web-dev-qa-db-ja.com

クライアントがログオンするために、ドメインコントローラーでどのポートにアクセスできる必要がありますか?

現在、ネットワークをセグメント化しています。サーバーをクライアントとは別のサブネットに移動します。もちろん、クライアントはドメインコントローラーに対して認証するためにドメインコントローラーにアクセスする必要があります。

レプリケーションを可能にするためにドメインコントローラー間でアクセスできる必要があるポートに関するさまざまな記事を見つけましたが、クライアントにとって重要なポートについては何も見つかりませんでした。たとえば、クライアントがLDAPデータベースに直接アクセスすることはないと確信しており、攻撃対象領域を可能な限り減らしたいと考えています。

では、クライアントがドメインコントローラーと連携できるようにするには、どのポートが必要ですか?

networkingactive-directoryfirewallportdomain-controller
1
davidb
tcp/53 DNS  
tcp/88 Kerberos  
tcp/135 RPC  
tcp/445 sysvol share  
tcp/389 LDAP  
tcp/464 Kerberos password (Max/Unix clients)  
tcp/636 LDAP SSL  (if the domain controllers have/need/use certificates)   
tcp/1688 KMS (if KMS is used.  Not necessarily AD, but the SRV record is in AD and clients need to communicate with the KMS).  
tcp/3268 LDAP GC
tcp/3269 LDAP GC SSL (if the domain controllers have/need/use certificates)   
tcp/49152 through 65535 (Windows Vista/2008 and higher) aka “high ports”  

udp/53 DNS
udp/88 Kerberos
udp/123 time  
udp/135 RPC  
udp/389 LDAP  
udp/445 sysvol share

Active Directoryの静的RPCポートを構成することにより、高ポート範囲を最小化できます。

Active DirectoryRPCトラフィックを特定のポートに制限する
https://support.Microsoft.com/en-us/kb/224196

特に、大規模で複雑なネットワークがある場合、またはアカウントが多数のグループ/大きなトークンサイズのメンバーである場合は、Kerberosにtcp/ipのみを使用するように強制することをお勧めします。

WindowsでKerberosがUDPの代わりにTCP=を使用するように強制する方法
https://support.Microsoft.com/en-us/kb/244474

6
Greg Askew

クライアントはKerberosにアクセスして、次のようにする必要がありますTCP 88次に、グローバルカタログサービスがあるので、TCP 3268KPasswordサービスがありますTCP 464(これによりパスワードの変更が可能になります)次にLDAPポートTCP 389、クライアントはドメインコントローラーを見つけるためにこれにアクセスする必要があります。

Kerberos(88)とKPassword(464)用のUDPポートもあります。これらが必要かどうかはわかりません。最初にそれらなしで試してください。

2
Michael Brown