ファイアウォールのドメインとの信頼関係を構成する方法

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響します。 この変更の意味および保護された状態を維持する方法について説明します。

この記事は、以前は次の ID で公開されていました: JP179442
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:179442
スモール ビジネスのお客様の場合は、追加のトラブルシューティング ラーニング リソースを検索します。 スモール ビジネス向けのサポート サイトです。
概要
この記事は、ファイアウォールのドメインとの信頼関係を構成する方法について説明します。

注: 次の表に示すすべてのポートは、すべてのシナリオで必要があります。たとえば、ファイアウォールのメンバーと Dc を分離する場合は、FRS、または DFSR のポートを開く必要はありません。また、クライアントが SSL/TLS で LDAP を使用しないことがわかっている場合は、ポート 636 と 3269 を開く必要はありません。
詳細
ファイアウォールを介したドメインの信頼関係またはセキュリティ チャネルを確立するのには、次のポートを開く必要があります。ファイアウォールの両側にクライアントとサーバーの両方の役割を果たすホストがあることに注意してください。そのため、ポート規則をミラー化する必要があります。

Windows NT

この環境では、信頼の一方の側、Windows NT 4.0 の信頼、または信頼 NetBIOS 名を使用して作成されました。
クライアント ポートサーバー ポートサービス
137/UDP137/UDPNetBIOS 名
138 UDP と138 UDP とNetBIOS Netlogon と参照
1024 ~ 65535/TCP139/TCPNetBIOS セッション
1024 ~ 65535/TCP42 と TCPWINS のレプリケーション

Windows Server 2003 と Windows 2000 Server

Windows NT のドメイン コント ローラーまたはレガシ クライアントを使用する混在モード ドメイン、Windows Server 2003 ベースのドメイン コント ローラーと Windows 2000 Server ベースのドメイン コント ローラーが前の表に記載されているすべてのポートを Windows NT だけでなく、次のポートを開けませんする必要がありますの間の関係を信頼します。

メモ 2 つのドメイン コント ローラーの両方で同じです。両方は別のフォレストは、フォレスト、または 2 つのドメイン コント ローラーです。また、フォレストの信頼でください。Windows Server 2003 の信頼またはそれ以降のバージョンの信頼。
クライアント ポートサーバー ポートサービス
1024 ~ 65535/TCP135 と TCPRPC エンドポイント マッパー
1024 ~ 65535/TCP1024 ~ 65535/TCPLSA は SAM に Netlogon (*) 用の RPC
1024 ~ 65535/TCP または UDP389/TCP/UDPLDAP
1024 ~ 65535/TCP636 と TCPLDAP SSL
1024 ~ 65535/TCP3268 TCP/LDAP の GC
1024 ~ 65535/TCPTCP 3269/LDAP GC SSL
53,1024 ~ 65535/TCP または UDP53/TCP または UDPDNS
1024 ~ 65535/TCP または UDP88/TCP または UDPKerberos
1024 ~ 65535/TCPTCP 445/SMB
1024 ~ 65535/TCP1024 ~ 65535/TCPFRS の RPC (*)
Windows NT に記載されている NETBIOS ポートは、NETBIOS ベースの通信のみをサポートするドメインへの信頼が構成されている場合にも Windows 2000 と Windows Server 2003 の必要です。例としては、Windows NT ベースのオペレーティング システムやサードパーティ ドメイン コント ローラーに基づいています。

(*)LSA の RPC サービスによって使用されている RPC サーバー ポートを定義する方法については、以下の「サポート技術情報の文書を参照してください。

Windows Server 2008 および Windows Server 2008 R2

Windows Server 2008 および Windows Server 2008 R2 の発信接続の動的なクライアント ポートの範囲が向上しました。新しい既定の開始ポート 49152 をされ、既定の終了ポートは 65535 です。したがって、あなたはファイアウォールで RPC ポートの範囲を上げる必要があります。この変更は、インターネット割り当て番号機関 (IANA) の推奨事項に準拠するために加えられました。これは、1025 ~ 5000 の既定の動的ポートの範囲がドメイン コント ローラーの Windows Server 2003、Windows 2000 Server ベースのドメイン コント ローラー、または、レガシ クライアントの構成は、混在モードのドメインとは異なります。

Windows Server 2008 および Windows Server 2008 R2 の動的ポートの範囲変更の詳細については、次のリソースを参照してください。
クライアント ポートサーバー ポートサービス
49152-65535/UDP123/UDPW32Time
49152-65535/TCP135 と TCPRPC エンドポイント マッパー
49152-65535/TCP464/TCP または UDPKerberos パスワードの変更
49152-65535/TCP49152 ~ 65535/TCPLSA は SAM に Netlogon (*) 用の RPC
49152-65535/TCP/UDP389/TCP/UDPLDAP
49152-65535/TCP636 と TCPLDAP SSL
49152-65535/TCP3268 TCP/LDAP の GC
49152-65535/TCPTCP 3269/LDAP GC SSL
53、49152-65535/TCP/UDP53/TCP または UDPDNS
49152-65535/TCP49152-65535/TCPFRS の RPC (*)
49152-65535/TCP/UDP88/TCP または UDPKerberos
49152-65535/TCP/UDPTCP 445/SMB (*)
49152-65535/TCP49152 ~ 65535/TCPDFSR RPC (*)
Windows NT に記載されている NETBIOS ポートは、NETBIOS ベースの通信のみをサポートするドメインへの信頼が構成されている場合にも Windows 2000 および Server 2003 に必要なです。例としては、Windows NT ベースのオペレーティング システムやサードパーティ ドメイン コント ローラーに基づいています。

(*)LSA の RPC サービスによって使用されている RPC サーバー ポートを定義する方法については、以下の「サポート技術情報の文書を参照してください。 (**)操作は、信頼のこのポートは必須ではありません、信頼の作成に使用されます。


注: 外部の信頼の 123/UDP は、手動で Windows タイム サービスの同期をとるサーバーと外部の信頼で設定した場合にのみ必要です。

アクティブ ディレクトリ

ファイアウォールを介して Active Directory グループ ポリシー クライアントが正しく機能することができますように、Windows 2000 および Windows XP では、インターネット制御メッセージ プロトコル (ICMP) がファイアウォールを通過、クライアントからドメイン コント ローラーに許可しなければなりません。ICMP は、リンクが低速リンクまたは高速リンクであるかどうかを判断する使用されます。

ネットワーク位置認識サービスは Windows Server 2008 とそれ以降のバージョンでは、ベースのトラフィックを他のステーションがネットワーク上で帯域幅の推定値を提供します。トラフィックの見積もりを生成されていません。

Windows リダイレクターは ICMP を使用してサーバーの IP、DNS サービスが接続を確立する前に、DFS を使用して、サーバーにある場合解決されてことを確認します。SYSVOL アクセス ドメイン メンバーによって適用されます。

ICMP トラフィックを最小限に抑えたい場合は、次の使用することができます。ファイアウォール ルールのサンプル:
<any> ICMP -> DC IP addr = allow

TCP プロトコル層および UDP とは異なりプロトコル層、ICMP はポート番号はありません。これは、ICMP であるためにです。直接 IP 層によってホストされています。

他の DNS サーバーを照会する場合既定では、Windows Server 2003 および Windows 2000 Server の DNS サーバ一時的なクライアント側のポートを使用します。ただし、この動作は、特定のレジストリ設定で変更できます。詳細については、マイクロソフト サポート技術情報の記事を参照してください。 260186: 送信ポートの DNS レジストリ キー機能しないが期待どおりに

Active Directory およびファイアウォールの構成の詳細についてを参照してください、 ファイアウォールによってセグメント化されたネットワークで active Directoryマイクロソフトのホワイト ペーパー。または、ポイント ツー ポイント トンネリング プロトコル (PPTP) 強制トンネルを介して信頼関係を確立することができます。ファイアウォールを開く必要があるポートの数を制限します。PPTP では、次のポートを有効にする必要があります。
クライアント ポートサーバー ポートプロトコル
1024 ~ 65535/TCP1723 と TCPPPTP
さらに、IP プロトコル 47 を有効にする必要があります。(GRE)。

メモ リソース、リモート ドメインが信頼される側のドメイン内のユーザーのアクセス許可を追加すると、いくつかは Windows 2000 と Windows NT 4.0 の動作の違いです。コンピューターは、リモート ドメインのユーザーの一覧を表示することはできない場合は、次の現象を考慮してください。
  • Windows NT 4.0 での手動で入力した名前を解決しようとしました。pdc はリモート ユーザーのドメイン (UDP 138 経由で。その場合は通信に失敗する、Windows NT 4.0 ベースのコンピューターに接続それ自体の PDC と名前の解決を要求します。
  • Windows 2000 および Windows Server 2003 も解決のために UDP 138 経由でリモート ユーザーの pdc にします。しかし、その独自の PDC を使用して避けてください。すべての Windows 2000 ベースのメンバー サーバーおよびリソースへのアクセスを許可する Windows Server 2003 ベースのメンバー サーバーにリモート PDC への UDP 138 接続があることを確認してください。
その他のリソース
tcpip

警告: この記事は自動翻訳されています

プロパティ

文書番号:179442 - 最終更新日: 07/16/2013 01:11:00 - リビジョン: 22.1

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional, Microsoft Windows NT Server 4.0 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Windows Web Server 2008 R2

  • kbenv kbhowto kbnetwork kbmt KB179442 KbMtja
フィードバック