Windowsクライアントとドメインコントローラー間でのみ開く必要があるポートの最小数
Windowsクライアント(XPまたは7)とドメインコントローラー(Window Server 2008 R2)の間にファイアウォールを配置する場合、どのポートを開く必要があるかを知りたいだけです。
クライアントとDCの間であり、DC to DCの間ではないことに注意してください。
私はグーグルで検索しましたが、グーグルでは私が得た答えはクライアントの間だけでなく、DC to DC。
私の発見によると、私は開く必要があります。
- Kerberos認証用のTCPおよびUDPポート88
- LDAPのTCPおよびUDP 389
- SMB/CIFS/SMB2のTCPおよびUDP 445
- Kerberosパスワード変更用のTCPおよびUDPポート464
- グローバルカタログ用のTCPポート3268および3269
- DNS用のTCPおよびUDPポート53
- TCPおよびUDP動的-1025〜5000(Windows Server 2003)およびDCOM、RPC、EPMの場合は49152〜65535(Windows Server 2008)から開始
何か不足している場合はお知らせください。
注:-クライアントとDCの間のみです。
以下は、リクエストしているデータを示すMicrosoftからのリンクです。 2003と2008のダイナミックレンジが変更されているため、混合環境の場合は、両方のレンジを開くか、静的にする必要がある場合があります。
- http://support.Microsoft.com/kb/179442
- http://support.Microsoft.com/kb/224196 は、ファイアウォールの構成に役立つダイナミックレンジを制限します。
クライアントのダイナミックレンジを表示するには、以下のコマンドを使用できます。これについての詳細は、kb929851にあります(このサイトでは3番目のリンクを投稿できないため、短縮する必要がありました)。
- netsh int ipv4 show dynamicport tcp
- netsh int ipv4 show dynamicport udp
- netsh int ipv6 show dynamicport tcp
- netsh int ipv6 show dynamicport udp
あなたが言及したリストの他に、あなたはまた必要とするでしょう:
- RPCエンドポイントマッパーのTCPポート135
- KerberosのTCP/UDPポート88
- 時間のUDPポート123
LDAP over SSLを利用する場合は、TCPポート636も必要です。