- 09/08/2020
- 5 minutes to read
-
D -
s
Heet to configuration firewall for Active Directory domains and trusts.The information to create the Active Directory domain and trusts.
元の製品バージョンです。 Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 Standard、Windows Server 2012 Standard
元のKB番号:179442
注意
ここの表にあるすべてのポートがすべてのシナリオで必要というわけではありません。 たとえば、ファイアウォールでメンバーとDCが分離されている場合、FRSまたはDFSRのポートを開く必要はありません。 また、どのクライアントもSSL/TLSでLDAPを使用しないことがわかっている場合、ポート636と3269を開く必要はありません。
詳細
注意
二つのドメインコントローラーが両方とも同じ森にあるか、二つのドメインコントローラーが両方とも別の森にある場合です。 また、フォレスト内のトラストは、Windows Server 2003のトラストまたはそれ以降のバージョンのトラストである。
| クライアントポート | サーバーポート | サービス |
|---|---|---|
| 1024-。65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 1024-65535/TCP | 1024-65535/TCP | |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSLの場合 |
| 1024-65535/tcp | 3268/tcp | ldap gc |
| 1024-65535/tcp | 3269/tcp | ldap gc ssl |
| 53.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX.XXX1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/tcp | 445/tcp | smb |
| 1024-65535/tcp | 1024-65665535/TCP | FRS RPC (*) |
NETBIOS ベースの通信のみをサポートするドメインへのトラストが構成されている場合、Windows NT用に記載されているNETBIOSポートもWindows 2000およびWindows Server 2003で必要とされます。 LSA RPC サービスによって使用される RPC サーバー ポートを定義する方法の詳細については、
- Active Directory RPC トラフィックを特定のポートに制限するを参照してください。
- Windows のサービスの概要とネットワーク ポート要件におけるドメイン コントローラーと Active Directory のセクション。
Windows Server 2008 およびそれ以降のバージョン
Windows Server 2008 より新しいバージョンの Windows Server は、発信接続用の動的クライアント ポート範囲を増加させました。 新しいデフォルトの開始ポートは49152で、デフォルトの終了ポートは65535です。 そのため、ファイアウォールのRPCポート範囲を増やす必要があります。 この変更は、Internet Assigned Numbers Authority(IANA)の勧告に準拠するために行われました。 これは、Windows Server 2003ドメインコントローラー、Windows 2000サーバーベースのドメインコントローラー、またはレガシークライアントで構成される混合モードドメインとは異なります。
Windows Server 2012およびWindows Server 2012 R2の動的ポート範囲の変更の詳細については、以下を参照してください:
- TCP/IPの既定の動的ポート範囲は変更されました。
| クライアントポート | サーバーポート | サービス | |
|---|---|---|---|
| 49152 -65535/UDP | 123/UDP | W32Time | 49152 -65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 49152 -。65535/TCP | 464/TCP/UDP | Kerberos パスワード変更 | |
| 49152 -65535/TCP | 49152-65535/TCP | LSA 用RPCです。 SAM NetLogon (*) | |
| 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP | |
| 49152 -65535/TCP | 636/TCP | LDAP SSL | |
| 49152 -。65535/tcp | 3268/tcp | ldap gc | |
| 49152 -65535/tcp | 3269/tcp | ldap gc ssl | |
| 53.X.S.S. | 3268/tcp | 53/tcp/udp | dns |
| 49152 -65535/tcp | frs rpc (*) | ||
| 49152 – – – – – 1.65535/TCP/UDP | 88/TCP/UDP | Kerberos | |
| 49152 -65535/TCP/UDP | 445/TCP | SMB (**) | |
| 49152 – 。65535/TCP | 49152-65535/TCP | DFSR RPC (*) | |
NETBIOS ベース通信のみをサポートするドメインへのトラストが構成された場合、Windows NT 用としてリストされている NETBIOS ポートも Windows 2000 および Server 2003 に必要であります。 LSA RPC サービスで使用される RPC サーバーポートを定義する方法については、
- Active Directory RPC トラフィックを特定のポートに制限するを参照してください。
- Windows のサービスの概要とネットワーク ポート要件にあるドメイン コントローラーと Active Directory のセクション。
(**) 信託の運用ではこのポートは必要ありません、信託作成にのみ使用されます。
注意
外部信頼 123/UDP は、Windows タイム サービスが外部信頼を越えてサーバーと同期するように手動で構成した場合にのみ必要です。
アクティブ ディレクトリ
Windows2000およびWindows XPでは、アクティブ ディレクトリ グループ ポリシー クライアントがファイアウォールを通して正しく機能できるように、クライアントからドメイン コントローラへのインターネット制御メッセージプロトコル (ICMP) が許可される必要があります。 ICMPは、リンクが低速リンクか高速リンクかを判断するために使用されます。
Windows Server 2008以降のバージョンでは、ネットワークロケーション認識サービスは、ネットワーク上の他のステーションとのトラフィックに基づいて、帯域幅の見積もりを提供します。
また、Windowsリダイレクターは、接続が行われる前にサーバーIPがDNSサービスによって解決されていることを確認するため、およびサーバーがDFSを使用して配置されているときにICMP Pingメッセージも使用します。 ICMP トラフィックを最小限に抑えたい場合は、次のサンプル ファイアウォール ルールを使用できます。
<any> ICMP -> DC IP addr = allow
TCPプロトコル層やUDPプロトコル層とは異なり、ICMPにはポート番号が付いていません。
デフォルトでは、Windows Server 2003 および Windows 2000 Server DNS サーバーは、他の DNS サーバーに問い合わせるときに、クライアント側のエフェメラル ポートを使用します。 ただし、この動作は特定のレジストリ設定によって変更することができます。 または、PPTP(Point-to-Point Tunneling Protocol)強制トンネルによって信頼関係を確立することもできます。 これにより、ファイアウォールが開かなければならないポートの数が制限されます。 PPTPの場合、以下のポートを有効にする必要があります。
| クライアントポート | サーバーポート | プロトコル |
|---|---|---|
| 1024-。65535/TCP | 1723/TCP | PTP |
なお、この他に、以下のものがあります。 は、IP PROTOCOL 47 (GRE)を有効にする必要があります。
注意
信頼されたドメインのユーザーに対して、信頼されたドメインのリソースに権限を追加する場合、Windows 2000 と Windows NT 4.0 の動作にはいくつかの違いがあります。 コンピューターがリモートドメインのユーザーのリストを表示できない場合、次の動作を検討してください:
- Windows NT 4.0は、リモートユーザーのドメインのPDC(UDP 138)に連絡して手動で入力された名前を解決しようとします。
- Windows 2000 と Windows Server 2003 も UDP 138 でリモート ユーザーの PDC にコンタクトして名前解決を試みます。 しかし、それらは自身のPDCを使用することに依存しない。 リソースへのアクセスを許可するすべての Windows 2000 ベースのメンバーサーバーと Windows Server 2003 ベースのメンバーサーバーがリモート PDC への UDP 138 接続を持つことを確認してください。
Reference
Service overview and network port requirements for Windows は、Microsoft Windows Server システム内のクライアントおよびサーバー オペレーティングシステム、サーバーベースのプログラム、およびそれらのサブコンポーネントによって使用される必須のネットワーク ポート、プロトコル、サービスをまとめた貴重なリソースです。 管理者とサポート専門家は、Microsoft オペレーティング システムとプログラムが、セグメント化されたネットワークでのネットワーク接続に必要なポートとプロトコルを決定するためのロードマップとしてこの記事を使用できます。
Windows のサービスの概要とネットワーク ポート要件にあるポート情報は、Windows Firewall を構成するためには使用しないでください。 Windowsファイアウォールの設定方法については、「高度なセキュリティ機能を備えたWindowsファイアウォール」
を参照してください。