【AD DS】ドメインを利用する環境で解放が必要なポートについて

  • 2023年5月15日
  • 2023年6月8日
  • AD DS

Active Directory ドメイン サービスとは、組織でシステム管理者が組織内のユーザーやリソースを管理するためのサービスです。多くの組織や企業で、Active Directory ドメイン サービスが導入されています。

海外を含む異なる拠点に支店をもつような大規模な組織の場合、各拠点のローカル ネットワークは物理的に離れており、同じドメイン内での通信においてもファイア ウォールを経由するネットワーク構成になっているケースも考えられます。ファイアー ウォールによりドメイン環境で利用する通信がブロックされると、ドメインの機能が正常に利用できない可能性があります。そのため、各ドメイン コントローラーやクライアント端末の間のネットワークの経路上にファイアー ウォールがある場合には、利用されるポートを許可して必要な通信が行える設定にする必要があります。

今回は、ドメイン環境にて利用される通信ポートについて紹介します。

クライアントとドメイン コントローラー間で開放が必要なポート

ドメインに参加しているクライアント端末と、ドメイン コントローラーの間の通信において利用されるポート一覧です。

クライアント端末がドメイン参加するタイミングや、ログオンするタイミング、またドメイン コントローラーから設定が配布されるタイミングなど、クライアント端末がドメイン コントローラーと通信が発生します。その際に利用される通信ポートです。クライアント端末とドメイン コントローラーの通信経路上にファイアー ウォールなどのネットワーク機器がある場合には、以下の通信ポートを解放してください。

サービス

プロトコル

送信元ポート

宛先ポート (DC側)

DNS

TCP/UDP

一時ポート*

53

Kerberos

TCP/UDP

一時ポート*

88

NTP

UDP

123

123

RPC

TCP

一時ポート*

135

RPC

TCP

一時ポート*

49152 – 65535

NetBIOS-ns

UDP

137

137

NetBIOS-dgm

UDP

138

138

NetBIOS-ssn

TCP

一時ポート*

139

LDAP

TCP/UDP

一時ポート*

389

SMB

TCP

一時ポート*

445

Kpassword

TCP/UDP

一時ポート*

464

LDAP SSL

TCP

一時ポート*

636

LDAP GC

TCP

一時ポート*

3268

LDAP GC SSL

TCP

一時ポート*

3269

 
一時ポート* は OS のバージョンにより異なります。
Windows XP および Windows Server 2003:10255000
Windows Vista および Windows Server 2008 以降:4915265535
LDAP SSL や LDAP GC SSL は、この通信を使用するように構成されたアプリケーションがなければ利用されません。
 
 

ドメイン コントローラー間で開放が必要なポート

クライアント端末と、ドメイン コントローラーの間の経路で開放が必要なポート一覧です。

ドメイン環境には複数のドメイン コントローラーを構築することができます。複数のドメイン コントローラーを構築している環境である場合、クライアント端末が接続するドメイン コントローラーによって、アカウントの認証の可否や配布される設定が変わることがないように、ドメイン コントローラー間にて AD データベースや SYSVOL のデータを複製しています。このようにデータの複製など、ドメイン コントローラー間での通信が発生します。サイト間のドメイン コントローラーの複製など、ドメイン コントローラー同士の物理的距離が離れており、通信経路上にファイアー ウォールなどのネットワーク機器がある場合には、以下の通信ポートを解放してください。

サービス

プロトコル

送信元ポート

宛先ポート (DC側)

DNS

TCP/UDP

一時ポート*

53

Kerberos

TCP/UDP

一時ポート*

88

NTP

UDP

123

123

RPC

TCP

一時ポート*

135

RPC

TCP

一時ポート*

49152 – 65535

LDAP

TCP/UDP

一時ポート*

389

SMB

TCP

一時ポート*

445

DFSR

TCP

一時ポート*

5722

TCP 5722 は DFSR での SYSVOL 複製にて使用されるポートです。DFSR でこの通信ポートを利用するのは、Windows Server 2008 または Windows Server 2008 R2 のドメイン コントローラーのみで使用されます。Windows Server 2012 以降の OS のドメイン コントローラーでは使用されません。

Windows Server 2008/Windows Server 2008 R2 で DFSR が利用される要件として、①ドメイン機能レベルが Windows Server 2008 以上が指定されている必要があります。

 
 
 
楽天ブックス
¥3,630 (2023/06/08 11:21時点 | 楽天市場調べ)
\楽天ポイント5倍セール!/
楽天市場
楽天ブックス
¥4,400 (2023/06/08 11:24時点 | 楽天市場調べ)
\楽天ポイント5倍セール!/
楽天市場