利用ポート一覧
ActiveDirectoryサーバで必要なポートは下記の通りです。ドメインがグローバルに展開されていたり外部信頼を構成する場合のファイアウォール穴あけにご活用ください。
ドメインメンバーとの通信ポート
| サービス名 | プロトコル | クライアント側ポート番号 | DC 側ポート番号 |
| PING | ICMP | ||
| DNS | TCP/UDP | 一時ポート | 53 |
| Kerberos | TCP/UDP | 一時ポート | 88 |
| NTP | UDP | 123 | 123 |
| RPC | TCP | 一時ポート | 135 |
| RPC | TCP | 一時ポート | 一時ポート |
| NetBIOS-ns | UDP | 137 | 137 |
| NetBIOS-dgm | UDP | 138 | 138 |
| NetBIOS-ssn | TCP | 一時ポート | 139 |
| LDAP | TCP/UDP | 一時ポート | 389 |
| SMB | TCP | 一時ポート | 445 |
| KPasswd | TCP | 一時ポート | 464 |
| LDAP GC | TCP | 一時ポート | 3268 |
| LDAP SSL | TCP | 一時ポート | 636 |
| LDAP GC SSL | TCP | 一時ポート | 3269 |
| AD DS Web Services | TCP | 一時ポート | 9389 |
※一時ポート:49152-65535
(サポートが終了したWindowsXPやWindows2003以前のOSでは1025-5000となります。)
※LDAP SSL、LDAP GC SSL、AD DS Web Servicesについてはこれらを利用するアプリケーションを実装している場合のみ必要となります。
ドメインコントローラ間との通信ポート
| サービス名 | プロトコル | 送信元ポート番号 | 宛先ポート番号 |
| WINS | TCP | 一時ポート | 42 |
| DNS | TCP/UDP | 一時ポート | 53 |
| Kerberos | TCP/UDP | 一時ポート | 88 |
| NTP | UDP | 123 | 123 |
| RPC | TCP | 一時ポート | 135 |
| RPC | TCP | 一時ポート | 一時ポート |
| LDAP | TCP/UDP | 一時ポート | 389 |
| SMB | TCP | 一時ポート | 445 |
| DFSR | TCP | 一時ポート | 5722 |
※一時ポート:49152-65535
(サポートが終了したWindowsXPやWindows2003以前のOSでは1025-5000となります。)
※WINSはNetBIOSの解決としてWINSサーバを構成している場合のみ必要です。
※DFSRのポート5722はWindows Server 2012以上のドメイン コントローラーでは使用されません。
NAT構成の注意点
ActiveDirectoryの構成にNATを使う場合には注意が必要です。というのも、NATに関してはMicrosoftは明確に「推奨しない」ことを掲げているためです。
上記URLに名確に
「NAT 経由の Active Directory はお勧めしません。」
という記載があります。
ただし下記にも掲載がある通り、NAT構成をしたからと言ってトラブルサポートを断る、ということでもないそうです。
現実問題としてActiveDirectoryサーバがローカルIPセグメント(192.168.0.0/24など)で構成されている場合は通常外部からのルーティングは構成できないので、他社との信頼関係を結ぶ場合はNATを構成し外部アドレスとして公開した上で信頼関係を設定する必要があります。
信頼関係については下記の記事でもご紹介しているので参考にしてください。
やむごとなき理由でNATを構成する場合はきちんと検証を行った上で導入を検討する必要がある事を認識しましょう。
弊社でもActiveDirectoryの信頼関係上のネットワークにはNAT構成が取り入れられていますが、5年以上トラブルは発生していません。参考になれば。。。
コメント