KDDIクラウドプラットフォームサービス ナレッジサイト

  • HOME
  • サービス
  • オブジェクトストレージ・ファイルサーバー
  • KCPSファイルサーバー
  • 仕様

仕様

KCPSファイルサーバー上で利用されている、Windows Server 規定の各種サービスのポート要件
※ファイルサーバーを通常の業務PCからのファイル共有する際に必要なプロトコルとなります。

[参考情報]
Windows のサービス概要およびネットワーク ポート要件
https://support.microsoft.com/ja-jp/help/832017

使用プロトコル 送信元 送信先 アクション 内容
DNS
(53/TCP・UDP)
KCPS-FS(DNS) お客さま DNSサーバー 信頼関係確立時 お客さまAD名前解決
KCPS-FSブラウジング時
ファイル共有クライアント お客さま DNSサーバー アクセス権設定時 KDDIドメイン名/お客さまAD名前解決
KCPS-FSブラウジング時 KCPS-FS名前解決
お客さま DNSサーバー KCPS-FS(DNS) アクセス権設定時 KDDI AD名前解決
ICMP KCPS-FS(AD) お客さま ADサーバー 信頼関係確立時 IP到達確認
ファイル共有クライアント KCPS-FS KCPS-FSブラウジング時
SMB
(445/TCP)
KCPS-FS(AD) お客さま ADサーバー 信頼関係確立時 認証要求/信頼関係作成処理
お客さま ADサーバー KCPS-FS(AD) 信頼関係確立時 信頼関係作成処理
ファイル共有クライアント KCPS-FS KCPS-FSブラウジング時 認証要求
RPC
(49152~49251,49252 ~ 65535,135,593/TCP)
KCPS-FS(AD) お客さま ADサーバー 信頼関係確立時 信頼関係作成処理
KCPS-FSブラウジング時 認証要求
お客さま ADサーバー KCPS-FS(AD) 信頼関係確立時 信頼関係作成処理
ファイル共有クライアント KCPS-FS アクセス権設定時 RPCセッション確立要求/RPC通信
LDAP(389/TCP・UDP)
LDAP SSL(636/TCP)
LDAP GC(3268,3269/TCP)
ファイル共有クライアント KCPS-FS(AD) アクセス権設定時 権限内容の検索要求
ファイル共有クライアント お客さま ADサーバー アクセス権設定時 お客さまADに検索要求
NetBIOS
Session Service
(137,138/UDP ,139/TCP)
ファイル共有クライアント KCPS-FS KCPS-FSブラウジング時 認証要求
RDP
(3389/TCP)
お客さま管理用PC KCPS-FS 信頼関係確立時 リモートデスクトップ接続
容量上限設定時
Kerberos
(88,464/TCP・UDP)
KCPS-FS(AD) お客さま ADサーバー 信頼関係確立時 認証要求/信頼関係作成処理
お客さま ADサーバー KCPS-FS(AD) 信頼関係確立時 信頼関係作成処理
ファイル共有クライアント KCPS-FS KCPS-FSブラウジング時 認証要求
WinRM
(5985,5986/TCP)
お客さま管理用PC KCPS-FS リモート操作時 リモート操作

※ 表中の「KCPS-FS」は「KCPSファイルサーバー」を意味しております。
※ FSRMでメール通知機能をご利用のお客さまは「SMTP(25 or 587/TCP)KCPS-FS⇒お客さまメールサーバー」も開放する必要があります。
※ 「お客さまAD」とは「お客さまドメイン内の1台目のドメインコントローラ(PDCエミュレーターを実装)」になります。

 

  • Active Directory (ローカル セキュリティ機関): LSASS
    Active Directory は、Windows ドメイン コントローラーの認証およびレプリケーションを実行するエンジンを含んでおり、Lsass.exe プロセスで実行されます。 ドメイン コントローラー、クライアント コンピューター、およびアプリケーション サーバーは、特定のハードコーディングされたポートで Active Directory とネットワーク接続している必要があります。 さらに、トンネリング プロトコルを使用して Active Directory へのトラフィックをカプセル化していない限り、1024 ~ 5000 および 49152 ~ 65535 の TCP エフェメラル ポートの範囲が必要です。
アプリケーション プロトコル プロトコル ポート
グローバル カタログ TCP 3269
グローバル カタログ TCP 3268
ICMP   ポート番号なし
LDAP サーバー TCP 389
LDAP サーバー UDP 389
LDAP SSL TCP 636
RPC TCP 135
RPC によってランダムに割り当てられた非特権 TCP ポート TCP 49152 ~ 65535
SMB TCP 445

 

  • DNS サーバー: DNS
    DNS サーバー サービスは、クエリへの応答および DNS 名の要求の更新を行うことにより、DNS 名前解決を実行します。 DNS 名を使用して識別されるデバイスとサービスを検索したり、Active Directory のドメイン コントローラーを検索したりするには、DNS サーバーが必要です。
アプリケーション プロトコル プロトコル ポート
DNS UDP 53
DNS TCP 53

 

  • Kerberos キー配布センター: kdc
    Kerberos キー配布センター (KDC) システム サービスを使用すると、ユーザーが Kerberos V5 の認証プロトコルを使用してネットワークにログオンできます。 他の Kerberos プロトコルの実装と同様に、KDC は、認証サービスとチケット保証サービスという 2 つのサービスを提供する 1 つのプロセスです。 認証サービスはチケット保証チケットを発行し、チケット保証サービスはそのドメイン内のコンピューターに接続するためのチケットを発行します。
アプリケーション プロトコル プロトコル ポート
Kerberos TCP 88
Kerberos UDP 88
Kerberos Password V5 UDP 464
Kerberos Password V5 TCP 464
DC ロケーター UDP 389

 

  • Net Logon: Netlogon
    Net Logon システム サービスは、コンピューターとドメイン コントローラー間のセキュリティ チャネルの管理、およびユーザーとサービスの認証を行います。 このサービスは、ユーザーの資格情報をドメイン コントローラーに渡し、ドメイン セキュリティ識別子とユーザー権利をユーザーに返す処理を行います。 これは、一般的にパススルー認証と呼ばれます。 Net Logon は、メンバー コンピューターまたはドメイン コントローラーがドメインに加わったときにのみ自動的に開始されるように構成されています。 Windows 2000 Server および Windows Server 2003 ファミリでは、Net Logon が DNS のサービス リソース レコードを発行します。 このサービスは、実行中に WORKSTATION サービスおよびローカル セキュリティ機関サービスに依存して、着信要求をリッスンします。 ドメイン メンバーのコンピューターでは、Net Logon は RPC over named pipe を使用します。 ドメイン コントローラーでは、RPC over named pipe、RPC over TCP/IP、メール スロット、およびライトウェイト ディレクトリ アクセス プロトコル (LDAP) を使用します。
アプリケーション プロトコル プロトコル ポート
NetBIOS データグラム サービス UDP 138
NetBIOS 名前解決 UDP 137
NetBIOS セッション サービス TCP 139
SMB TCP 445
LDAP UDP 389
RPC TCP 135, 49152 ~ 65535 のランダムなポート番号

 

  • Remote Procedure Call (RPC): RpcSs
    リモート プロシージャ コール (RPC) システム サービスは、データ交換、および他のプロセス内の機能の呼び出しを行うためのプロセス間通信 (IPC) メカニズムです。 同じコンピューター、LAN、遠隔地のいずれの場所にある他のプロセスとも通信でき、プロセスには WAN 接続または VPN 接続経由でアクセスできます。 RPC サービスは、RPC エンドポイント マッパーおよびコンポーネント オブジェクト モデル (COM) サービス制御マネージャーとして機能します。 多くのサービスは、正常に開始するために RPC サービスに依存しています。
アプリケーション プロトコル プロトコル ポート
RPC TCP 135
RPC over HTTPS TCP 593
NetBIOS データグラム サービス UDP 138
NetBIOS 名前解決 UDP 137
NetBIOS セッション サービス TCP 139
SMB TCP 445

 

  • サーバー: lanmanserver
    Server システム サービスは、ネットワーク上で RPC サポート、およびファイル共有、印刷共有、名前付きパイプの共有を提供します。 Server サービスにより、ディスクやプリンターなどのローカル リソースを共有でき、ネットワーク上の他のユーザーがそれらにアクセスすることができます。 ローカル コンピューターおよび他のコンピューター上で実行されているプログラム間の名前付きパイプ通信にも使用されます。 名前付きパイプ通信は、別のプロセスの入力として使用されるプロセスの出力用に予約されたメモリーです。 入力を受け付けるプロセスは、コンピューターに対してローカルである必要はありません。
アプリケーション プロトコル プロトコル ポート
NetBIOS データグラム サービス UDP 138
NetBIOS 名前解決 UDP 137
NetBIOS セッション サービス TCP 139
SMB TCP 445

 

  • ターミナル サービス: TermService
    ターミナル サービスは、マルチセッションの環境を提供して、サーバー上で実行されている仮想 Windows デスクトップ セッションおよび Windows ベースのプログラムに、クライアント デバイスからアクセスできるようにします。 ターミナル サービスにより、複数のユーザーがコンピューターに対話的に接続できます。
アプリケーション プロトコル プロトコル ポート
ターミナル サービス TCP 3389

 

  • Windows リモート管理 (WinRM)
アプリケーション プロトコル プロトコル ポート
WinRM 2.0 TCP 既定の HTTP ポートは TCP 5985 であり、既定の HTTPS ポートは TCP 5986 です。

 

ドメインの信頼関係、または、セキュリティ チャネルの確立に必要なポート

[参考情報]
ドメインと信頼関係のためのファイアウォールを構成する方法
https://support.microsoft.com/ja-jp/help/179442/

KCPSファイル サーバー クライアント ポート お客様 AD サーバー ポート 使用する Windows のサービス
49152 -65535/UDP 123/UDP W32Time
49152 -65535/TCP 135/TCP RPC Endpoint Mapper
49152 -65535/TCP 464/TCP/UDP Kerberos password change
49152 -65535/TCP 49152-65535/TCP RPC for LSA, SAM, Netlogon
49152 -65535/TCP/UDP 389/TCP/UDP LDAP
49152 -65535/TCP 636/TCP LDAP SSL
49152 -65535/TCP 3268/TCP LDAP GC
49152 -65535/TCP 3269/TCP LDAP GC SSL
53, 49152 -65535/TCP/UDP 53/TCP/UDP DNS
49152 -65535/TCP/UDP 88/TCP/UDP Kerberos
49152 -65535/TCP/UDP 445/TCP SMB (信頼関係構築時のみ)

[注意事項]
・KCPSファイルサーバーから、お客さま AD に対して片方向信頼を結ぶ場合を想定しております。
・双方向信頼を結ぶ場合は、ファイヤーウォールにて設定をミラーリングする必要があります。

通信シーケンス

・信頼関係作成
KDDIドメインとお客さまドメイン間の信頼関係を結ぶ際の通信シーケンスは以下の通り。

  • お客さまDNSにてKDDI ADから、お客さまADの名前解決が可能である必要があります。
  • 信頼関係作成処理は、リモートデスクトップを利用しKDDIファイルサーバ(AD)で実施していただきます。

・アクセス権設定
フォルダやファイルのアクセス権を設定する際の通信シーケンスは以下の通りとなります。

  • お客さまDNSにて、KDDIファイルサーバ(DNS)へ条件付きフォワーダーの設定を行う必要があります。
  • 認証先お客さまドメイン(AD)とKDDIドメイン(AD)間で信頼関係が結ばれている必要があります。

・フォルダ/ファイルアクセス
利用者がファイル参照などをする際の通信シーケンスは以下の通りとなります。

  • お客さまDNSにて利用クライアントから、KDDIファイルサーバの名前解決が可能である必要があります。
  • 認証先お客さまドメイン(AD)とKDDIドメイン(AD)間で信頼関係が結ばれている必要があります。

サービス

2024/09/15 2024/09/15