文書番号: 179442 - 最終更新日: 2009年10月2日 - リビジョン: 13.1 ドメインの信頼関係を使用するためのファイアウォールの構成方法この記事は、以前は次の ID で公開されていました: JP179442 目次概要 この資料では、ドメインの信頼関係を使用するためのファイアウォールの構成方法について説明します。 詳細 ファイアウォールを介したドメインの信頼関係またはセキュリティ チャンネルを確立するには、次のポートを開く必要があります。ファイアウォールの両側にクライアントとサーバーの両方の役割を果たすホストが存在する場合があることに注意してください。場合によっては、ポート規則をミラー化する必要があります。 Windows NTこの環境では、信頼関係の一方は Windows NT 4.0 の信頼、または、NetBIOS 名を使用して作成された信頼です。元に戻す
Windows Server 2003 および Windows 2000 ServerWindows NT ドメイン コントローラーまたはレガシ クライアントを使用する混在モードのドメインに関しては、Windows Server 2003 ベースのドメイン コントローラーと Windows 2000 Server ベースのドメイン コントローラー間の信頼関係では、以下のポートに加えて、上記の表に記載されている Windows NT 用のすべてのポートを開くことが必要な場合があります。注: 2 つのドメイン コントローラーは両方とも同じフォレストに存在するか、2 つのドメイン コントローラーは両方とも独立したフォレストに存在します。また、フォレストの信頼関係は Windows Server 2003 の信頼関係またはそれ以降のバージョンの信頼関係になります。 元に戻す
832017?
(http://support.microsoft.com/kb/832017/
)
Windows サーバー システムのサービス概要およびネットワーク ポート要件 Windows Server 2008/Windows Server 2008 R2Windows Server 2003 ドメイン コントローラー、Windows 2000 Server ベースのドメイン コントローラー、またはレガシ クライアントから構成される混在モードのドメインでは、既定の動的なポート範囲は 1025 〜 5000 です。Internet Assigned Numbers Authority (IANA) の勧告に準拠する Windows Server 2008 および Windows Server 2008 R2 は、発信接続用に動的なクライアント ポート範囲を拡張しています。新しい既定の開始ポートは 49152 で、既定の終了ポートは 65535 です。そのため、ファイアウォールでは RPC ポート範囲を拡張する必要があります。元に戻す
929851?
(http://support.microsoft.com/kb/929851/
)
Windows Vista および Windows Server 2008 では TCP/IP の既定の動的なポート範囲が変更されている この変更の詳細については、Directory Services Team のブログを参照し、以下の記事をお読みください。Windows Server 2008 および Windows Vista の動的なクライアント ポート
(http://blogs.technet.com/askds/archive/2007/08/24/dynamic-client-ports-in-windows-server-2008-and-windows-vista-or-how-i-learned-to-stop-worrying-and-love-the-iana.aspx)
Active DirectoryActive Directory をファイアウォール経由で正常に動作させるには、クライアントからドメイン コントローラーに対してファイアウォール経由でインターネット制御メッセージ プロトコル (ICMP) プロトコルを使用することができ、クライアントがグループ ポリシー情報を受信できる必要があります。ICMP は、リンクが低速リンクまたは高速リンクのいずれであるかを判断するために使用されます。ICMP は、Active Directory がグループ ポリシーの検出と最大転送ユニット (MTU) の検出に使用する正規のプロトコルです。また、Windows リダイレクターでも、接続を確立する前にサーバーの IP が DNS で解決されることを確認するために ICMP が使用されます。 ICMP トラフィックを最小限に抑えるには、次のファイアウォール規則のサンプルを使用できます。 <any> ICMP -> DC IP addr = allow TCP プロトコル層や、UDP プロトコル層とは異なり、ICMP は IP 層で直接ホストされるため、ポート番号がありません。 既定では、Windows Server 2003 および Windows 2000 Server の DNS サーバーは、他の DNS サーバーに問い合わせを行う場合、一時的なクライアント側ポート (ephemeral ポート) を使用します。ただし、この動作は、以下のサポート技術情報の資料に記載されている特定のレジストリ設定で変更されている場合があります。 260186?
(http://support.microsoft.com/kb/260186/
)
SendPort DNS レジストリ キーが予期したとおりに動作しない Active Directory とファイアウォールの構成の詳細については、マイクロソフトのホワイト ペーパー『Active Directory in Networks Segmented by Firewalls』を参照してください。参照するには、次のマイクロソフト Web サイトにアクセスしてください。 http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en
(http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en)
この他に、Point-to-Point トンネリング プロトコル (PPTP) 強制トンネルを介して信頼関係を確立する方法があります。これにより、ファイアウォールで開く必要のあるポート数が制限されます。PPTP では、次のポートを有効にする必要があります。
元に戻す
注: 信頼される側のドメインのユーザーに対して信頼する側のドメインのリソースへのアクセス許可を追加した場合、Windows 2000 と Windows NT 4.0 とでは、動作に若干の違いがあります。コンピューターがリモート ドメインのユーザー一覧を表示できない場合の動作を以下に示します。
この資料は以下の製品について記述したものです。
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。" | サポート技術情報の翻訳
|
| United States | Change | | | All Microsoft Sites |
先頭へ戻る
|
