Active Directory のドメインと信頼に対してファイアウォールを構成する方法

この記事では、Active Directory ドメインと信頼に対してファイアウォールを構成する方法について説明します。

元の製品バージョン:   Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 Standard、Windows Server 2012 Standard
元の KB 番号:   179442

注意

すべてのシナリオで、ここに示すすべてのポートが必要な場合があります。 たとえば、ファイアウォールがメンバーと PC を分離する場合、FRS ポートまたは DFSR ポートを開く必要がなされます。 また、SSL/TLS を使用するクライアントが LDAP を使用しない場合は、ポート 636 とポート 3269 を開く必要はありません。

詳細情報

注意

2 つのドメイン コントローラーが両方とも同じフォレスト内にあるか、2 つのドメイン コントローラーが別々のフォレストに入っています。 また、フォレスト内の信頼は、Windows Server 2003 の信頼以降のバージョンの信頼です。

クライアント ポート サーバー ポート サービス
1024-65535/TCP 135/TCP RPC エンドポイント マッパー
1024-65535/TCP 1024-65535/TCP RPC for LSA、SAM、NetLogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS RPC (*)

Windows NT 用にリストされている NETBIOS ポートは、NETBIOS ベースの通信のみをサポートするようにドメインへの信頼が構成されている場合、Windows 2000 および Windows Server 2003 にも必要です。 たとえば、Windows NTベースのオペレーティング システムや S" に基づくサード パーティのドメイン コントローラーがあります。

LSA RPC サービスで使用される RPC サーバー ポートを定義する方法の詳細については、以下を参照してください。

Windows Server 2008 以降のバージョン

Windows Server 2008 の新しいバージョンの Windows Server では、送信接続の動的クライアント ポート範囲が広がっています。 新しい既定の開始ポートは 49152 で、既定の終了ポートは 65535 です。 したがって、ファイアウォールの RPC ポート範囲を広くする必要があります。 この変更は、Internet Assigned Numbers Authority (IANA) の推奨事項に準拠するために行われた変更です。 これは、Windows Server 2003 ドメイン コントローラー、Windows 2000 サーバー ベースのドメイン コントローラー、または従来のクライアント (既定の動的ポート範囲が 1025 ~ 5000) で構成される混在モード ドメインとは異なります。

R2 の動的ポート範囲の変更Windows Server 2012詳細Windows Server 2012参照してください。

クライアント ポート サーバー ポート サービス
49152 -65535/UDP 123/UDP W32Time
49152 -65535/TCP 135/TCP RPC エンドポイント マッパー
49152 -65535/TCP 464/TCP/UDP Kerberos パスワードの変更
49152 -65535/TCP 49152-65535/TCP RPC for LSA、SAM、NetLogon (*)
49152 -65535/TCP/UDP 389/TCP/UDP LDAP
49152 -65535/TCP 636/TCP LDAP SSL
49152 -65535/TCP 3268/TCP LDAP GC
49152 -65535/TCP 3269/TCP LDAP GC SSL
53、49152 -65535/TCP/UDP 53/TCP/UDP DNS
49152 -65535/TCP 49152 -65535/TCP FRS RPC (*)
49152 -65535/TCP/UDP 88/TCP/UDP Kerberos
49152 -65535/TCP/UDP 445/TCP SMB (**)
49152 -65535/TCP 49152-65535/TCP DFSR RPC (*)

Windows NT 用にリストされている NETBIOS ポートは、NETBIOS ベースの通信のみをサポートするようにドメインへの信頼が構成されている場合、Windows 2000 および Server 2003 にも必要です。 たとえば、Windows NTベースのオペレーティング システムや S" に基づくサード パーティのドメイン コントローラーがあります。

(*)LSA RPC サービスで使用される RPC サーバー ポートを定義する方法については、以下を参照してください。

(**)信頼の操作では、このポートは必要ありませんが、信頼の作成にのみ使用されます。

注意

外部信頼 123/UDP は、外部の信頼を越えてサーバーと同期するように Windows タイム サービスを手動で構成した場合にのみ必要です。

Active Directory

Windows 2000 および Windows XP では、Active Directory グループ ポリシー クライアントがファイアウォールを介して正しく機能するように、クライアントからドメイン コントローラーへのファイアウォールを介してインターネット制御メッセージ プロトコル (ICMP) を許可する必要があります。 ICMP は、リンクが低速リンクか高速リンクかを判断するために使用されます。

Windows Server 2008 以降のバージョンでは、Network Location Awareness Service は、ネットワーク上の他のステーションとのトラフィックに基づいて帯域幅の推定値を提供します。 推定用のトラフィックは生成されません。

Windows リダイレクターは、ICMP Ping メッセージを使用して、サーバー IP が DNS サービスによって解決された後で、接続が確立される前、および DFS を使用してサーバーが見つかかっている場合も確認します。 ICMP トラフィックを最小限に抑える場合は、次のファイアウォール規則のサンプルを使用できます。

<any> ICMP -> DC IP addr = allow

TCP プロトコル層や UDP プロトコル層とは異なり、ICMP にはポート番号が付いていな。 これは、ICMP が IP レイヤーによって直接ホストされるためです。

既定では、Windows Server 2003 および Windows 2000 Server の DNS サーバーは、他の DNS サーバーに対してクエリを実行するときに一時的なクライアント側ポートを使用します。 ただし、この動作は特定のレジストリ設定によって変更される場合があります。 または、ポイント対ポイント トンネリング プロトコル (PPTP) のトンネルを介して信頼を確立できます。 これにより、ファイアウォールが開くポートの数が制限されます。 PPTP では、次のポートを有効にする必要があります。

クライアント ポート サーバー ポート プロトコル
1024-65535/TCP 1723/TCP PPTP

さらに、IP PROTOCOL 47 (GRE) を有効にする必要があります。

注意

信頼されたドメイン内のユーザーの信頼されたドメインのリソースにアクセス許可を追加する場合、Windows 2000 と Windows NT 4.0 の動作にはいくつかの違いがあります。 コンピューターでリモート ドメインのユーザーの一覧を表示できない場合は、次の動作を考慮してください。

  • Windows NT 4.0 は、リモート ユーザーのドメイン (UDP 138) の PDC に問い合わせ、手動で入力された名前を解決しようと試みます。 その通信が失敗した場合Windows NT 4.0 ベースのコンピューターが独自の PDC に接続し、名前の解決を求めるメッセージが表示されます。
  • Windows 2000 と Windows Server 2003 は、UDP 138 での解決のためにリモート ユーザーの PDC にも問い合わせを試みる。 ただし、ユーザーは独自の PDC の使用に依存しない。 リソースへのアクセスを許可する Windows 2000 ベースのすべてのメンバー サーバーと Windows Server 2003 ベースのメンバー サーバーが、リモート PDC への UDP 138 接続を持っている必要があります。

参照

Windows のサービスの概要とネットワーク ポートの要件は、Microsoft クライアントおよびサーバー オペレーティング システム、サーバー ベースのプログラム、および Microsoft Windows Server システム内のそれらのサブコンポーネントで使用される必要なネットワーク ポート、プロトコル、およびサービスの概要を示す貴重なリソースです。 管理者およびサポート担当者は、この記事をロードマップとして使用して、セグメント化されたネットワークでのネットワーク接続に Microsoft オペレーティング システムおよびプログラムが必要とするポートとプロトコルを決定できます。

Windows ファイアウォールを構成する場合は、「サービスの概要」および 「Windows のネットワーク ポート要件」のポート情報を使う必要があります。 Windows ファイアウォールを構成する方法については、「セキュリティが強化された Windows ファイアウォール」を参照してください