Active Directory ドメイン サービスとは、組織でシステム管理者が組織内のユーザーやリソースを管理するためのサービスです。多くの組織や企業で、Active Directory ドメイン サービスが導入されています。
海外を含む異なる拠点に支店をもつような大規模な組織の場合、各拠点のローカル ネットワークは物理的に離れており、同じドメイン内での通信においてもファイア ウォールを経由するネットワーク構成になっているケースも考えられます。ファイアー ウォールによりドメイン環境で利用する通信がブロックされると、ドメインの機能が正常に利用できない可能性があります。そのため、各ドメイン コントローラーやクライアント端末の間のネットワークの経路上にファイアー ウォールがある場合には、利用されるポートを許可して必要な通信が行える設定にする必要があります。
今回は、ドメイン環境にて利用される通信ポートについて紹介します。
クライアントとドメイン コントローラー間で開放が必要なポート
ドメインに参加しているクライアント端末と、ドメイン コントローラーの間の通信において利用されるポート一覧です。
クライアント端末がドメイン参加するタイミングや、ログオンするタイミング、またドメイン コントローラーから設定が配布されるタイミングなど、クライアント端末がドメイン コントローラーと通信が発生します。その際に利用される通信ポートです。クライアント端末とドメイン コントローラーの通信経路上にファイアー ウォールなどのネットワーク機器がある場合には、以下の通信ポートを解放してください。
サービス |
プロトコル |
送信元ポート |
宛先ポート (DC側) |
DNS |
TCP/UDP |
一時ポート* |
53 |
Kerberos |
TCP/UDP |
一時ポート* |
88 |
NTP |
UDP |
123 |
123 |
RPC |
TCP |
一時ポート* |
135 |
RPC |
TCP |
一時ポート* |
49152 – 65535 |
NetBIOS-ns |
UDP |
137 |
137 |
NetBIOS-dgm |
UDP |
138 |
138 |
NetBIOS-ssn |
TCP |
一時ポート* |
139 |
LDAP |
TCP/UDP |
一時ポート* |
389 |
SMB |
TCP |
一時ポート* |
445 |
Kpassword |
TCP/UDP |
一時ポート* |
464 |
LDAP SSL |
TCP |
一時ポート* |
636 |
LDAP GC |
TCP |
一時ポート* |
3268 |
LDAP GC SSL |
TCP |
一時ポート* |
3269 |
Windows XP および Windows Server 2003:1025 – 5000
Windows Vista および Windows Server 2008 以降:49152 – 65535
ドメイン コントローラー間で開放が必要なポート
クライアント端末と、ドメイン コントローラーの間の経路で開放が必要なポート一覧です。
ドメイン環境には複数のドメイン コントローラーを構築することができます。複数のドメイン コントローラーを構築している環境である場合、クライアント端末が接続するドメイン コントローラーによって、アカウントの認証の可否や配布される設定が変わることがないように、ドメイン コントローラー間にて AD データベースや SYSVOL のデータを複製しています。このようにデータの複製など、ドメイン コントローラー間での通信が発生します。サイト間のドメイン コントローラーの複製など、ドメイン コントローラー同士の物理的距離が離れており、通信経路上にファイアー ウォールなどのネットワーク機器がある場合には、以下の通信ポートを解放してください。
サービス |
プロトコル |
送信元ポート |
宛先ポート (DC側) |
DNS |
TCP/UDP |
一時ポート* |
53 |
Kerberos |
TCP/UDP |
一時ポート* |
88 |
NTP |
UDP |
123 |
123 |
RPC |
TCP |
一時ポート* |
135 |
RPC |
TCP |
一時ポート* |
49152 – 65535 |
LDAP |
TCP/UDP |
一時ポート* |
389 |
SMB |
TCP |
一時ポート* |
445 |
DFSR |
TCP |
一時ポート* |
5722 |