特定のポートへの Active Directory レブリケーション トラフィックおよびクライアント RPC トラフィックの制限

文書翻訳 文書翻訳
文書番号: 224196 - 対象製品
この記事は、以前は次の ID で公開されていました: JP224196
すべて展開する | すべて折りたたむ

目次

概要

既定では、Active Directory レプリケーションのリモート プロシージャ コール (RPC) は、ポート 135 を使用し RPC Endpoint Mapper (RPCSS) を介して、利用可能なポートで動的に発生します。この処理は、Microsoft Exchange で行われる処理と同じです。Microsoft Exchange と同様に、管理者はこの機能を変更して、すべての Active Directory RPC トラフィックが通過するポートを指定することができます。この手順によりポートが制限されます。

「詳細」に記載されているレジストリ エントリによって使用するポートを指定する場合は、Active Directory サーバー側のレプリケーション トラフィックとクライアントの RPC トラフィックの両方が、エンドポイント マッパーによって指定したポートに送信されます。この構成が可能なのは、Active Directory でサポートされるすべての RPC インターフェイスが、リッスン中のすべてのポートで実行されているためです。

: この資料は、ファイアウォールを介してレプリケーションが実行できることを示すものではありません。ファイアウォールを介してレプリケーションを実行するには、追加のポートを開く必要があります。たとえば、Kerberos プロトコルを使用するためには追加のポートを開く必要があります。ファイアウォールを介したサーバーに必要なポートの一覧を取得するには、以下のサポート技術情報番号をクリックしてください。
832017 Windows サーバー システムのサービス概要およびネットワーク ポート要件

詳細

重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756 Windows XP でレジストリをバックアップおよび復元する方法
RPC エンドポイントに接続する場合、クライアントの RPC ランタイムはサーバーの RPC エンドポイント マッパー (RPCSS) と既知のポート (135) で通信し、サービスをサポートする任意の RPC インターフェイスと接続するポートを取得します。ここでは、クライアントが完全なバインド順を知らないことを前提としています。これは、すべての AD RPC サービスに当てはまります。

サービスは、スタート時に 1 つ以上のエンドポイントを登録し、動的に割り当てられたポートまたは指定されたポートを使用します。

以下のエントリのように、Active Directory および Netlogon を "port x" で実行するように構成した場合には、標準の動的なポートに加えて、エンドポイント マッパーで登録されたポートを使用します。

レジストリ エディターを使用して、制限されたポートを使用する各ドメイン コントローラーの次の値を変更します。メンバー サーバーはログオン サーバーとは見なしません。そのため、NTDS および Netlogon の静的ポート割り当ては反映されません。

レジストリ キー 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

レジストリの値TCP/IP Port
値の種類: REG_DWORD
値のデータ:(利用可能なポート)

レジストリ キー 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

レジストリの値DCTcpipPort
値の種類: REG_DWORD
値のデータ:(利用可能なポート)
"TCP/IP Port" を使用する場合は、Lsass.exe で実行されているすべての RPC サーバーがこのポートを使用します。これには、Netlogon RPC インターフェイスも含まれます。したがって、ほとんどの配置で "DCTcpipPort" 設定は必要ありません。Lsass.exe で実行されている他の PRC インターフェイスとは異なるポートを使用する緊急の必要性が生じた場合のみ、"DCTcpipPort" を設定することをお勧めします。

ドメイン コントローラー間でパケットのフィルター処理を行うネットワーク機器またはソフトウェアが使用されている場合は、指定したポートを介した通信が有効になっていることを確認してください。

注: DCTcpipPort レジストリ エントリを使用する場合、TCP/IP Port レジストリ エントリと同じポートを設定すると、NTDS\Parameters の下に Netlogon エラー イベント 5809 が表示されます。これは、構成されたポートが使用中であることを示しています。この場合は、DCTcpipPort レジストリ エントリを削除してください。一意のポートを使用していて、Netlogon サービスをドメイン コントローラー上で再起動した場合にも、同じイベントが表示されます。これは仕様であり、RPC ランタイムがそのサーバーのポートを管理する方法により発生します。Netlogon サービスを停止しても、Netlogon のポートはランタイムに登録されたままです。ポートは再起動後に使用されるようになるため、このイベントは無視しても問題ありません。

多くの場合、AD と FRS のレプリケーションは同じドメイン コントローラーでレプリケートされるため、ファイル レプリケーション サービス (FRS) RPC ポートを手動で設定する必要があります。ファイル レプリケーション サービス (FRS) RPC ポートは、別のポートを使用する必要があります。 関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
319553 FRS 複製トラフィックを特定の静的ポートへ制限する方法

ファイアウォールを経由したアクセスやログオンを制御するために Active Directory のレプリケーションを RPC ポートに使用できる範囲外の固定ポートに設定する場合、アクセスやログオンを許可するためにはレプリケーション ポートおよび動的 RPC ポートがファイアウォールで開かれている必要があります。これは、ログオンでユーザーのマッピングにレプリケーション ポートが使用されるためです。

Active Directory レプリケーションを、RPC ポートに使用できる範囲外の固定ポートに設定することができます。ファイアウォールを経由したアクセスおよびログオンを制御する場合にこれを行います。そのため、レプリケーションおよび Netlogon のポートがファイアウォールで開かれている必要があります。これは、ログオン処理でユーザーのマッピングにレプリケーション ポートが使用されるためです。
RPC エンドポイント マッパーについての関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
154596 ファイアウォールで動作するように RPC の動的ポート割り当てを構成する方法

プロパティ

文書番号: 224196 - 最終更新日: 2010年5月14日 - リビジョン: 12.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
キーワード:?
kbenv kbinfo KB224196
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com