Windows Server で Active Directory、RDP、DNS などに開くポート

ネットワークの管理は、 Windows Serverの 正確な知識が必要です 開いている必要があるポート サービスが適切に機能するため。リモート ログインの有効化からユーザー認証と適切なドメイン名解決の保証まで、さまざまなプロトコルが特定のポートに依存して動作します。これらのポートを正しく管理するには、以下の情報を参考にすると便利です。 ネットワークポートの種類.

あなたが Active Directory (AD) サーバー、 DNSサーバ、またはアクセスを有効にする リモートデスクトップ（RDP）ポートを開くことが重要です。適切に行わないと、接続エラーや認証の問題が発生したり、必要以上のポートが開いたままになっているとインフラストラクチャのセキュリティが侵害される可能性があります。

Windows Server のプロトコルとポートに関する一般的な概念

Windows Serverは、オープンアクセスを必要とする非常に多様なサービスを使用します。 TCPおよびUDPポート。これらのポートにより、ネットワーク内および外部のさまざまなデバイスやサービス間の通信が可能になります。これらのポートで使用される2つの主なプロトコルは TCP（伝送制御プロトコル） y UDP（ユーザデータグラムプロトコル）.

TCP すべてのパケットが正しい順序で到着することを保証する、接続指向の信頼性の高いプロトコルであることが特徴です。そのため、HTTP、FTP、RDP などの安定性が求められるサービスで使用されます。一方で、 UDP 高速ですが信頼性が低いため、DNSなどのサービスに選ばれています。 ストリーミング、オンラインゲームなど

さらに、ポートは次のように分類されます。

• 既知のポート (0-1023): HTTP（80）、DNS（53）、または SSH とします。
• 登録済みポート（1024～49151）: あまり一般的ではないサービスやアプリケーション用に作成されました。企業でも登録可能です。
• 動的または一時ポート (49152-65535): クライアントが接続を開始するときにシステムによって使用されます。ランダム ポートまたは一時ポートとも呼ばれます。

Active Directory (AD) で使用されるポート

Active Directory は、あらゆる Windows ベースのドメイン ネットワークの中心です。サービスが適切に機能するには、 いくつかの重要な港 主にプロトコルに関連する LDAP、Kerberos、RPC。さまざまな設定でこれらのサービスと通信する方法の詳細については、こちらをご覧ください。

最も重要なものは次のとおりです。

• TCP/UDP 389: これは、LDAP (Lightweight Directory Access Protocol) で使用されるポートです。これは、ユーザー認証とディレクトリ複製の優先事項です。
• TCP 636: LDAP over SSL (LDAPS) に使用されます。
• TCP/UDP 88: Kerberos プロトコルに関連付けられ、認証に使用されます。
• TCP 445: SMB によってファイルとプリンターの共有に使用されます。
• TCP 135: RPC エンドポイント マッパー。
• TCP 3268 / 3269: グローバルカタログ (GC)。検索の場合は 3268、安全な接続 (SSL) が必要な場合は 3269 です。
• TCP 9389: Active Directory Web サービス (ADWS)。
• TCP/UDP 53: DNS 解決用のポート。
• TCP 49152–65535: RPC 動的ポート範囲。

これらのポートはすべての ドメインコントローラー AD と対話するシステム。また、異なるサイトまたはネットワーク内のドメイン コントローラーを操作する場合は、場所間でこれらのポートを許可するようにしてください。

リモート デスクトップ (RDP) に必要なポート

リモート デスクトップ (RDP) は、Windows Server 環境で最もよく使用される機能の 1 つです。デフォルトのポートは 3389 TCPただし、セキュリティ上の理由により変更される可能性があります。これらのアクセス ポイントのセキュリティを維持することは、ネットワークを保護するために不可欠であることを理解することが重要です。

インフラストラクチャと展開されるロールの数 (RD ゲートウェイ、RD ライセンス、RD セッション ホストなど) に応じて、必要なポートは異なります。ここでは重要な点を紹介します。

• TCP/UDP 3389: デフォルトの RDP ポート。
• TCP 443: Web 経由のリモート デスクトップ (RDWeb) またはゲートウェイが使用される場合、HTTPS でカプセル化されます。
• UDP3391: UDP 経由の RDP トラフィック。ゲートウェイと併用するとより効率的になります。
• TCP 5504: Web アクセスと接続ブローカー間の通信。
• TCP 5985: 投与方法 PowerShellの および WMI。
• TCP 445: ライセンス サーバーとホスト間の SMB 通信。
• TCP 139 / UDP 137-138: 従来の環境で使用される NetBIOS サービス。
• TCP 49152–65535: RPC による動的使用。

これらのポートは、 特定の役割が実装された RDS サーバー内。インターネット ベースの接続またはロード バランサーを使用している場合、RD ゲートウェイは、RDP を HTTPS でカプセル化し、ファイアウォールや NAT の問題を回避するのに最適です。

DNSサーバーのポート

DNS (ドメイン ネーム システム) を使用すると、ネットワーク内外のコンピューターが「server.contoso.local」などのドメイン名を IP アドレスに解決できます。正しく設定されていることを確認してください。これを行うには、 DNSサーバー.

このサービスの主なポートは次のとおりです。

• UDP53: ほとんどの DNS クエリの場合。
• TCP 53: これは、応答が UDP パケットのサイズを超えた場合、または DNS サーバー間のゾーン間転送に使用されます。

すべてのサービスと同様に、DNS サーバーとして機能するコンピューター上でのみポートを開いたままにして、許可されていないネットワークからのアクセスをフィルタリングするファイアウォール ルールを適用することをお勧めします。

DHCPとWINSのポート

IPアドレスが動的に配信されるネットワークでは、 DHCP特定のポートを許可する必要があります。

• UDP67: DHCP サーバーによってリッスンされます。
• UDP68: クライアントが構成を受信するために使用します。

WINS は非推奨ですが、レガシー アプリケーションが存在するレガシー環境では引き続き使用できます。

• UDP137: NetBIOS 名前解決。
• UDP138: NetBIOS データグラム サービス。
• TCP 139: NetBIOS セッション。

これらのサービスが使用されない場合は、脆弱性を回避するためにそれらを無効にし、対応するポートを閉じることを強くお勧めします。また、どのように相談するかについてもご相談ください USBデバイスを適切に管理する システム全体のセキュリティの一環として。

プリントサーバーに必要なポート

未使用のポートが開いたままになっている場合、プリント サーバーは危険にさらされる可能性もあります。したがって、Windows Server 経由で印刷キューを管理する場合は、次のポートがアクティブであることを確認してください。

• TCP 135: RPC。
• UDP 137-138: 従来のネットワークでのプリンタ共有には NetBIOS が必要です。
• TCP 139: TCP 経由の NetBIOS 通信。
• TCP 445: ファイルとプリンターを共有するための SMB プロトコル。

プリント サーバーをリモートで管理する場合は、RPC プロトコルで使用される動的な高ポート (49152 ～ 65535) を開くこともお勧めします。これらのポートを操作することは、スムーズで安全な操作に非常に重要です。

タイムサービスポート (NTP/SNTP)

Windows Server には、システム クロックを外部ソースまたはドメイン コントローラーと同期する Windows Time サービス (W32Time) が既定で含まれています。正確な時間を維持することは、システムのセキュリティと機能にとって不可欠です。

このサービスのポートは次のとおりです。

• UDP123: NTP および SNTP で使用されるポート。

サーバーが外部のタイム ソースと同期する場合、またはネットワーク上の他のコンピューターがそれを時間参照として使用する場合は、このポートを開く必要があります。

電子メール サービスのポート (SMTP、POP3、IMAP)

Microsoft Exchange やその他の Windows Server ベースのサーバーなどのメール サーバーがある場合は、以下を開く必要があります。

• TCP 25: SMTP（メール送信）。
• TCP 465 / 587: SSL または TLS を使用した SMTP。
• TCP 110: ポップ3。
• TCP 995: SSL 対応 POP3。
• TCP 143: IMAP。
• TCP 993: SSL を使用した IMAP。

通信の整合性を維持するために、暗号化されたポートを優先し、安全でないプロトコルに関連付けられたポートを削除またはブロックすることをお勧めします。経営についてさらに詳しく知るには OSの en Windows 11.

IIS の Web サービス用のポート

サーバーがウェブページをホストしている場合 インターネットインフォメーションサービス（IIS）、ファイアウォールで次のポートを開く必要があります。

• TCP 80: HTTP (暗号化なし)。
• TCP 443: HTTPS (SSL/TLS 暗号化)。
• TCP 8080: 開発や管理でよく使用される HTTP の代替ポート。

HTTPS トラフィックがスムーズに実行され、ブラウザでセキュリティ警告が表示されないようにするには、有効な証明書を用意することが重要です。サーバーを管理するときは、脆弱性を回避するために開いているポートを十分に理解しておくことが重要であることに注意してください。

Windows Server で開いているポートを確認する方法

システム自体からは、いくつかの方法を使用できます。

• netstat -an: すべてのアクティブな接続とリスニング ポートを表示します。
• Get-NetTCPConnection (PowerShell): アクティブな TCP 接続を一覧表示するのに非常に便利です。
• テルネット: ポートが別のコンピューターからアクセスできるかどうかを確認します。
• テストネット接続: 接続をテストするためのより新しい PowerShell コマンド。

例：

Test-NetConnection -ComputerName servidor.contoso.local -Port 3389

あなたも利用することができます nmap 別のマシンからポートの全範囲をスキャンできるので、監査に最適です。適切なスキャンと監視のために、以下について読んでみてください。 監視ソフトウェア リソースをより適切に管理するのに役立ちます。

危険なポートまたは頻繁に悪用されるポート

歴史的に大規模な攻撃の標的となってきた港があります。例:

• TCP 3389: RDP は多くのランサムウェア攻撃でブルートフォース攻撃を受けています。
• TCP 445: 悪用される マルウェア WannaCry のように。
• TCP 23: 暗号化されていない Telnet は決して公開しないでください。
• UDP161: SNMP は、使用されていない場合は閉じた方がよいでしょう。

これらのポートを不必要に開いたままにしておくことは、 サイバーセキュリティ。このようなケースを検出するには、ネットワーク上で頻繁にスキャンを実行してください。ポート管理はネットワークのセキュリティを確保するために継続的に行う必要があるタスクであるため、次のことを知っておく必要があります。 よくある間違いへの対処 それが起こるかもしれない。

ポートを開くためのベストプラクティス

• 必要なポートのみを開きます。 セキュリティの観点からは、少ないほど良いです。
• ローカルおよび境界ファイアウォールを使用する: 各サーバーとネットワークのエッジにファイアウォールを構成します。
• 可能な場合は、デフォルトのポートを変更します。 特に RDP では、ポート 3389 を変更すると自動攻撃が減少します。
• IP によるアクセス制限: ホワイトリストを使用して、サーバーにアクセスできるオリジンを制限します。
• 定期的に監査する: スキャン ツールを使用して、不必要に開いているポートを検出します。

Windows Server で開いているポートを適切に管理することは、サービスが正しく動作することを保証するだけでなく、攻撃対象領域を最小限に抑えるためにも重要です。それぞれの役割、必要なポート、それらのセキュリティを確保する方法を知ることで、内部または外部の脅威に対してより堅牢なインフラストラクチャを構築できるようになります。