KnowHow

技術的なメモを中心にまとめます。
検索にて調べることができます。

一般的にWindows Active Directoryに必要なポート番号例

登録日 :2024/06/13 04:17
カテゴリ :ネットワーク

Active Directoryの主要なポートとプロトコル

  • LDAP(Lightweight Directory Access Protocol): 一般的なディレクトリサービス
TCP/UDP 389 (標準のLDAP通信)
TCP 636 (LDAP over SSL/TLS)
  • Kerberos: ケルベロス認証
TCP/UDP 88
  • DNS(Domain Name System): 名前解決
TCP/UDP 53
  • Global Catalog: Active Directory(AD)で使用される特殊なディレクトリサービス
TCP 3268 (標準のGC通信)
TCP 3269 (GC over SSL/TLS)
  • NetBIOS: (Network Basic Input/Output System)は、古くから使用されているネットワークプロトコルの一つで、特にWindowsネットワークでのコンピュータ名解決やリソース共有に使用されていました。
UDP 137 (NetBIOS名前解決) 現在必須ではないが古いシステムで必要
UDP 138 (NetBIOS Datagram Service) 現在必須ではないが古いシステムで必要
TCP 139 (NetBIOS Session Service) 現在必須ではないが古いシステムで必要
  • SMB(Server Message Block):ファイル共有。必須ではない。
TCP 445:
  • RPC(Remote Procedure Call):ネットワーク上でプログラム間通信を行うためのプロトコル
TCP 135
動的RPCポート(1024-65535): 特定のアプリケーションやサービスで使用される場合
  • その他の必要なポート:
TCP 53(DNSサービス)
UDP 123(NTP - Network Time Protocol)

ACLの例
Active Directoryの通信を許可するACLをCiscoのルータやスイッチに設定する場合、以下のような設定が考えられます。ここでは、例としてActive Directoryのサーバーが192.168.1.100であると仮定します。

ip access-list extended ALLOW_AD
 permit tcp any host 192.168.1.100 eq 389  -- LDAP
 permit udp any host 192.168.1.100 eq 389  -- LDAP
 permit tcp any host 192.168.1.100 eq 636  -- LDAP over SSL
 permit tcp any host 192.168.1.100 eq 88   -- Kerberos
 permit udp any host 192.168.1.100 eq 88   -- Kerberos
 permit tcp any host 192.168.1.100 eq 53   -- DNS
 permit udp any host 192.168.1.100 eq 53   -- DNS
 permit tcp any host 192.168.1.100 eq 3268 -- Global Catalog
 permit tcp any host 192.168.1.100 eq 3269 -- Global Catalog over SSL
 permit udp any host 192.168.1.100 eq 137  -- NetBIOS Name Service
 permit udp any host 192.168.1.100 eq 138  -- NetBIOS Datagram Service
 permit tcp any host 192.168.1.100 eq 139  -- NetBIOS Session Service
 permit tcp any host 192.168.1.100 eq 445  -- SMB
 permit tcp any host 192.168.1.100 eq 135  -- RPC
 permit udp any host 192.168.1.100 eq 123  -- NTP

インバウンドにACLを適用する場合

interface GigabitEthernet0/1
 ip access-group ALLOW_AD in

アウトバウンドにACLを適用する場合

interface GigabitEthernet0/1
 ip access-group ALLOW_AD out

ip access-list extended ALLOW_AD
 permit tcp any host 192.168.1.100 eq 389    ! LDAP
 permit udp any host 192.168.1.100 eq 389    ! LDAP
 permit tcp any host 192.168.1.100 eq 636    ! LDAP over SSL/TLS
 permit tcp any host 192.168.1.100 eq 3268   ! Global Catalog
 permit tcp any host 192.168.1.100 eq 3269   ! Global Catalog over SSL/TLS
 permit tcp any host 192.168.1.100 eq 88     ! Kerberos
 permit udp any host 192.168.1.100 eq 88     ! Kerberos
 permit tcp any host 192.168.1.100 eq 445    ! SMB (File Sharing)
 permit tcp any host 192.168.1.100 eq 135    ! RPC
 permit udp any host 192.168.1.100 eq 123    ! NTP

戻る