Active Directory ドメインと信頼関係用にファイアウォールを構成する方法

適用対象: Windows Server 2008 StandardWindows Server 2008 R2 StandardMicrosoft Windows Server 2003 Standard Edition (32-bit x86)

概要


この記事では、Active Directory ドメインと信頼関係用にファイアウォールを構成する方法について説明します。 

 

詳細情報


クライアントポート サーバーポート サービス名
1024-65535/TCP 135/TCP RPC エンドポイントマッパー
1024-65535/TCP 1024-65535/TCP LSA、SAM、Netlogon (*) の RPC
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS RPC (*)
NETBIOS ベースの通信のみをサポートするドメインへの信頼が構成されている場合、windows NT で一覧表示されている NETBIOS ポートも 2003 2000 必要になります。 例としては、Windows NT ベースのオペレーティングシステムまたは Samba に基づくサードパーティ製のドメインコントローラーがあります。(*)LSA RPC サービスによって使用される RPC サーバーポートの定義方法については、次の Microsoft サポート技術情報の記事を参照してください。 

Windows Server 2008 以降のバージョン

Windows Server 2008 の新しいバージョンの Windows Server では、送信接続の動的クライアントポート範囲が拡張されています。 新しい既定の開始ポートは49152で、既定の終了ポートは65535です。 したがって、ファイアウォールで RPC ポート範囲を増やす必要があります。 この変更は、インターネット割り当て番号機関 (IANA) の推奨事項に準拠するために加えられました。 これは、Windows Server 2003 ドメインコントローラー、Windows 2000 サーバーベースのドメインコントローラー、または既定の動的ポートの範囲が 1025 ~ 5000 で構成されている混在モードのドメインとは異なります。Windows Server 2008、windows server 2012、および Windows Server 2012 R2 の動的ポート範囲の変更の詳細については、次のリソースを参照してください。 
クライアントポート サーバーポート サービス名
49152-65535/UDP 123/UDP W32Time
49152-65,535/TCP 135/TCP RPC エンドポイントマッパー
49152-65,535/TCP 464/TCP/UDP Kerberos パスワードの変更
49152-65,535/TCP 49152-65535/TCP LSA、SAM、Netlogon (*) の RPC
49152-65,535/TCP/UDP 389/TCP/UDP LDAP
49152-65,535/TCP 636/TCP LDAP SSL
49152-65,535/TCP 3268/TCP LDAP GC
49152-65,535/TCP 3269/TCP LDAP GC SSL
53、49152、TCP/UDP 53/TCP/UDP DNS
49152-65,535/TCP 49152-65,535/TCP FRS RPC (*)
49152-65,535/TCP/UDP 88/TCP/UDP Kerberos
49152-65,535/TCP/UDP 445/TCP SMB (* *)
49152-65,535/TCP 49152-65535/TCP DFSR RPC (*)
ドメインへの信頼が NETBIOS ベースの通信のみをサポートするように構成されている場合、Windows NT で一覧表示されている NETBIOS ポートも 2003 2000 必要になります。 例としては、Windows NT ベースのオペレーティングシステムまたは Samba に基づくサードパーティ製のドメインコントローラーがあります。(*)LSA RPC サービスによって使用される RPC サーバーポートの定義方法については、次の Microsoft サポート技術情報の記事を参照してください。(**)このポートは必須ではありません。信頼の作成のみに使用されます。 

Active Directory

Windows 2000 および Windows XP では、Active Directory グループポリシークライアントがファイアウォール経由で正常に動作するように、ファイアウォールを介してクライアントからドメインコントローラーにインターネット制御メッセージプロトコル (ICMP) が許可されている必要があります。 ICMP は、リンクが低速リンクであるか、高速リンクであるかを特定するために使用されます。Windows Server 2008 以降のバージョンでは、ネットワーク上の他のステーションとのトラフィックに基づいて帯域幅の見積もりが提供されます。 推定のために生成されたトラフィックはありません。

また、Windows リダイレクターは ICMP Ping メッセージを使用して、接続が確立される前にサーバーの IP が DNS サービスによって解決されたかどうかを確認します。また、DFS を使用してサーバーが配置されている場合も確認できます。

ICMP トラフィックを最小化する場合は、次のファイアウォール規則を使用できます。
<any> ICMP -> DC IP addr = allow 
TCP プロトコルレイヤーと UDP プロトコルレイヤーとは異なり、ICMP にはポート番号がありません。 これは、ICMP が IP レイヤーによって直接ホストされているためです。既定では、Windows Server 2003 および Windows 2000 Server の DNS サーバーは、他の DNS サーバーを照会するときに、一時的なクライアント側ポートを使用します。 ただし、この動作は特定のレジストリ設定によって変更される可能性があります。 詳細については、「Microsoft サポート技術情報の記事260186: DNS レジストリキーが予期したとおりに動作しない」を参照してください。
または、ポイントツーポイントトンネリングプロトコル (PPTP) の強制トンネルを介して信頼を確立することもできます。 これにより、ファイアウォールが開くことができるポートの数が制限されます。 PPTP の場合は、次のポートを有効にする必要があります。  
クライアントポート サーバーポート プロトコル
1024-65535/TCP 1723/TCP PPTP

さらに、IP PROTOCOL 47 (GRE) を有効にする必要があります。

    関連情報


    832017: Windows server システムのサービスの概要とネットワークポートの要件は、microsoft クライアントとサーバーのオペレーティングシステム、サーバーベースのプログラム、および Microsoft Windows server システムのサブコンポーネントで使用される必要なネットワークポート、プロトコル、サービスのアウトラインを作成するうえで重要なリソースとなります。 管理者とサポート担当者は、この Microsoft サポート技術情報の記事を、セグメント化されたネットワークでのネットワーク接続に必要な Microsoft オペレーティングシステムおよびプログラムのロードマップとして使用することができます。サポート技術情報の記事832017に記載されているポート情報を使用して、Windows ファイアウォールを構成することは避けてください。 Windows ファイアウォールを構成する方法については、次の Microsoft web サイトを参照してください。 

    ネットワークとアクセステクノロジ: Windows ファイアウォール