Active Directory ドメインと信頼のファイアウォールを構成する方法

この記事では、Active Directory ドメインと信頼用のファイアウォールを構成する方法について説明します。

適用対象:  WindowsServer 2019、Windows Server 2016、Windows Server 2012 R2 Standard、Windows Server 2012 Standard
元の KB 番号:   179442

注意

すべてのシナリオで、ここに示されているすべてのポートが必要な場合があります。 たとえば、ファイアウォールがメンバーと PC を分離する場合は、FRS ポートまたは DFSR ポートを開く必要があります。 また、SSL/TLS で LDAP を使用するクライアントがない場合は、ポート 636 と 3269 を開く必要はありません。

詳細

注意

2 つのドメイン コントローラーは両方とも同じフォレスト内にあるか、2 つのドメイン コントローラーは両方とも別のフォレストにあります。 また、フォレスト内の信頼は、Server 2003 Windows以降のバージョンの信頼に基きます。

クライアント ポート サーバー ポート サービス
1024-65535/TCP 135/TCP RPC エンドポイント マッパー
1024-65535/TCP 1024-65535/TCP LSA、SAM、NetLogon (*) の RPC
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS RPC (*)

Windows NT 用にリストされている NetBIOS ポートは、NetBIOS ベースの通信のみをサポートするドメインへの信頼が構成されている場合、Windows 2000 および Windows Server 2003 にも必要です。 たとえば、Windows NTベースのオペレーティング システムや、Samba に基づくサード パーティ製のドメイン コントローラーがあります。

LSA RPC サービスで使用される RPC サーバー ポートを定義する方法の詳細については、以下を参照してください。

WindowsServer 2008 以降のバージョン

Windowsサーバー 2008 の新しいバージョンの Windowsサーバーは、送信接続の動的クライアント ポート範囲を増やしました。 新しい既定の開始ポートは 49152 で、既定のエンド ポートは 65535 です。 したがって、ファイアウォールの RPC ポート範囲を広くする必要があります。 この変更は、インターネット割り当て番号機関 (IANA) の推奨事項に準拠するために行われた。 これは、Windows Server 2003 ドメイン コントローラー、Windows 2000 サーバー ベースのドメイン コントローラー、または既定の動的ポート範囲が 1025 ~ 5000 の従来のクライアントで構成される混在モード ドメインとは異なります。

R2 と R2 の動的ポート範囲の変更Windows Server 2012詳細Windows Server 2012参照してください。

クライアント ポート サーバー ポート サービス
49152-65535/UDP 123/UDP W32Time
49152-65535/TCP 135/TCP RPC エンドポイント マッパー
49152-65535/TCP 464/TCP/UDP Kerberos パスワードの変更
49152-65535/TCP 49152-65535/TCP LSA、SAM、NetLogon (*) の RPC
49152-65535/TCP/UDP 389/TCP/UDP LDAP
49152-65535/TCP 636/TCP LDAP SSL
49152-65535/TCP 3268/TCP LDAP GC
49152-65535/TCP 3269/TCP LDAP GC SSL
53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
49152-65535/TCP 49152-65535/TCP FRS RPC (*)
49152-65535/TCP/UDP 88/TCP/UDP Kerberos
49152-65535/TCP/UDP 445/TCP SMB (**)
49152-65535/TCP 49152-65535/TCP DFSR RPC (*)

Windows NT 用にリストされている NetBIOS ポートは、NetBIOS ベースの通信のみをサポートするドメインへの信頼が構成されている場合、Windows 2000 および Server 2003 にも必要です。 たとえば、Windows NTベースのオペレーティング システムや、Samba に基づくサード パーティ製のドメイン コントローラーがあります。

(*)LSA RPC サービスで使用される RPC サーバー ポートを定義する方法については、以下を参照してください。

(**)信頼の操作では、このポートは必須ではなく、信頼の作成にのみ使用されます。

注意

外部信頼 123/UDP は、Windows Time Service を外部信頼全体でサーバーと同期するように手動で構成した場合にのみ必要です。

Active Directory

Microsoft LDAP クライアントは、LDAP 要求が長い時間保留中で応答を待機する場合に ICMP ping を使用します。 サーバーがまだネットワーク上にあるか確認するために ping 要求を送信します。 ping 応答を受信しない場合は、LDAP 要求が失敗し、LDAP_TIMEOUT。

またWindowsリダイレクターは、ICMP Ping メッセージを使用して、サーバー IP が DNS サービスによって解決された後、接続が確立される前、および DFS を使用してサーバーが見つかかっている場合も確認します。 ICMP トラフィックを最小限に抑える場合は、次のファイアウォールルールのサンプルを使用できます。

<any> ICMP -> DC IP addr = allow

TCP プロトコル層と UDP プロトコル層とは異なり、ICMP にはポート番号が含めではありません。 これは、ICMP が IP 層によって直接ホストされるためです。

既定では、Windows Server 2003 および Windows 2000 Server DNS サーバーは、他の DNS サーバーに対してクエリを実行するときに、一時的なクライアント側ポートを使用します。 ただし、この動作は、特定のレジストリ設定によって変更される場合があります。 または、ポイント間トンネリング プロトコル (PPTP) 強制トンネルを介して信頼を確立できます。 これにより、ファイアウォールを開く必要があるポートの数が制限されます。 PPTP の場合、次のポートを有効にする必要があります。

クライアント ポート サーバー ポート プロトコル
1024-65535/TCP 1723/TCP PPTP

さらに、IP プロトコル 47 (GRE) を有効にする必要があります。

注意

信頼できるドメイン内のユーザーの信頼ドメイン上のリソースにアクセス許可を追加する場合、Windows 2000 と Windows NT 4.0 の動作にはいくつかの違いがあります。 コンピューターがリモート ドメインのユーザーの一覧を表示できない場合は、次の動作を検討してください。

  • Windows NT 4.0 は、リモート ユーザーのドメイン (UDP 138) の PDC に問い合わせ、手動で入力された名前を解決します。 その通信が失敗した場合Windows NT 4.0 ベースのコンピューターが独自の PDC に接続し、名前の解決を求めるメッセージが表示されます。
  • Windows 2000 および Windows Server 2003 でも、UDP 138 を超える解決のためにリモート ユーザーの PDC に問い合わせしてみてください。 ただし、独自の PDC の使用には依存しない。 リソースへのアクセスを許可する Windows 2000 ベースのメンバー サーバーと Windows Server 2003 ベースのすべてのメンバー サーバーに、リモート PDC への UDP 138 接続が含まれています。

参照

Windowsのサービスの概要とネットワーク ポート要件は、Microsoft クライアント およびサーバー オペレーティング システム、サーバー ベースのプログラム、および Microsoft Windows Server システムで使用される必要なネットワーク ポート、プロトコル、およびサービスの概要を示す貴重なリソースです。 管理者とサポート担当者は、この記事をロードマップとして使用して、セグメント化されたネットワーク内のネットワーク接続に必要な Microsoft オペレーティング システムとプログラムを特定できます。

[サービスの概要] および[ネットワーク ポート要件] のポート情報を使用して、WindowsファイアウォールWindowsしてください。 ファイアウォールを構成する方法のWindows詳細については、「Advanced Security Windowsファイアウォール」を参照してください