【AD CS】エンタープライズ CA を利用する場合のポート要件について

ドメイン環境を外部からの攻撃を保護するために、ネットワークの経路上にファイアー ウォールが設置されている環境も多いかと思います。

エンタープライズ CA はドメインの機能を利用して、証明書の発行の処理を行います。ファイアー ウォールにより、ドメイン環境で利用する通信やエンタープライズ CA で利用する通信をブロックされると、機能が正常に利用できません。

ドメイン コントローラー、エンタープライズ CA、クライアント端末の間のネットワーク経路上にファイアー ウォールがある場合は、機能にて利用されるポートやサービスの例外を設定して、必要な通信を許可する必要があります。

今回は、ドメイン環境にて、エンタープライズ CA を利用する場合に利用する通信ポートについて紹介します。

 

 

エンタープライズ CA の構成

エンタープライズ CA は “Active Directory ドメイン サービス” の機能と連携しています。

Active Directory ドメイン サービス” と連携して、CA 証明書の配布、証明書の発行を行うことができます。また、エンタープライズ CA ではドメイン コントローラー上に AIA、CDP を展開されるため、ドメイン環境にて簡易に CA サーバーを構成にできます。

このように、”Active Directory ドメイン サービス” の機能と連携しているため、CA 証明書を入手したり、証明書の発行要求を行う場合、クライアント端末はまずはドメイン コントローラーへアクセスします。ドメイン コントローラーにアクセスして、エンタープライズ CA の情報を入手し(サーバーの場所や発行できる証明書の種類など)、CA サーバーに発行要求を行う流れとなります。

また、エンタープライズ CA も CA 情報をドメイン コントローラー上で管理しております。
そのため、エンタープライズ CA にあたり、ドメイン コントローラーへの通信も発生する動作になります。

上記のような構成になっているため、ドメイン コントローラー、CA サーバー、クライアント端末の間で通信が発生します。そのため、経路上にファイアー ウォールがある場合、エンタープライズ CA に利用する通信ポートを開放する必要があります。

 

ポート要件

エンタープライズ CA を利用する場合、利用される通信ポートの要件は以下の通りです。

クライアントとドメイン コントローラー間で開放が必要なポート

クライアント端末と、ドメイン コントローラーの間の経路で開放が必要なポート一覧です。

サービス

プロトコル

送信元ポート

宛先ポート (DC側)

DNS

TCP/UDP

一時ポート*

53

Kerberos

TCP/UDP

一時ポート*

88

NTP

UDP

123

123

RPC

TCP

一時ポート*

135

RPC

TCP

一時ポート*

49152 – 65535

NetBIOS-ns

UDP

137

137

NetBIOS-dgm

UDP

138

138

NetBIOS-ssn

TCP

一時ポート*

139

LDAP

TCP/UDP

一時ポート*

389

SMB

TCP

一時ポート*

445

Kpassword

TCP

一時ポート*

464

LDAP SSL

TCP

一時ポート*

636

LDAP GC

TCP

一時ポート*

3268

LDAP GC SSL

TCP

一時ポート*

3269

 

クライアントと CA 間で開放が必要なポート

クライアント端末と、エンタープライズ CA の間の経路で開放が必要なポート一覧です。

サービス

プロトコル

送信元ポート

宛先ポート (DC側)

RPC

TCP

一時ポート*

135

RPC

TCP

一時ポート*

49152 – 65535

HTTP

TCP

一時ポート*

80

HTTPS

TCP

一時ポート*

443

SMB

TCP

一時ポート*

445

 

ドメイン コントローラー間で開放が必要なポート

クライアント端末と、ドメイン コントローラーの間の経路で開放が必要なポート一覧です。

サービス

プロトコル

送信元ポート

宛先ポート (DC側)

DNS

TCP/UDP

一時ポート*

53

Kerberos

TCP/UDP

一時ポート*

88

NTP

UDP

123

123

RPC

TCP

一時ポート*

135

RPC

TCP

一時ポート*

49152 – 65535

LDAP

TCP/UDP

一時ポート*

389

SMB

TCP

一時ポート*

445

DFSR

TCP

一時ポート*

5722

 

CA とドメイン コントローラー間で開放が必要なポート

エンタープライズ CA と、ドメイン コントローラーの間の経路で開放が必要なポート一覧です。

サービス

プロトコル

送信元ポート

宛先ポート (DC側)

DNS

TCP/UDP

一時ポート*

53

Kerberos

TCP/UDP

一時ポート*

88

NTP

UDP

123

123

RPC

TCP

一時ポート*

135

RPC

TCP

一時ポート*

49152 – 65535

LDAP

TCP/UDP

一時ポート*

389

SMB

TCP

一時ポート*

445

 

一時ポート* は OS により異なります。
Windows XP および Windows Server 2003:10255000
Windows Vista および Windows Server 2008 以降:4915265535