Active Directory ドメインと信頼のファイアウォールを構成する方法
この記事では、Active Directory ドメインと信頼のファイアウォールを構成する方法について説明します。
適用対象: Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 Standard、Windows Server 2012 Standard
元の KB 番号: 179442
注:
すべてのシナリオで、次の表に示すすべてのポートが必要なわけではありません。 たとえば、ファイアウォールでメンバーと DC が分離されている場合、FRS または DFSR ポートを開く必要はありません。 また、SSL/TLS で LDAP を使用するクライアントがないことがわかっている場合は、ポート 636 と 3269 を開く必要はありません。
詳細
注:
2 つのドメイン コントローラーはどちらも同じフォレストに存在するか、2 つのドメイン コントローラーは両方とも別のフォレストにあります。 また、フォレスト内の信頼は、Windows Server 2003 の信頼またはそれ以降のバージョンの信頼です。
| クライアント ポート | サーバー ポート | サービス |
|---|---|---|
| 1024-65535/TCP | 135/TCP | RPC エンドポイント マッパー |
| 1024-65535/TCP | 1024-65535/TCP | RPC for LSA、SAM、NetLogon (*) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
NetBIOS ベースの通信のみをサポートするドメインへの信頼が構成されている場合、Windows NT 用に一覧表示されている NetBIOS ポートは Windows 2000 および Windows Server 2003 にも必要です。 たとえば、Windows NT ベースのオペレーティング システムや、Samba に基づくサード パーティのドメイン コントローラーなどがあります。
LSA RPC サービスで使用される RPC サーバー ポートを定義する方法の詳細については、次を参照してください。
- Active Directory RPC トラフィックを特定のポートに制限する。
- 「Windows のサービス概要およびネットワーク ポート要件」の「ドメイン コントローラーと Active Directory」セクション。
Windows Server 2008 以降のバージョン
Windows Server 2008 の新しいバージョンの Windows Server では、送信接続の動的クライアント ポート範囲が増えています。 新しい既定の開始ポートは 49152、新しい既定の終了ポートは 65535 です。 そのため、ファイアウォールの RPC ポート範囲を増やす必要があります。 この変更は、Internet Assigned Numbers Authority (IANA) の推奨事項に準拠するために行われました。 これは、Windows Server 2003 ドメイン コントローラー、Windows 2000 サーバー ベースのドメイン コントローラー、または既定の動的ポート範囲が 1025 ~ 5000 のレガシ クライアントで構成される混合モード ドメインとは異なります。
Windows Server 2012 および Windows Server 2012 R2 の動的ポート範囲の変更の詳細については、次を参照してください。
| クライアント ポート | サーバー ポート | サービス |
|---|---|---|
| 49152-65535/UDP | 123/UDP | W32Time |
| 49152-65535/TCP | 135/TCP | RPC エンドポイント マッパー |
| 49152-65535/TCP | 464/TCP/UDP | Kerberos パスワード変更 |
| 49152-65535/TCP | 49152-65535/TCP | RPC for LSA、SAM、NetLogon (*) |
| 49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152-65535/TCP | 636/TCP | LDAP SSL |
| 49152-65535/TCP | 3268/TCP | LDAP GC |
| 49152-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152-65535/TCP | 49152-65535/TCP | FRS RPC (*) |
| 49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152-65535/TCP/UDP | 445/TCP | SMB (**) |
| 49152-65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
NetBIOS ベースの通信のみをサポートするドメインへの信頼が構成されている場合、Windows NT 用に一覧表示されている NetBIOS ポートは Windows 2000 および Server 2003 にも必要です。 たとえば、Windows NT ベースのオペレーティング システムや、Samba に基づくサード パーティのドメイン コントローラーなどがあります。
(*) LSA RPC サービスで使用される RPC サーバー ポートを定義する方法については、次を参照してください。
- Active Directory RPC トラフィックを特定のポートに制限する。
- 「Windows のサービス概要およびネットワーク ポート要件」の「ドメイン コントローラーと Active Directory」セクション。
(**) 信頼の操作では、このポートは必要ありません。信頼の作成にのみ使用されます。
注:
外部信頼 123/UDP は、外部信頼全体でサーバーと同期するように Windows タイム サービスを手動で構成した場合にのみ必要です。
Active Directory
Microsoft LDAP クライアントは、LDAP 要求が長時間保留中で、応答を待機するときに ICMP ping を使用します。 ping 要求を送信して、サーバーがネットワーク上に残っているかどうかを確認します。 ping 応答を受信しない場合は、LDAP_TIMEOUT で LDAP 要求が失敗します。
Windows リダイレクターでは、ICMP Ping メッセージも使用して、接続が確立される前にサーバー IP が DNS サービスによって解決されていることと、DFS を使用してサーバーが配置されていることを確認します。 ICMP トラフィックを最小限に抑える場合は、次のファイアウォール規則の例を使用できます。
<任意の> ICMP -> DC IP addr = allow
TCP プロトコル層と UDP プロトコル層とは異なり、ICMP にはポート番号がありません。 これは、ICMP が IP レイヤーによって直接ホストされるためです。
既定では、Windows Server 2003 および Windows 2000 Server DNS サーバーは、他の DNS サーバーにクエリを実行するときに、一時的なクライアント側ポートを使用します。 ただし、この動作は、特定のレジストリ設定によって変更される場合があります。 または、Point-to-Point トンネリング プロトコル (PPTP) 強制トンネルを使用して信頼を確立することもできます。 これにより、ファイアウォールが開く必要があるポートの数が制限されます。 PPTP の場合は、次のポートを有効にする必要があります。
| クライアント ポート | サーバー ポート | プロトコル |
|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
さらに、IP PROTOCOL 47 (GRE) を有効にする必要があります。
注:
信頼されたドメイン内のユーザーの信頼するドメインのリソースにアクセス許可を追加する場合、Windows 2000 と Windows NT 4.0 の動作にはいくつかの違いがあります。 コンピューターがリモート ドメインのユーザーの一覧を表示できない場合は、次の動作を検討してください。
- Windows NT 4.0 では、リモート ユーザーのドメイン (UDP 138) の PDC に接続して、手動で入力された名前を解決しようとします。 その通信が失敗した場合、Windows NT 4.0 ベースのコンピューターは独自の PDC に接続し、名前の解決を求めます。
- Windows 2000 および Windows Server 2003 も、UDP 138 を介した解決のために、リモート ユーザーの PDC に接続しようとします。 ただし、独自の PDC の使用には依存しません。 リソースへのアクセスを許可するすべての Windows 2000 ベースのメンバー サーバーと Windows Server 2003 ベースのメンバー サーバーに、リモート PDC への UDP 138 接続があることを確認します。
参照
「Windows のサービス概要およびネットワーク ポート要件」は、Microsoft Windows Server システムに含まれる、マイクロソフトのクライアントおよびサーバーのオペレーティング システム、サーバー ベースのプログラム、およびそのサブコンポーネントで使用される、必須のネットワーク ポート、プロトコル、およびサービスの概要を示す貴重なリソースです。 管理者およびサポート担当者は、この資料をガイドとして使用することにより、マイクロソフトのオペレーティング システムおよびプログラムがセグメント化されたネットワークでネットワーク接続を行うのに必要なポートおよびプロトコルを確認することができます。
「Windows のサービス概要およびネットワーク ポート要件」のポート情報を使用して Windows ファイアウォールを構成しないでください。 Windows ファイアウォールを構成する方法の詳細については、「セキュリティが強化された Windows ファイアウォール」を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示