現在Youtubeに注力してますので是非チャンネル登録お願いします!

胡田昌彦のコンピューター系チャンネル

この記事は約3分で読めます。

色々なところに色々資料があってすこしずつ異なっていたりするけど、実際に動作を見た感じ以下が正解の気がします。少なくとも、実際に検証をしていた環境では適用できました。

  • TCP/UDP:53(DNS)
    • DC、グローバルカタログを検索するために必要。DNSは通常UDPで通信するけれども、512バイトを超える応答になる場合にはTCPで通信する。ただし、EDNS0を使えばUDPでも512バイトを超えるデータのやり取りが行える。
  • TCP/UDP:88(Kerberos)
    • Kerberosのチケットのやり取りのために必要。
  • UDP:137(NETBIOS)
    • NETBIOSでの名前解決。SMBを利用するなら必要。WINSも同じポート。Windows2000以降でDNSでの名前解決ができるなら必要ない、つまりAD前提なら無くてもよい。資料によって記述が異なりTCPも必要と書かれているものがあるが、おそらく本当はUDPだけでいいはず(WindowsFireWallはそうなってるし、パケットを取得してもTCP137番は検出できない)CIFSを利用する環境であれば必要ない。
  • UDP:138(NETBIOS)
    • NetBIOSデータグラムサービス。SMBを利用するなら必要。CIFSのみを利用する環境であれば必要ない。
  • TCP:139(NETBIOS)
    • NetBIOSセッション。SMBを利用するなら必要。CIFSのみを利用する環境であれば必要ない。
  • TCP/UDP:389(LDAP)
    • LDAP。DCと認証するために必要。
  • TCP:3268(GC)
    • GC。DCと認証するために必要。
  • TCP 445(CIFS)
    • Windows2000以上で使える137,138,139を代替するポート。名前解決にはDNSを利用。NETBIOSよりもこちらをあけておくべき。
  • UDP:123(NTP)
    • 時刻同期のため。DCとは時刻同期するように勝手になるので、これがあいてないとイベントログにエラーが出ます。
  • TCP:135(RPC)
    • リモートプロシージャコール。一度135番に接続した後に、どのポートで接続するかを通知し、その後ランダムな別ポートで接続するというネットワーク管理者泣かせの機構。なぜこのようなことが必要なのか私はまだ理解できていない。DCとの間ではセキュアチャンネルの確立やその後のグループポリシーの適用のために必要。ただし、開けておかなくても一応ログイン等はできる。ただし、非常に時間がかかる(起動に5分、ログインに5分とか)。UDPの135も必要だと書いてある資料も多いが、実際にパケットを取得すると何も流れていない。何か特別な状況でのみ使われるのかもしれない。
  • TCP:1024〜65535 or レジストリで指定したポート(RPC)
    • 上記RPCのためのポート。ポート制限をかける場合には固定するのが常套手段です。固定範囲は49152 〜 65535にするのが推奨。単一のポートに設定すべきか、範囲を持たせるべきかも資料によって提案が異なっています。TCPの世界のことだけを考えれば単一ポートだけで十分に足りることが想定されるのですが、経験上100程度は開けろと書いてある資料もあり。私なら単一にしておいて、問題がおきたら範囲を広げます。

参考

コメント