。 コンピューターがリモート ドメインのユーザーの一覧を表示できない場合は、次の動作を検討してください。

  • Windows NT 4.0 では、リモート ユーザーのドメイン (UDP 138) の PDC に接続して、手動で入力された名前を解決しようとします。 その通信が失敗した場合、Windows NT 4.0 ベースのコンピューターは独自の PDC に接続し、名前の解決を求めます。
  • Windows 2000 および Windows Server 2003 も、UDP 138 を介した解決のために、リモート ユーザーの PDC に接続しようとします。 ただし、独自の PDC の使用には依存しません。 リソースへのアクセスを許可するすべての Windows 2000 ベースのメンバー サーバーと Windows Server 2003 ベースのメンバー サーバーに、リモート PDC への UDP 138 接続があることを確認します。

参照

Windows のサービス概要およびネットワーク ポート要件」は、Microsoft Windows Server システムに含まれる、マイクロソフトのクライアントおよびサーバーのオペレーティング システム、サーバー ベースのプログラム、およびそのサブコンポーネントで使用される、必須のネットワーク ポート、プロトコル、およびサービスの概要を示す貴重なリソースです。 管理者およびサポート担当者は、この資料をガイドとして使用することにより、マイクロソフトのオペレーティング システムおよびプログラムがセグメント化されたネットワークでネットワーク接続を行うのに必要なポートおよびプロトコルを確認することができます。

Windows のサービス概要およびネットワーク ポート要件」のポート情報を使用して Windows ファイアウォールを構成しないでください。 Windows ファイアウォールを構成する方法の詳細については、「セキュリティが強化された Windows ファイアウォール」を参照してください。