ドメイン環境で使用されるポートについて

ファイアウォールでドメインコントローラを守りたい

ドメイン コントローラ (DC) を外部からの攻撃から保護するため、DC とクライアント並びにDC 間にファイア ウォールを設けたいと考えることがあるかと思います。しかし、だからといって何でもファイアウォールでブロックしてしまうと、ログオンや DC 間の複製までもができなくなってしまいます。そのため、ファイアウォールにてポートやサービスの例外を設定して、Active Directory 環境として必要な通信を許可する必要があります。

 

今回は Active Directory 環境で必要となるポートについてまとめてみました。

 

1. ドメイン メンバーが利用するポート

ドメインのメンバーがドメインに参加する、またはドメインにログオンする際には、そのドメインの DC と通信する必要があります。

この時に DC 側、クライアント側で使用されるポートの一覧は以下の通りです。

 

ポートを使用するサービス

プロトコル

クライアント側ポート番号

DC 側ポート番号

PING

ICMP

 

 

DNS

TCP/UDP

一時ポート

53

Kerberos

TCP/UDP

一時ポート

88

NTP

UDP

123

123

RPC

TCP

一時ポート

135

RPC

TCP

一時ポート

一時ポート

NetBIOS-ns

UDP

137

137

NetBIOS-dgm

UDP

138

138

NetBIOS-ssn

TCP

一時ポート

139

LDAP

TCP/UDP

一時ポート

389

SMB

TCP

一時ポート

445

KPasswd

TCP

一時ポート

464

LDAP GC

TCP

一時ポート

3268

LDAP SSL

TCP

一時ポート

636

LDAP GC SSL

TCP

一時ポート

3269

AD DS Web Services

TCP

一時ポート

9389

 

注:既定の一時ポートは Windows XP と Windows Vista で異なりますので注意が必要です。

  Windows XP および Windows Server 2003 : 1025-5000

  Windows Vista および Windows Server 2008 以降: 49152-65535

LDAP SSL / LDAP GC SSL は、これらを利用するように構成されたアプリケーションが無ければ、ログオン時には利用されません。また、同様に AD DS Web Services もメンバーから PowerShell を利用して Active Directory に接続するなどの要件がなければ利用されません。

- 参考

Title : 動的な TCP/IP の既定のポート範囲が Windows Vista とWindows Server 2008に変更しました。

https://support.microsoft.com/kb/929851 

 

 

2. DC 間の通信に使用されるポート

AD 環境に複数の DC が存在する場合、DC 間ではグループ ポリシーやオブジェクトの情報などが定期的に複製されるなど、さまざまな通信が発生します。もし、DC 間の通信が正しく行えないと、たとえば複製が正しく行えず、新しくドメインに参加したユーザーの情報を持っていない DC では認証に失敗してしまったり、接続する DC によって有効になるポリシーが異なってしまったりという問題が発生してしまいます。

 

そのため、Windows Server 2008 の DC 間で通信が正しく行えるように、以下のポートを使用した通信を許可する必要があります。

ポートを使用するサービス

プロトコル

送信元ポート番号

宛先ポート番号

WINS

TCP

一時ポート

42

DNS

TCP/UDP

一時ポート

53

Kerberos

TCP/UDP

一時ポート

88

NTP

UDP

123

123

RPC

TCP

一時ポート

135

RPC

TCP

一時ポート

一時ポート

LDAP

TCP/UDP

一時ポート

389

SMB

TCP

一時ポート

445

DFSR

TCP

一時ポート

5722

* Windows Server 2008 の一時ポートは 49152-65535 です。

* WINS は利用している場合のみ

 

ここで注意しておきたい部分は DFSR の TCP 5722 が含まれていることです。これはドメイン機能レベルが Windows Server 2008、かつ SYSVOL の複製を既存の FRS (File Replication Service) ではなく、DFSR (DFS Replication) を使用する場合になります。ただし、TCP 5722 は Windows Server 2008 の DC または Windows Server 2008 R2 の DC のみで使用されます。 Windows Server 2012 以降の DC では使用されません。

 

また、Windows Server 2008 で忘れてはいけない機能として、読み取り専用ドメインコントローラ (RODC) の機能がありますが、RODC についても、複製の方向や複製される情報に違いはあるものの、やはり他の DC の情報を複製してくる必要があります。この場合においても、使用されるポートは、他の DC 間の複製で使用されるものと同じものとなります。