ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

VPNの他拠点やファイアウォール越しのAD、DCとの通信に開放が必要なポート番号情報

VPNの他拠点やファイアウォール越しのAD、DCとの通信に開放が必要なポート番号情報になります。必要なポートが解放されていないと、ドメイン参加、GPOが適用されないなど、色んな問題が発生する可能性があります。

 

以下は公式の情報になります。

ドメイン環境で使用されるポートについて | Microsoft Docs 

 

以下のようにADをファイアウォールで制御している場合は意識する必要があります。

ドメイン コントローラ (DC) を外部からの攻撃から保護するため、DC とクライアント並びにDC 間にファイア ウォールを設けたいと考えることがあるかと思います。しかし、だからといって何でもファイアウォールでブロックしてしまうと、ログオンや DC 間の複製までもができなくなってしまいます。そのため、ファイアウォールにてポートやサービスの例外を設定して、Active Directory 環境として必要な通信を許可する必要があります。

 

 

ドメイン メンバーが利用するポート

 

ポートを使用するサービス プロトコル クライアント側ポート番号 DC 側ポート番号
PING ICMP    
DNS TCP/UDP 一時ポート 53
Kerberos TCP/UDP 一時ポート 88
NTP UDP 123 123
RPC TCP 一時ポート 135
RPC TCP 一時ポート 一時ポート
NetBIOS-ns UDP 137 137
NetBIOS-dgm UDP 138 138
NetBIOS-ssn TCP 一時ポート 139
LDAP TCP/UDP 一時ポート 389
SMB TCP 一時ポート 445
KPasswd TCP 一時ポート 464
LDAP GC TCP 一時ポート 3268
LDAP SSL TCP 一時ポート 636
LDAP GC SSL TCP 一時ポート 3269
AD DS Web Services TCP 一時ポート 9389

 

既定の一時ポートは Windows XPWindows Vista で異なりますので注意が必要とのことで、Windows10などは「Windows Vista および Windows Server 2008 以降: 49152-65535」になります。

 

DAP SSL / LDAP GC SSL は、これらを利用するように構成されたアプリケーションが無ければ、ログオン時には利用されません。また、同様に AD DS Web Services もメンバーから PowerShell を利用して Active Directory に接続するなどの要件がなければ利用されませんとありません。

 

DC間で必要なポート情報も掲載されていますが、ここでは割愛します。ADとメンバーサーバ、ドメインPCの間で必要なポート情報を知りたい方は参考にしてください。

 

[ザノースフェイス] リュック シャトルデイパック メンズ ブラック