KCPSファイルサーバー上で利用されている、Windows Server 規定の各種サービスのポート要件
※ファイルサーバーを通常の業務PCからのファイル共有する際に必要なプロトコルとなります。

[参考情報]
Windows のサービス概要およびネットワーク ポート要件
https://support.microsoft.com/ja-jp/help/832017

使用プロトコル	送信元	送信先	アクション	内容
DNS (53/TCP・UDP)	KCPS-FS(DNS)	お客さま　DNSサーバー	信頼関係確立時	お客さまAD名前解決
			KCPS-FSブラウジング時
	ファイル共有クライアント	お客さま　DNSサーバー	アクセス権設定時	KDDIドメイン名/お客さまAD名前解決
			KCPS-FSブラウジング時	KCPS-FS名前解決
	お客さま　DNSサーバー	KCPS-FS(DNS)	アクセス権設定時	KDDI AD名前解決
ICMP	KCPS-FS(AD)	お客さま　ADサーバー	信頼関係確立時	IP到達確認
	ファイル共有クライアント	KCPS-FS	KCPS-FSブラウジング時
SMB (445/TCP)	KCPS-FS(AD)	お客さま　ADサーバー	信頼関係確立時	認証要求/信頼関係作成処理
	お客さま　ADサーバー	KCPS-FS(AD)	信頼関係確立時	信頼関係作成処理
	ファイル共有クライアント	KCPS-FS	KCPS-FSブラウジング時	認証要求
RPC (49152～49251,49252 ～ 65535,135,593/TCP)	KCPS-FS(AD)	お客さま　ADサーバー	信頼関係確立時	信頼関係作成処理
			KCPS-FSブラウジング時	認証要求
	お客さま　ADサーバー	KCPS-FS(AD)	信頼関係確立時	信頼関係作成処理
	ファイル共有クライアント	KCPS-FS	アクセス権設定時	RPCセッション確立要求/RPC通信
LDAP(389/TCP・UDP) LDAP SSL(636/TCP) LDAP GC(3268,3269/TCP)	ファイル共有クライアント	KCPS-FS(AD)	アクセス権設定時	権限内容の検索要求
	ファイル共有クライアント	お客さま　ADサーバー	アクセス権設定時	お客さまADに検索要求
NetBIOS Session Service (137,138/UDP ,139/TCP)	ファイル共有クライアント	KCPS-FS	KCPS-FSブラウジング時	認証要求
RDP (3389/TCP)	お客さま管理用PC	KCPS-FS	信頼関係確立時	リモートデスクトップ接続
			容量上限設定時
Kerberos (88,464/TCP・UDP)	KCPS-FS(AD)	お客さま　ADサーバー	信頼関係確立時	認証要求/信頼関係作成処理
	お客さま　ADサーバー	KCPS-FS(AD)	信頼関係確立時	信頼関係作成処理
	ファイル共有クライアント	KCPS-FS	KCPS-FSブラウジング時	認証要求
WinRM (5985,5986/TCP)	お客さま管理用PC	KCPS-FS	リモート操作時	リモート操作

※ 表中の「KCPS-FS」は「KCPSファイルサーバー」を意味しております。
※ FSRMでメール通知機能をご利用のお客さまは「SMTP(25 or 587/TCP)KCPS-FS⇒お客さまメールサーバー」も開放する必要があります。
※ 「お客さまAD」とは「お客さまドメイン内の1台目のドメインコントローラ(PDCエミュレーターを実装)」になります。

 

• Active Directory (ローカル セキュリティ機関): LSASS
  Active Directory は、Windows ドメイン コントローラーの認証およびレプリケーションを実行するエンジンを含んでおり、Lsass.exe プロセスで実行されます。 ドメイン コントローラー、クライアント コンピューター、およびアプリケーション サーバーは、特定のハードコーディングされたポートで Active Directory とネットワーク接続している必要があります。 さらに、トンネリング プロトコルを使用して Active Directory へのトラフィックをカプセル化していない限り、1024 ～ 5000 および 49152 ～ 65535 の TCP エフェメラル ポートの範囲が必要です。
  

アプリケーション プロトコル	プロトコル	ポート
グローバル カタログ	TCP	3269
グローバル カタログ	TCP	3268
ICMP		ポート番号なし
LDAP サーバー	TCP	389
LDAP サーバー	UDP	389
LDAP SSL	TCP	636
RPC	TCP	135
RPC によってランダムに割り当てられた非特権 TCP ポート	TCP	49152 ～ 65535
SMB	TCP	445

 

• DNS サーバー: DNS
  DNS サーバー サービスは、クエリへの応答および DNS 名の要求の更新を行うことにより、DNS 名前解決を実行します。 DNS 名を使用して識別されるデバイスとサービスを検索したり、Active Directory のドメイン コントローラーを検索したりするには、DNS サーバーが必要です。
  

アプリケーション プロトコル	プロトコル	ポート
DNS	UDP	53
DNS	TCP	53

 

• Kerberos キー配布センター: kdc
  Kerberos キー配布センター (KDC) システム サービスを使用すると、ユーザーが Kerberos V5 の認証プロトコルを使用してネットワークにログオンできます。 他の Kerberos プロトコルの実装と同様に、KDC は、認証サービスとチケット保証サービスという 2 つのサービスを提供する 1 つのプロセスです。 認証サービスはチケット保証チケットを発行し、チケット保証サービスはそのドメイン内のコンピューターに接続するためのチケットを発行します。
  

アプリケーション プロトコル	プロトコル	ポート
Kerberos	TCP	88
Kerberos	UDP	88
Kerberos Password V5	UDP	464
Kerberos Password V5	TCP	464
DC ロケーター	UDP	389

 

• Net Logon: Netlogon
  Net Logon システム サービスは、コンピューターとドメイン コントローラー間のセキュリティ チャネルの管理、およびユーザーとサービスの認証を行います。 このサービスは、ユーザーの資格情報をドメイン コントローラーに渡し、ドメイン セキュリティ識別子とユーザー権利をユーザーに返す処理を行います。 これは、一般的にパススルー認証と呼ばれます。 Net Logon は、メンバー コンピューターまたはドメイン コントローラーがドメインに加わったときにのみ自動的に開始されるように構成されています。 Windows 2000 Server および Windows Server 2003 ファミリでは、Net Logon が DNS のサービス リソース レコードを発行します。 このサービスは、実行中に WORKSTATION サービスおよびローカル セキュリティ機関サービスに依存して、着信要求をリッスンします。 ドメイン メンバーのコンピューターでは、Net Logon は RPC over named pipe を使用します。 ドメイン コントローラーでは、RPC over named pipe、RPC over TCP/IP、メール スロット、およびライトウェイト ディレクトリ アクセス プロトコル (LDAP) を使用します。
  

アプリケーション プロトコル	プロトコル	ポート
NetBIOS データグラム サービス	UDP	138
NetBIOS 名前解決	UDP	137
NetBIOS セッション サービス	TCP	139
SMB	TCP	445
LDAP	UDP	389
RPC	TCP	135, 49152 ～ 65535 のランダムなポート番号

 

• Remote Procedure Call (RPC): RpcSs
  リモート プロシージャ コール (RPC) システム サービスは、データ交換、および他のプロセス内の機能の呼び出しを行うためのプロセス間通信 (IPC) メカニズムです。 同じコンピューター、LAN、遠隔地のいずれの場所にある他のプロセスとも通信でき、プロセスには WAN 接続または VPN 接続経由でアクセスできます。 RPC サービスは、RPC エンドポイント マッパーおよびコンポーネント オブジェクト モデル (COM) サービス制御マネージャーとして機能します。 多くのサービスは、正常に開始するために RPC サービスに依存しています。
  

アプリケーション プロトコル	プロトコル	ポート
RPC	TCP	135
RPC over HTTPS	TCP	593
NetBIOS データグラム サービス	UDP	138
NetBIOS 名前解決	UDP	137
NetBIOS セッション サービス	TCP	139
SMB	TCP	445

 

• サーバー: lanmanserver
  Server システム サービスは、ネットワーク上で RPC サポート、およびファイル共有、印刷共有、名前付きパイプの共有を提供します。 Server サービスにより、ディスクやプリンターなどのローカル リソースを共有でき、ネットワーク上の他のユーザーがそれらにアクセスすることができます。 ローカル コンピューターおよび他のコンピューター上で実行されているプログラム間の名前付きパイプ通信にも使用されます。 名前付きパイプ通信は、別のプロセスの入力として使用されるプロセスの出力用に予約されたメモリーです。 入力を受け付けるプロセスは、コンピューターに対してローカルである必要はありません。
  

アプリケーション プロトコル	プロトコル	ポート
NetBIOS データグラム サービス	UDP	138
NetBIOS 名前解決	UDP	137
NetBIOS セッション サービス	TCP	139
SMB	TCP	445

 

• ターミナル サービス: TermService
  ターミナル サービスは、マルチセッションの環境を提供して、サーバー上で実行されている仮想 Windows デスクトップ セッションおよび Windows ベースのプログラムに、クライアント デバイスからアクセスできるようにします。 ターミナル サービスにより、複数のユーザーがコンピューターに対話的に接続できます。
  

アプリケーション プロトコル	プロトコル	ポート
ターミナル サービス	TCP	3389

 

• Windows リモート管理 (WinRM)

アプリケーション プロトコル	プロトコル	ポート
WinRM 2.0	TCP	既定の HTTP ポートは TCP 5985 であり、既定の HTTPS ポートは TCP 5986 です。

 

ドメインの信頼関係、または、セキュリティ チャネルの確立に必要なポート

[参考情報]
ドメインと信頼関係のためのファイアウォールを構成する方法
https://support.microsoft.com/ja-jp/help/179442/

KCPSファイル サーバー	クライアント ポート	お客様 AD	サーバー ポート	使用する Windows のサービス
	49152 -65535/UDP		123/UDP	W32Time
	49152 -65535/TCP		135/TCP	RPC Endpoint Mapper
	49152 -65535/TCP		464/TCP/UDP	Kerberos password change
	49152 -65535/TCP		49152-65535/TCP	RPC for LSA, SAM, Netlogon
	49152 -65535/TCP/UDP		389/TCP/UDP	LDAP
	49152 -65535/TCP		636/TCP	LDAP SSL
	49152 -65535/TCP		3268/TCP	LDAP GC
	49152 -65535/TCP		3269/TCP	LDAP GC SSL
	53, 49152 -65535/TCP/UDP		53/TCP/UDP	DNS
	49152 -65535/TCP/UDP		88/TCP/UDP	Kerberos
	49152 -65535/TCP/UDP		445/TCP	SMB (信頼関係構築時のみ)

[注意事項]
・KCPSファイルサーバーから、お客さま AD に対して片方向信頼を結ぶ場合を想定しております。
・双方向信頼を結ぶ場合は、ファイヤーウォールにて設定をミラーリングする必要があります。

通信シーケンス

・信頼関係作成
KDDIドメインとお客さまドメイン間の信頼関係を結ぶ際の通信シーケンスは以下の通り。

• お客さまDNSにてKDDI ADから、お客さまADの名前解決が可能である必要があります。
• 信頼関係作成処理は、リモートデスクトップを利用しKDDIファイルサーバ(AD)で実施していただきます。

・アクセス権設定
フォルダやファイルのアクセス権を設定する際の通信シーケンスは以下の通りとなります。

• お客さまDNSにて、KDDIファイルサーバ(DNS)へ条件付きフォワーダーの設定を行う必要があります。
• 認証先お客さまドメイン(AD)とKDDIドメイン(AD)間で信頼関係が結ばれている必要があります。

・フォルダ/ファイルアクセス
利用者がファイル参照などをする際の通信シーケンスは以下の通りとなります。

• お客さまDNSにて利用クライアントから、KDDIファイルサーバの名前解決が可能である必要があります。
• 認証先お客さまドメイン(AD)とKDDIドメイン(AD)間で信頼関係が結ばれている必要があります。