再びAceが登場します。 AD のポート要件に関する私のブログを整理して再公開しようと思いました。 そうです、これらは、組織内のネットワーク グループが落胆するほど、広範囲にわたっています。 しかし、それはそれであり、AD を機能させるために従わなければならないものなのです。
RPC サーバーが利用できない? イベント ビューアーでレプリケーション エラーが発生?
そうであれば、必要なポートがブロックされ、これらのおなじみの AD 通信エラーが発生している可能性があることに気づかれたことでしょう。 ファイアウォール/VPN トンネル ポート ブロック、Windows ファイアウォール (マシンの役割と現在のネットワーク位置に合わせて自動構成されるため、通常は犯人ではありません)、またはセキュリティ ソフトウェアやアンチウイルス アプリで何らかの「ネットワーク トラフィック保護」機能が有効になっているかどうかが問題を引き起こしているのです。
簡単に言えば、レプリケーションやその他の AD 通信の問題があり、エンドポイントにウイルス対策ソフトウェアがインストールされているか、すべての DC にインストールされている場合、それを無効にするか、より良い方法は、それをアンインストールすることです。 アンインストールすることで、ブロックを引き起こす可能性のある他のサブコンポーネントの痕跡がないことを確認することができるため、最善の方法です。 アンインストールした後、レプリケーションが機能することが確認されれば、それで完了です。 その時点で、ウイルス対策ベンダーに連絡して、AD 通信とレプリケーションを許可するように設定する最善の方法を尋ねる必要があります。
ウイルス対策やセキュリティ アプリが原因ではなく、Windows ファイアウォールを無効にしても効果がない場合、外部要因であるエッジ/境界ファイアウォールが原因であることは明らかです。
また、ポート ブロックをテストする場合、telnet などのツールは AD/DC 間の接続性をテストするのに適したツールではなく、nmap、単純な ping、nslookup による解決 (必要なレコードの解決は前提条件ですが)、その他のツールなど、あらゆる種類の標準ポート スキャンにも適していません。 唯一信頼できるテストは、MicrosoftのPortQryを使用することです。これは、特定のADポートとエフェメラルポートをテストし、特にスキャンする必要なADポート上のサービスからの必要な応答をテストします。 いいえ。
それから、NAT を通してこれが動作することを期待しないでください。 NAT は暗号化された RPC トラフィックを変換できないため、LDAP 通信を妨害します。
Description of Support boundaries for Active Directory over NAT
http://support.microsoft.com/kb/978772
How to configure RPC dynamic port allocation to work with firewalls」
アドレス変換を行う NAT ファイアウォールを通して DCOM が使用できないなど (E.K.) NAT ポート変換を通して AD 通信が機能しないことがあります。たとえば、アドレス変換を行う NAT ファイアウォールを介して DCOM を使用することはできません (例: クライアントが仮想アドレス 198.252.145.1 に接続し、ファイアウォールがサーバーの実際の内部 IP アドレス、たとえば 192.100.81.101 に透過的にマッピングする場合など)。 これは、DCOM がインターフェイス マーシャリング パケットに生の IP アドレスを格納するためで、クライアントがパケットで指定されたアドレスに接続できない場合は動作しません。”
引用元: http://support.microsoft.com/kb/154596/en-us
Windows 2000 NAT Does Not Translate Netlogon Traffic (This applies to all DC)
引用元:
Windows 2000 NAT Does Not Translate Netlogon Traffic (これはすべての DC に適用されます。) “Windows 2000 NAT は Netlogon をサポートせず、Kerberos を翻訳しません。 Windows 2000ベースのNATサーバーの背後に位置し、ドメインリソースへのアクセスが必要なクライアントがある場合は、Netlogonトラフィック用にルーティングとリモートアクセスの仮想プライベートネットワーク(VPN)トンネルを作成するか、クライアントをWindows 2000にアップグレードすることを検討してください。”
Quoted from: http://support.microsoft.com/kb/263293
*
Ok, let’s find out if the ports are blocked
Now you think that your network infrastructure engineers know what they’re doing and opened the necessary ports, so you’re thinking, this can’t be the cause? or is it? さて、それを確かめよう。 PortQryを使ってテストすればいいのだ。 また、ping、nslookup、nmap、その他のポートスキャナは使用しないでください。これらは、必要な AD ポートを照会して、応答しているかどうかを確認するようには設計されていませんから。
では、PortQry を実行してみましょう。0 8/2/2004
http://www.microsoft.com/download/en/details.aspx?id=24009
次に、「ドメイン & 信頼」オプションを DC 間、または DC と任意のマシン間(促進したい他のサーバー、あるいはクライアント マシンから)、あるいは各サイトのブリッジヘッドから他サイトのブリッジヘッドまで…で起動します。 ブロックされたADポートがあるかどうかをテストしたい場合は、ほとんどどこでも可能です。
ポイントは、DC が別の DC またはクライアントと通信する必要があるすべてのシナリオで、これを実行する必要があるということです。 UDP 389およびUDP 88のメッセージは無視できます。 TCP 42エラーが表示された場合、ターゲットサーバーでWINSが実行されていないことを意味します。
PortQry References
Knock Knock Is That Port Open?
By Mark Morowczynski 18 Apr 2011, PortQry GUIバージョンについての簡単なチュートリアルです。
http://blogs.technet.com/b/markmoro/archive/2011/04/18/knock-knock-is-that-port-open.aspx
“The RPC server is unavailable or There are no more endpoints available from the endpoint mapper …”
http://blogs.technet.com/b/askds/archive/2009/01/22/using-portqry-for-troubleshooting.aspx
How to use Portqry to troubleshoot Active Directory connectivity issues
http://support.microsoft.com/kb/816103
If you want to use the command line only version:
Download details.B>
http://blogs.technet.com/b/markmoro/archive/2011/04/18/knock-knock-is-that-port-open.aspx
Portqry の使用法: PortQry コマンドライン専用ポート スキャナー バージョン 2.0
http://www.microsoft.com/downloads/en/details.aspx?familyid=89811747-c74b-4638-a2d5-ac828bdc6983&displaylang=en
portqry とコマンドの出力について理解すること。 PortQry バージョン 2.0 の新機能
http://support.microsoft.com/kb/832919
コマンドライン ユーティリティ Portqry.exe の説明
http://support.microsoft.com/kb/310099
Portqry 備考
http://technet.microsoft.com/en-us/library/cc759580(WS.10).aspx
*
DC to DC および DC to クライアント通信には多数のポートが必要
秘密なんてないんです。 これが一番シンプルに言えることです。
そして、必要なポートのリストは長く、AD が通信、複製などを行うためにポートを要求しなければならないネットワーク インフラストラクチャ エンジニアリング チームを落胆させますが、これらのポートは開く必要があります。 そうでなければ、できることはあまりないのです。
以下は、各ポートの説明付きのリストです。
|
Protocol and Port
|
AD and AD DS Usage | Type of traffic | |
| TCP 25 | Replication | SMTP | |
| TCP 42 | NetBIOS解決を提供するドメイン信頼シナリオでWINSを使用する場合 | WINS | |
| TCP 135 | Replication | RPC。 EPM | |
| TCP 137 | NetBIOS 名前解決 | ||
| TCP 139 | ユーザーおよびコンピュータ認証, レプリケーション | DFSN、NetBIOS セッションサービス、NetLogon | |
| TCP および UDP 389 | ディレクトリ、レプリケーション、ユーザーおよびコンピューター認証、グループポリシー、信頼関係 | LDAP | |
| TCP 636 | ディレクトリ、レプリケーション、ユーザーおよびコンピューター認証, グループ ポリシー、信頼 | LDAP SSL | |
| TCP 3268 | ディレクトリ、レプリケーション、ユーザーおよびコンピューター認証、グループ ポリシー、信頼 | LDAP GC | |
| TCP 3269 | ディレクトリ、レプリケーション、ユーザーおよびコンピューター認証、グループ ポリシー。 トラスト | LDAP GC SSL | |
| TCP および UDP 88 | ユーザーおよびコンピュータの認証, フォレストレベルの信頼 | Kerberos | |
| TCP および UDP 53 | ユーザーおよびコンピュータ認証、名前解決、信頼 | DNS | |
| TCP および UDP 445 | 複製のための複製。 ユーザーとコンピュータの認証、グループポリシー、信頼 | SMB、CIFS、SMB2、DFSN、LSARPC、NbtSS、NetLogonR、SamR, SrvSvc | |
| TCP 9389 | AD DS Web Services | SOAP | |
| TCP 5722 | File Replication | RPC.DSP | RPC.DSP |
| TCP および UDP 464 | レプリケーション、ユーザーおよびコンピュータの認証。 Trusts | Kerberos change/set password | |
| UDP 123 | Windows Time.Time.Time(Windowsタイムライン) | Kerberos変更/パスワード設定 | UDP 123 トラスト | Windows Time |
| UDP 137 | ユーザーとコンピューターの認証 | NetLogon、NetBIOS 名前解決 | |
| UDP 138 | DFS, グループポリシー、NetBIOS Netlogon、ブラウジング | DFSN、NetLogon、NetBIOS Datagram Service | |
| UDP 67 and UDP 2535 | DHCP (注。 DHCP は AD DS の中核サービスではありませんが、これらのポートは WDS など DHCP 以外の機能にも必要な場合があります) | DHCP、MADCAP、PXE |
And We Must Never Forget the Ephemeral Ports !
そして何より、通信に必要なEphemeralポート(別名「サービス応答ポート」)だ。 これらのポートは、セッションを確立する各クライアント (「クライアント」が何であろうと) のセッション応答用に動的に作成され、Windows だけでなく、Linux や Unix にも適用されます。
「ephemeral」の意味については、以下の参考文献のセクションを参照してください。 セッションが終了すると、ポートはプールに戻され、再利用されます。 これはWindowsだけでなく、Linux、Unix、その他のオペレーティングシステムにも適用されます。 エフェメラル」の意味については、以下の参考文献を参照してください。
以下の表は、OSのバージョンによってエフェメラルポートが何であるか、また何に使用されるかを示しています。
| Window 2003、Windows XP, Windows 2000 |
TCP & UDP |
1024-5000 | Ephemeral Dynamic Service Response Ports | |
| Windows 2008/Vista 以降 | TCP & UDP 49152-> | 1024-5000 | Essential Service Response Ports65535 | Ephemeral Dynamic Service Response Ports |
| TCP Dynamic Ephemeral | Replication, ユーザーとコンピュータの認証、グループポリシー、信頼 | RPC、DCOM、EPM、DRSUAPI、NetLogonR、SamR、FRS | ||
| UDP Dynamic Ephemeral | グループポリシー | DCOM.NetLogonR、SamR、FRS、DRSUAPI、RPC、DCOM、EPM、DRSUAPI、NetLogonR、SamR、FRS |
シナリオがNT4 BDCとの混合モードNT4 & Active Directoryシナリオである場合、以下を開く必要があります。
| TCP & UDP 1024 – 65535 | NT4 BDC to Windows 2000 or newer Domain controller PDC-E communications | RPC, LSA RPC, LDAP, LDAP SSL, LDAP GC, LDAP GC SSL, DNS, Kerberos, SMB |
See, wasn’t that simple?
ポートの説明のない短いリスト。
| プロトコル | ポート |
| TCP | 25 |
| TCP | 42 |
| tcp | 135 |
| tcp | 137 |
| tcp | 139 |
| TCP および UDP | 389 |
| TCP | 636 |
| TCP | 3268 |
| TCP | 3269 |
| TCPおよびUDP | 53 |
| TCPおよびUDP | 445 |
| TCP 〈8752〉。 | 9389 |
| TCP | 5722 |
| TCP および UDP | 464 |
| 123 | |
| udp | 137 |
| udp | 138 <8752><2297>の場合 |
| udp | 67 |
| udp | 2535 |
| tcp & udp | 1024- (敬称略5000 |
| TCP & UDP | 49152-65535 |
シナリオがNT4 BDCと混合モードNT4 & Active Directoryシナリオであれば、そのシナリオは、NT4 BDCを使用します。
次のエフェメラル ポートを開く必要があります (はい、ほぼすべての範囲です)。
| TCP & UDP | 1024-65535 |
Restricted Ports Across a Firewall
DC to DC replication traffic, DC to client communications, to specific portsも制限できるようになっています。 どのようなポートやサービスを制限するかにもよりますが、覚えておいてください。 このオプションを選択する場合、正しいサービスの正しいポートを指定する必要があります。
制限したいポートやサービスによって異なります
Method 1
これは、特定の AD レプリケーション ポートを設定するために使用します。 デフォルトでは、あるサイトのDCから別のサイトのDCにデータをレプリケートするために、動的なポートを使用します。
これは、特定のポート範囲にADレプリケーションを制限するために適用されます。
手順: レジストリを変更し、静的ポートを選択します。
HKEY_LOCAL_MACHINE
http://support.microsoft.com/kb/224196
方法2
これは、Windowsファイアウォールのポート範囲を設定するためのものです。
Netsh – 開始ポート範囲を設定するには、次の例を使用します。 とその後に使用するポート数
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
TCP/IPのデフォルト動的ポート範囲はWindows VistaとWindows Server 2008で変更されています
http://support.microsoft.com/kb/929851
Modification registry
Windowsサービスコミュニケーションに関するものです。 AD通信にも影響します。
HKEY_LOCAL_MACHINESoftware\MicrosoftRpc
How to configure RPC dynamic port allocation to work with firewalls
http://support.microsoft.com/kb/154596/en-us
ADレプリケーションポート制限の関連リンクはこちらです。
参照スレッド:
http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/76e8654a-fbba-49af-b6d6-e8d9d127bf03/
RODC Firewall Port Requirements
http://technet.microsoft.com/en-us/library/dd772723(WS.10)).aspx
Active Directory のファイアウォール上でのレプリケーション
http://technet.microsoft.com/en-us/library/bb727063.aspx
RODC – 「読み取り専用ドメイン コントローラー」には独自のポート要件があります
|
。 トラフィック
|
トラフィックの種類 |
| UDP 53 DNS | |
| TCP 53 DNS | |
| RPC.DNS | |
| DNS | |
| TCP Static 53248 | FRsRpc |
| TCP 389 | LDAP |
| TCP and UDP Dynamic 1025 – 5000 |
Windows 2000, Windows 2003, Windows XP Ephemeral Ports |
| TCP および UDP Dynamic 49152 – 65535 | Windows 2008、Windows Vista およびすべての新しい OS Ephemeral Ports |
周辺ネットワークにおける RODC 設計
http://technet.microsoft.com/en-us/library/dd728028(WS.10).aspx
Active Directory レプリケーション トラフィックとクライアント RPC トラフィックを特定のポートに制限する
http://support.microsoft.com/kb/224196
RODC とファイアウォール ポートに関する適切な議論が必要:
http://forums.techarena.in/active-directory/1303925.htm
RODC 認証の仕組みに関するさらなる情報は、ポートの理解に役立つはずです。
Understanding “Read Only Domain Controller” authentication
http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx
How to configure the firewall for domains and trusts
http://support.microsoft.com/kb/179442
Active Directory および Active Directory Domain Services Port Requirements、Updated: 2009年6月18日(Windows Vista/2008およびそれ以降の新しいエフェメラルポートの更新を含む)。 これは、RODCポートの要件についても説明しています。 また、エフェメラルポートが開かれていることを確認する必要があります。 それらは次のとおりです。
TCP & UDP 1025-5000
TCP & UDP 49152-65535
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Windows 2008, 2008 R2, Vista and Windows 7 Ephemeral Port range has changed from the ports used by Windows 2003 Windows XP, and Windows 2000.X, Windows Vista, Windows 7.X は、エフェメラルポートを開放しています。 デフォルトのエフェメラル (ランダム サービス動的応答ポート) は UDP 1024 ~ 65535 ですが (下記の KB179442 を参照)、Vista と Windows 2008 では異なります。 それらのデフォルトの開始ポートの範囲は UDP 49152 ~ UDP 65535 です(下記の KB929851 を参照)
KB929851 (下記にリンクを掲載) から引用します。 “Internet Assigned Numbers Authority (IANA) の勧告に準拠するため、Microsoft は Windows Vista および Windows Server 2008 において、発信接続用の動的クライアント ポートの範囲を拡大しました。 新しいデフォルトの開始ポートは49152で、デフォルトの終了ポートは65535です。 これは、デフォルトのポート範囲として 1025 から 5000 を使用していた以前のバージョンの Microsoft Windows の構成からの変更です」
Windows Vista、Windows 7、Windows 2008 および Windows 2008 R2 サービス応答ポート(エフェメラル ポート)は変更されました。
http://support.microsoft.com/?kbid=929851
Active Directory と Firewall ポート – Active Directory が Firewall 間のレプリケーションに必要なポートが開いているかどうか、インターネット上で明確なリストを見つけることは困難だと思いました。 …
http://geekswithblogs.net/TSCustomiser/archive/2007/05/09/112357.aspx
Active Directory Replication over Firewalls, Jan 31, 2006. (Windows Vista/2008 以前の古い ephemeral ポートを含む)
http://technet.microsoft.com/en-us/library/bb727063.aspx
How Domains and Forests Work
必要なポートのリストも表示されます
http://technet.microsoft.com/en-us/library/cc783351(v=ws.10)).aspx
Paul Bergson’s Blog on AD Replication and Firewall Ports
http://www.pbbergs.com/windows/articles/FirewallReplication.html
Exchange DS Access ports
Configuring an Intranet Firewall for Exchange 2003, April 14, 2006.04.20.に掲載されたものです。
イントラネットファイアウォールに必要なプロトコルポートとActive DirectoryおよびKerberos通信に必要なポート
http://technet.microsoft.com/en-us/library/bb125069.aspx
追加情報
Restricting Active Directory replication traffic and client RPC traffic to a … unique port, and you restart the Netlogon service on the Domain Controller. …
http://support.microsoft.com/kb/224196
FRSレプリケーショントラフィックを特定の固定ポートに制限する方法 – FRSレプリケーショントラフィックを特定の固定ポートに制限する方法 …
http://support.microsoft.com/kb/319553
Windows 2000ベースのドメインコントローラーとサーバーはFRSを使ってシステムポリシーをレプリケー…
Some firewall may reject network traffic that origates from Windows Server 2003 Service Pack 1 or Windows Vista-based computers
this KB indicate Checkpoint firewalls with AD communications have an problem.See the checkpoint.The KB.
http://support.microsoft.com/?kbid=899148
Checkpoint Firewall と AD、DNS、RPC 通信およびレプリケーション トラフィック
Checkpoint Firewall は、バージョン R55 またはそれ以前を実行している場合、既知の問題が発生します。 vpn を介して 2 つのサイト間でトラフィックが流れるように、レジストリ エントリを作成する必要があります。 望ましい解決策は、チェックポイント社のファイアウォールをアップグレードすることです。
詳細:
一部のファイアウォールは、Windows Server 2003 Service Pack 1 ベースまたは Windows Vista ベースのコンピューターから発信されるネットワーク トラフィックを拒否する場合があります
(このリンクは Checkpoint の問題に関連し解決を支援します)
http://support.microsoft.com/?kbid=899148
インターネット上のある投稿者からの Checkpoint ファイアウォールでの注意事項です。
Windows 2003 R2 および R2 以外のリモート ドメイン コントローラーでは、Server2003NegotiateDisable エントリを
HKEY_LOCAL_MACHINE³³SOFTWARE³³PoliciesMicrosoft³³Windows NT³³Rpc
I know you’ve enjoyed reading this.For the Windows Server2003NegotiateDisable in ShadowWare³³SoftWare³³PoliciesMicrosoft³³Windows NT³³RpcThe Windows 2003 R2 では、以下のようになりました。
Well, whether you did or not, at least now you know what to make it work.
Comments, suggestions and corrections are welcomed!
=================================
概要
I hope this helps!
元の発行日。 2011/11/1
Updated 2014/11/4
Ace Fekay
MVP, MCT, MCSE 2012, MCITP EA & MCTS Windows 2008/R2, Exchange 2013, 2010 EA & 2007, MCSE & MCSA 2003/2000.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X.X, MCSA Messaging 2003
Microsoft Certified Trainer
Microsoft MVP – Directory Services
技術ブログ全リストを掲載。 http://www.delawarecountycomputerconsulting.com/technicalblogs.php
本投稿は現状有姿で提供され、いかなる保証も権利も付与されません
。