こんにちは。Windows Commercial Support Directory Services チームです。
ドメイン コントローラー (DC) を外部からの攻撃から保護するため、DC とクライアント並びに DC 間にファイアウォールを設けたいと考えることがあるかと思います。しかし、だからといって何でもファイアウォールでブロックしてしまうと、ログオンや DC 間の複製までもができなくなってしまいます。そのため、ファイアウォールにてポートやサービスの例外を設定して、Active Directory 環境として必要な通信を許可する必要があります。
今回は Active Directory 環境で必要となるポートについてまとめてみました。
1. ドメイン メンバーが利用するポート
ドメインのメンバーがドメインに参加する、またはドメインにログオンする際には、そのドメインの DC と通信する必要があります。
この時に DC 側、クライアント側で使用されるポートの一覧は以下の通りです。
| ポートを使用するサービス | プロトコル | クライアント側ポート番号 | DC 側ポート番号 |
|---|---|---|---|
| PING | ICMP | ||
| DNS | TCP/UDP | 一時ポート | 53 |
| Kerberos | TCP/UDP | 一時ポート | 88 |
| NTP | UDP | 123 | 123 |
| RPC | TCP | 一時ポート | 135 |
| RPC | TCP | 一時ポート | 一時ポート |
| NetBIOS-ns | UDP | 137 | 137 |
| NetBIOS-dgm | UDP | 138 | 138 |
| NetBIOS-ssn | TCP | 一時ポート | 139 |
| LDAP | TCP/UDP | 一時ポート | 389 |
| SMB | TCP | 一時ポート | 445 |
| KPasswd | TCP | 一時ポート | 464 |
| LDAP GC | TCP | 一時ポート | 3268 |
| LDAP SSL | TCP | 一時ポート | 636 |
| LDAP GC SSL | TCP | 一時ポート | 3269 |
| AD DS Web Services | TCP | 一時ポート | 9389 |
注 1: 既定の一時ポートの範囲は基本的に 49152-65535 となります。ただし、既にサポートが終了している OS とはなりますが、Windows XP/Windows Server 2003 以前は 1025-5000 となっており、OS によって一時ポートの範囲が異なっています。
注 2: LDAP SSL/LDAP GC SSL は、これらを利用するように構成されたアプリケーションが無ければ、ログオン時には利用されません。また、同様に AD DS Web Services もメンバーから PowerShell を利用して Active Directory に接続するなどの要件がなければ利用されません。
参考
動的な TCP/IP の既定のポート範囲が Windows Vista と Windows Server 2008 に変更しました
2. DC 間の通信に使用されるポート
AD 環境に複数の DC が存在する場合、DC 間ではグループ ポリシーやオブジェクトの情報などが定期的に複製されるなど、さまざまな通信が発生します。もし、DC 間の通信が正しく行えないと、たとえば複製が正しく行えず、新しくドメインに参加したユーザーの情報を持っていない DC では認証に失敗してしまったり、接続する DC によって有効になるポリシーが異なってしまったりという問題が発生してしまいます。
そのため、DC 間で通信が正しく行えるように、以下のポートを使用した通信を許可する必要があります。
| ポートを使用するサービス | プロトコル | 送信元ポート番号 | 宛先ポート番号 |
|---|---|---|---|
| WINS | TCP | 一時ポート | 42 |
| DNS | TCP/UDP | 一時ポート | 53 |
| Kerberos | TCP/UDP | 一時ポート | 88 |
| NTP | UDP | 123 | 123 |
| RPC | TCP | 一時ポート | 135 |
| RPC | TCP | 一時ポート | 一時ポート |
| LDAP | TCP/UDP | 一時ポート | 389 |
| SMB | TCP | 一時ポート | 445 |
| DFSR | TCP | 一時ポート | 5722 |
注: 一時ポートの範囲は前述の通りです。WINS に関するポートは利用している場合のみ必要となります。
ここで注意しておきたい部分は DFSR の TCP 5722 が含まれていることです。これはドメイン機能レベルが Windows Server 2008、かつ SYSVOL の複製を既存の FRS (File Replication Service) ではなく、DFSR (DFS Replication) を使用する場合になります。ただし、TCP 5722 は Windows Server 2008 の DC または Windows Server 2008 R2 の DC のみで使用されます。 Windows Server 2012 以降の DC では使用されません。
なお、信頼関係の構成でも、上記と同様のポートを許可する必要があります。
また、Windows Server 2008 で忘れてはいけない機能として、読み取り専用ドメインコントローラ (RODC) の機能がありますが、RODC についても、複製の方向や複製される情報に違いはあるものの、やはり他の DC の情報を複製してくる必要があります。この場合においても、使用されるポートは、他の DC 間の複製で使用されるものと同じものとなります。