文書番号: 179442 - 最終更新日: 2007年5月21日 - リビジョン: 10.1 ドメインの信頼関係を使用するためのファイアウォールの構成方法この記事は、以前は次の ID で公開されていました: JP179442 目次概要
この資料では、ドメインの信頼関係を使用するためのファイアウォールの構成方法について説明します。
詳細
ファイアウォールを介したドメインの信頼関係またはセキュリティ チャンネルを確立するには、次のポートを開く必要があります。ファイアウォールの両側にクライアントとサーバーの両方の役割を果たすホストが存在する場合があることに注意してください。場合によっては、ポート規則をミラー化する必要があります。
Windows NTこの環境では、信頼関係の一方は Windows NT 4.0 の信頼、または、NetBIOS 名を使用して作成された信頼です。元に戻す
Windows Server 2003 および Windows 2000 ServerWindows NT ドメイン コントローラまたはレガシ クライアントを使用する混在モードのドメイン、または、異なるフォレスト内に存在する 2 台の Windows Server 2003 ベースまたは Windows 2000 Server ベースのドメイン コントローラ間の信頼関係では、以下のポートに加えて、上記の表に記載されている Windows NT 用のすべてのポートを開くことが必要な場合があります。元に戻す
(*) LSA RPC サービスで使用する RPC サーバー ポートを定義する方法については、以下の「サポート技術情報」 (Microsoft Knowledge Base) の「ドメイン コントローラと Active Directory」を参照してください。 832017?
(http://support.microsoft.com/kb/832017/
)
Windows サーバー システムのサービス概要およびネットワーク ポート要件
Active Directory をファイアウォール経由で正常に動作させるには、クライアントからドメイン コントローラに対してファイアウォール経由でインターネット制御メッセージ プロトコル (ICMP) プロトコルを使用することができ、クライアントがグループ ポリシー情報を受信できる必要があります。
ICMP は、リンクが低速リンクまたは高速リンクのいずれであるかを判断するために使用されます。ICMP は、Active Directory がグループ ポリシーの検出と最大転送ユニット (MTU) の検出に使用する正規のプロトコルです。また、Windows リダイレクタでも、接続を確立する前にサーバーの IP が DNS で解決されることを確認するために ICMP が使用されます。 ICMP トラフィックを最小限に抑えるには、次のファイアウォール規則のサンプルを使用できます。 <any> ICMP -> DC IP addr = allow TCP プロトコル層や、UDP プロトコル層とは異なり、ICMP は IP 層で直接ホストされるため、ポート番号がありません。 注 : 上記の表のポート以外にも、RPC 通信用の特定の要件があります。 RPC サーバーでレジストリ設定を使用してファイアウォール用に RPC 通信を構成する方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。 154596?
(http://support.microsoft.com/kb/154596/
)
ファイアウォールで動作するように RPC の動的ポート割り当てを構成する方法
デフォルトでは、Windows Server 2003 および Windows 2000 Server の DNS サーバーは、他の DNS サーバーに問い合わせを行う場合、一時的なクライアント側ポート (ephemeral ポート) を使用します。ただし、この動作は、以下の「サポート技術情報」 (Microsoft Knowledge Base) に記載されている特定のレジストリ設定で変更されている場合があります。
260186?
(http://support.microsoft.com/kb/260186/
)
SendPort DNS レジストリ キーが予期したとおりに動作しない
Active Directory とファイアウォールの構成の詳細については、マイクロソフトのホワイト ペーパー『Active Directory in Networks Segmented by Firewalls』を参照してください。参照するには、次のマイクロソフト Web サイトにアクセスしてください。 http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en
(http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en)
この他に、Point-to-Point トンネリング プロトコル (PPTP) 強制トンネルを介して信頼関係を確立する方法があります。これにより、ファイアウォールで開く必要のあるポート数が制限されます。PPTP では、次のポートを有効にする必要があります。
元に戻す
また、IP PROTOCOL 47 (GRE) も有効にする必要があります。 注 : 信頼される側のドメインのユーザーに対して信頼する側のドメインのリソースへのアクセス許可を追加した場合、Windows 2000 と Windows NT 4.0 とでは、動作に若干の違いがあります。コンピュータがリモート ドメインのユーザー一覧を表示できない場合の動作を以下に示します。
この資料は以下の製品について記述したものです。
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。" | サポート技術情報の翻訳
|

先頭へ戻る
