現在オフラインです。再接続するためにインターネットの接続を待っています

特定のポートへの Active Directory レブリケーション トラフィックおよびクライアント RPC トラフィックの制限

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

この記事は、以前は次の ID で公開されていました: JP224196
概要
既定では、Active Directory レプリケーションのリモート プロシージャ コール (RPC) は、ポート 135 を使用し RPC Endpoint Mapper (RPCSS) を介して、利用可能なポートで動的に発生します。この処理は、Microsoft Exchange で行われる処理と同じです。Microsoft Exchange と同様に、管理者はこの機能を変更して、すべての Active Directory RPC トラフィックが通過するポートを指定することができます。この手順によりポートが制限されます。

「詳細」に記載されているレジストリ エントリによって使用するポートを指定する場合は、Active Directory サーバー側のレプリケーション トラフィックとクライアントの RPC トラフィックの両方が、エンドポイント マッパーによって指定したポートに送信されます。この構成が可能なのは、Active Directory でサポートされるすべての RPC インターフェイスが、リッスン中のすべてのポートで実行されているためです。

: この資料は、ファイアウォールを介してレプリケーションが実行できることを示すものではありません。ファイアウォールを介してレプリケーションを実行するには、追加のポートを開く必要があります。たとえば、Kerberos プロトコルを使用するためには追加のポートを開く必要があります。ファイアウォールを介したサーバーに必要なポートの一覧を取得するには、以下のサポート技術情報番号をクリックしてください。
832017 Windows サーバー システムのサービス概要およびネットワーク ポート要件
詳細
重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756 Windows XP でレジストリをバックアップおよび復元する方法
RPC エンドポイントに接続する場合、クライアントの RPC ランタイムはサーバーの RPC エンドポイント マッパー (RPCSS) と既知のポート (135) で通信し、サービスをサポートする任意の RPC インターフェイスと接続するポートを取得します。ここでは、クライアントが完全なバインド順を知らないことを前提としています。これは、すべての AD RPC サービスに当てはまります。

サービスは、スタート時に 1 つ以上のエンドポイントを登録し、動的に割り当てられたポートまたは指定されたポートを使用します。

以下のエントリのように、Active Directory および Netlogon を "port x" で実行するように構成した場合には、標準の動的なポートに加えて、エンドポイント マッパーで登録されたポートを使用します。

レジストリ エディターを使用して、制限されたポートを使用する各ドメイン コントローラーの次の値を変更します。メンバー サーバーはログオン サーバーとは見なしません。そのため、NTDS および Netlogon の静的ポート割り当ては反映されません。

レジストリ キー 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

レジストリの値TCP/IP Port
値の種類: REG_DWORD
値のデータ:(利用可能なポート)

レジストリ キー 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

レジストリの値DCTcpipPort
値の種類: REG_DWORD
値のデータ:(利用可能なポート)
"TCP/IP Port" を使用する場合は、Lsass.exe で実行されているすべての RPC サーバーがこのポートを使用します。これには、Netlogon RPC インターフェイスも含まれます。したがって、ほとんどの配置で "DCTcpipPort" 設定は必要ありません。Lsass.exe で実行されている他の PRC インターフェイスとは異なるポートを使用する緊急の必要性が生じた場合のみ、"DCTcpipPort" を設定することをお勧めします。

ドメイン コントローラー間でパケットのフィルター処理を行うネットワーク機器またはソフトウェアが使用されている場合は、指定したポートを介した通信が有効になっていることを確認してください。

注: DCTcpipPort レジストリ エントリを使用する場合、TCP/IP Port レジストリ エントリと同じポートを設定すると、NTDS\Parameters の下に Netlogon エラー イベント 5809 が表示されます。これは、構成されたポートが使用中であることを示しています。この場合は、DCTcpipPort レジストリ エントリを削除してください。一意のポートを使用していて、Netlogon サービスをドメイン コントローラー上で再起動した場合にも、同じイベントが表示されます。これは仕様であり、RPC ランタイムがそのサーバーのポートを管理する方法により発生します。Netlogon サービスを停止しても、Netlogon のポートはランタイムに登録されたままです。ポートは再起動後に使用されるようになるため、このイベントは無視しても問題ありません。

多くの場合、AD と FRS のレプリケーションは同じドメイン コントローラーでレプリケートされるため、ファイル レプリケーション サービス (FRS) RPC ポートを手動で設定する必要があります。ファイル レプリケーション サービス (FRS) RPC ポートは、別のポートを使用する必要があります。関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
319553FRS 複製トラフィックを特定の静的ポートへ制限する方法

ファイアウォールを経由したアクセスやログオンを制御するために Active Directory のレプリケーションを RPC ポートに使用できる範囲外の固定ポートに設定する場合、アクセスやログオンを許可するためにはレプリケーション ポートおよび動的 RPC ポートがファイアウォールで開かれている必要があります。これは、ログオンでユーザーのマッピングにレプリケーション ポートが使用されるためです。

Active Directory レプリケーションを、RPC ポートに使用できる範囲外の固定ポートに設定することができます。ファイアウォールを経由したアクセスおよびログオンを制御する場合にこれを行います。そのため、レプリケーションおよび Netlogon のポートがファイアウォールで開かれている必要があります。これは、ログオン処理でユーザーのマッピングにレプリケーション ポートが使用されるためです。
RPC エンドポイント マッパーについての関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
154596ファイアウォールで動作するように RPC の動的ポート割り当てを構成する方法
プロパティ

文書番号:224196 - 最終更新日: 05/14/2010 14:16:59 - リビジョン: 12.0

  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • kbenv kbinfo KB224196
フィードバック