ドメイン環境で使用されるポートについて
ファイアウォールでドメインコントローラを守りたい
ドメイン コントローラ (DC) を外部からの攻撃から保護するため、DC とクライアント並びにDC 間にファイア ウォールを設けたいと考えることがあるかと思います。しかし、だからといって何でもファイアウォールでブロックしてしまうと、ログオンや DC 間の複製までもができなくなってしまいます。そのため、ファイアウォールにてポートやサービスの例外を設定して、Active Directory 環境として必要な通信を許可する必要があります。
今回は Active Directory 環境で必要となるポートについてまとめてみました。
1. ドメイン メンバーが利用するポート
ドメインのメンバーがドメインに参加する、またはドメインにログオンする際には、そのドメインの DC と通信する必要があります。
この時に DC 側、クライアント側で使用されるポートの一覧は以下の通りです。
ポートを使用するサービス |
プロトコル |
クライアント側ポート番号 |
DC 側ポート番号 |
PING |
ICMP |
|
|
DNS |
TCP/UDP |
一時ポート |
53 |
Kerberos |
TCP/UDP |
一時ポート |
88 |
NTP |
UDP |
123 |
123 |
RPC |
TCP |
一時ポート |
135 |
RPC |
TCP |
一時ポート |
一時ポート |
NetBIOS-ns |
UDP |
137 |
137 |
NetBIOS-dgm |
UDP |
138 |
138 |
NetBIOS-ssn |
TCP |
一時ポート |
139 |
LDAP |
TCP/UDP |
一時ポート |
389 |
SMB |
TCP |
一時ポート |
445 |
KPasswd |
TCP |
一時ポート |
464 |
LDAP GC |
TCP |
一時ポート |
3268 |
LDAP SSL |
TCP |
一時ポート |
636 |
LDAP GC SSL |
TCP |
一時ポート |
3269 |
AD DS Web Services |
TCP |
一時ポート |
9389 |
注:既定の一時ポートは Windows XP と Windows Vista で異なりますので注意が必要です。
Windows XP および Windows Server 2003 : 1025-5000
Windows Vista および Windows Server 2008 以降: 49152-65535
LDAP SSL / LDAP GC SSL は、これらを利用するように構成されたアプリケーションが無ければ、ログオン時には利用されません。また、同様に AD DS Web Services もメンバーから PowerShell を利用して Active Directory に接続するなどの要件がなければ利用されません。
- 参考
Title : 動的な TCP/IP の既定のポート範囲が Windows Vista とWindows Server 2008に変更しました。
https://support.microsoft.com/kb/929851
2. DC 間の通信に使用されるポート
AD 環境に複数の DC が存在する場合、DC 間ではグループ ポリシーやオブジェクトの情報などが定期的に複製されるなど、さまざまな通信が発生します。もし、DC 間の通信が正しく行えないと、たとえば複製が正しく行えず、新しくドメインに参加したユーザーの情報を持っていない DC では認証に失敗してしまったり、接続する DC によって有効になるポリシーが異なってしまったりという問題が発生してしまいます。
そのため、Windows Server 2008 の DC 間で通信が正しく行えるように、以下のポートを使用した通信を許可する必要があります。
ポートを使用するサービス |
プロトコル |
送信元ポート番号 |
宛先ポート番号 |
WINS |
TCP |
一時ポート |
42 |
DNS |
TCP/UDP |
一時ポート |
53 |
Kerberos |
TCP/UDP |
一時ポート |
88 |
NTP |
UDP |
123 |
123 |
RPC |
TCP |
一時ポート |
135 |
RPC |
TCP |
一時ポート |
一時ポート |
LDAP |
TCP/UDP |
一時ポート |
389 |
SMB |
TCP |
一時ポート |
445 |
DFSR |
TCP |
一時ポート |
5722 |
* Windows Server 2008 の一時ポートは 49152-65535 です。
* WINS は利用している場合のみ
ここで注意しておきたい部分は DFSR の TCP 5722 が含まれていることです。これはドメイン機能レベルが Windows Server 2008、かつ SYSVOL の複製を既存の FRS (File Replication Service) ではなく、DFSR (DFS Replication) を使用する場合になります。ただし、TCP 5722 は Windows Server 2008 の DC または Windows Server 2008 R2 の DC のみで使用されます。 Windows Server 2012 以降の DC では使用されません。
また、Windows Server 2008 で忘れてはいけない機能として、読み取り専用ドメインコントローラ (RODC) の機能がありますが、RODC についても、複製の方向や複製される情報に違いはあるものの、やはり他の DC の情報を複製してくる必要があります。この場合においても、使用されるポートは、他の DC 間の複製で使用されるものと同じものとなります。