ねこまるの AD フリーク

【AD DS】ドメインを利用する環境で解放が必要なポートについて

  • 2023年5月15日
  • 2025年10月26日
  • AD DS
AD DS

Active Directory ドメイン サービス(AD DS)とは、組織内のユーザーやリソースをシステム管理者が一元的に管理するためのサービスです。多くの企業や組織で導入されており、ユーザー認証やアクセス制御などの基盤として利用されています。

海外を含む複数の拠点を持つ大規模な組織では、各拠点のローカル ネットワークが物理的に分離されており、同一ドメイン内の通信であってもファイアウォールを経由するネットワーク構成となる場合があります。ファイアウォールによってドメイン環境で使用される通信が遮断されると、ドメインの各種機能が正常に動作しないことがあります。

そのため、ドメイン コントローラーやクライアント コンピューターの間にファイアウォールが存在する場合は、必要な通信ポートを許可し、ドメインで利用される通信が適切に行えるように設定する必要があります。

本記事では、ドメイン環境にて利用される通信ポートについて紹介します。

 

目次

クライアントとドメイン コントローラー間で開放が必要なポート

以下は、ドメインに参加しているクライアント コンピューターとドメイン コントローラー間の通信で使用される主なポートの一覧です。

クライアント コンピューターは、ドメインに参加する際やユーザーがログオンする際、またドメイン コントローラーからグループ ポリシーなどの設定が配布される際に、ドメイン コントローラーとの通信を行います。これらの通信では、複数のプロトコルとポートが使用されます。

クライアント コンピューターとドメイン コントローラーの通信経路上にファイアウォールなどのネットワーク機器が存在する場合は、以下に示す通信ポートを許可し、正常な通信が行えるように設定してください。

サービス

プロトコル

送信元ポート

宛先ポート (DC側)

DNS

TCP/UDP

一時ポート*

53

Kerberos

TCP/UDP

一時ポート*

88

NTP

UDP

123

123

RPC

TCP

一時ポート*

135

RPC

TCP

一時ポート*

49152 – 65535

NetBIOS-ns

UDP

137

137

NetBIOS-dgm

UDP

138

138

NetBIOS-ssn

TCP

一時ポート*

139

LDAP

TCP/UDP

一時ポート*

389

SMB

TCP

一時ポート*

445

Kpassword

TCP/UDP

一時ポート*

464

LDAP SSL

TCP

一時ポート*

636

LDAP GC

TCP

一時ポート*

3268

LDAP GC SSL

TCP

一時ポート*

3269
 
一時ポート* は OS のバージョンにより異なります。
Windows XP および Windows Server 2003:10255000
Windows Vista および Windows Server 2008 以降:4915265535
LDAP SSL や LDAP GC SSL は、この通信を使用するように構成されたアプリケーションがなければ利用されません。
 
 

ドメイン コントローラー間で開放が必要なポート

以下は、クライアント コンピューターとドメイン コントローラーの間の通信経路で開放が必要なポートの一覧です。

Active Directory ドメイン環境では、複数のドメイン コントローラーを構築することができます。複数のドメイン コントローラーが存在する環境では、どのドメイン コントローラーに接続しても認証結果や配布される設定内容に差異が生じないよう、ドメイン コントローラー間で AD データベースおよび SYSVOL フォルダーのデータが複製されます。

このように、データの複製処理などによってドメイン コントローラー間でも通信が発生します。特に、サイト間でドメイン コントローラーを配置している場合や、ドメイン コントローラー同士が物理的に離れたネットワークに存在する場合は、通信経路上にファイアウォールなどのネットワーク機器を経由することがあります。その際は、以下の通信ポートを許可し、複製処理が正常に行えるように設定してください。

サービス

プロトコル

送信元ポート

宛先ポート (DC側)

DNS

TCP/UDP

一時ポート*

53

Kerberos

TCP/UDP

一時ポート*

88

NTP

UDP

123

123

RPC

TCP

一時ポート*

135

RPC

TCP

一時ポート*

49152 – 65535

LDAP

TCP/UDP

一時ポート*

389

SMB

TCP

一時ポート*

445

DFSR

TCP

一時ポート*

5722

 

TCP ポート 5722 は、DFSR(Distributed File System Replication)による SYSVOL フォルダーの複製で使用されるポートです。このポートを使用するのは、Windows Server 2008 および Windows Server 2008 R2 のドメイン コントローラーのみであり、Windows Server 2012 以降のドメイン コントローラーでは利用されません。

Windows Server 2008/Windows Server 2008 R2 環境で DFSR を使用するためには、ドメイン機能レベルが Windows Server 2008 以上 に設定されている必要があります。

 
 
 
ひと目でわかるActive Directory Windows Server 2022版 [ Yokota Lab、 Inc. ]
楽天ブックス
¥3,630 (2023/06/08 11:21時点 | 楽天市場調べ)
楽天市場
Amazon
Windowsインフラ管理者入門 [ 胡田昌彦 ]
楽天ブックス
¥4,400 (2023/06/08 11:24時点 | 楽天市場調べ)
楽天市場
Amazon