|
|
|
|
コメント(8)
おみずさん はじめまして。
もう解決済みかもれませんが、ActiveDirectorySeverを見つける際に
DNS(名前解決/LDAPサービス提供)を使用します。
ほかにもRPC、Kerberos認証....などなどがあります。
NetbiosはSMBでDirectHostingができない場合に使用されるぐらいです。
(Netbios名でアクセスすれば別ですが。。。)
N/W側でPortを空ける必要があるのであれば、下記が参考になるかと思います。
http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/deploy/confeat/w2kstart.mspx
もう解決済みかもれませんが、ActiveDirectorySeverを見つける際に
DNS(名前解決/LDAPサービス提供)を使用します。
ほかにもRPC、Kerberos認証....などなどがあります。
NetbiosはSMBでDirectHostingができない場合に使用されるぐらいです。
(Netbios名でアクセスすれば別ですが。。。)
N/W側でPortを空ける必要があるのであれば、下記が参考になるかと思います。
http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/deploy/confeat/w2kstart.mspx
ポート137−139
こんだけで済むならみんな苦労しません。
というか、shibaさんがおっしゃる通りいまではこのポートは主要ではないです
もっと重要ななポートはいくつもあります。
canoさんのおっしゃる通り、ドメイン内すべてIPSecって方法はサポートされてますが、実施はかなり面倒です。
FW越しにDCとクライアントを通信させる場合、DC側で必要なポートを動的ポートから固定ポートに変更し、それらのポートをFWであける方法が一般的かと思います。
ちょっとこの辺で検索してみてください
http://search.microsoft.com/results.aspx?mkt=ja-JP&setlang=ja-JP&q=NTDS+%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB
こんだけで済むならみんな苦労しません。
というか、shibaさんがおっしゃる通りいまではこのポートは主要ではないです
もっと重要ななポートはいくつもあります。
canoさんのおっしゃる通り、ドメイン内すべてIPSecって方法はサポートされてますが、実施はかなり面倒です。
FW越しにDCとクライアントを通信させる場合、DC側で必要なポートを動的ポートから固定ポートに変更し、それらのポートをFWであける方法が一般的かと思います。
ちょっとこの辺で検索してみてください
http://search.microsoft.com/results.aspx?mkt=ja-JP&setlang=ja-JP&q=NTDS+%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB
皆様、ご丁寧にアドバイスを頂きましてありがとうございます。
結局、サーバ←→クライアントPC間のポートを全て開放してみましたが問題解決出来ませんでした。
クライアントPCが、Windows2000でしたらドメイン参加ができました。(2台実証済み)
XP、Vistaですと、マイコンピュータからドメイン変更をし、ユーザー名とパスワードを入力してしばらく経つと「RPCサーバを利用できません」というエラーメッセージが表示されました。
(ポートを開放する前は、「ネットワークパスが見つかりません」のエラーメッセージでした。)
WindowsXP SP2以降のセキュリティ強化が理由かと思い、一旦XPをサラにした状態で(サービスパックもあてず、ウィルス対策ソフトも入れず、FireWallも無効にした状態で)ドメイン参加させましたが、失敗しました。
OSの違いでドメイン参加の可否の理由がわかりません。。。
ご教授お願いします。
またサーバの「ActiveDirectory ユーザーとコンピュータ」-「ドメイン」−「Computers」にはドメイン参加出来ないPCも、×マーク付でPC名が表示されます。×マーク付のPC名を右クリックで「アカウントを有効にする」や「アカウントのリセット」を試してもドメイン参加は出来ませんでした。
度重なる書き込みで申し訳ありませんがアドバイスお願いします。
結局、サーバ←→クライアントPC間のポートを全て開放してみましたが問題解決出来ませんでした。
クライアントPCが、Windows2000でしたらドメイン参加ができました。(2台実証済み)
XP、Vistaですと、マイコンピュータからドメイン変更をし、ユーザー名とパスワードを入力してしばらく経つと「RPCサーバを利用できません」というエラーメッセージが表示されました。
(ポートを開放する前は、「ネットワークパスが見つかりません」のエラーメッセージでした。)
WindowsXP SP2以降のセキュリティ強化が理由かと思い、一旦XPをサラにした状態で(サービスパックもあてず、ウィルス対策ソフトも入れず、FireWallも無効にした状態で)ドメイン参加させましたが、失敗しました。
OSの違いでドメイン参加の可否の理由がわかりません。。。
ご教授お願いします。
またサーバの「ActiveDirectory ユーザーとコンピュータ」-「ドメイン」−「Computers」にはドメイン参加出来ないPCも、×マーク付でPC名が表示されます。×マーク付のPC名を右クリックで「アカウントを有効にする」や「アカウントのリセット」を試してもドメイン参加は出来ませんでした。
度重なる書き込みで申し訳ありませんがアドバイスお願いします。
>「RPCサーバを利用できません」
NTDSが通信できないときなどに出るエラーメッセージですね。
ちょっとピンポイントの物が見つけられなかったので、このKBは本来Exchange用ですが、ファイアウォール越えでのDCとの通信に必要なポートの情報が記載されていますので、確認してみてください。
Exchange Server の静的ポートの割り当て
http://support.microsoft.com/kb/270836/ja
このなかのこのあたりです
-----------------------------------------------------------------------
ログオンしてバックエンド サーバーと通信できるようにする方法
Microsoft Windows Server 2003 または Microsoft Windows 2000 のネットワークからファイアウォールで分離されていて、境界ネットワーク イーサネット環境内にあるコンピュータ上に Exchange Server 2003 または Exchange 2000 Server をインストールするには、以下の手順を実行します。 1. Windows Server 2003 ベースのコンピュータまたは Windows 2000 ベースのコンピュータが、ファイアウォール経由でドメインにログオンできるようにするには、受信トラフィック用に以下のポートを開きます。
• 53 (TCP/UDP) - DNS (Domain Name System)。
• 80 (TCP) - フロントエンド Exchange サーバーとバックエンド Exchange サーバー間の通信にアクセスする Outlook Web Access に必要です。
• 88 (TCP/UDP) - Kerberos 認証。
• 123 (UDP) - Windows Time Synchronization Protocol (NTP)。これは、Windows 2000 ログオン機能には必要ありませんが、ネットワークの管理者が構成するか、必要とする場合があります。
• 135 (TCP) - EndPointMapper。
• 389 (TCP/UDP) - LDAP (Lightweight Directory Access Protocol)。
• 445 (TCP) - Netlogon 用のサーバー メッセージ ブロック (SMB)、LDAP 変換、および Microsoft 分散ファイル システム (DFS) の検出。
• 3268 (TCP) - グローバル カタログ サーバーへの LDAP。
• Active Directory ログオンおよびディレクトリ レプリケーション インターフェイス (汎用一意識別子 (UUID) 12345678-1234-abcd-ef00-01234567cffb および 3514235-4b06-11d1-ab04-00c04fc2dcd2) 用の 1 つのポート。これは通常、起動中にポート 1025 または 1026 が割り当てられます。この値は DSProxy やシステム アテンダント (MAD) ソース コードでは設定されません。したがって、ログオン処理のために Exchange サーバーからファイアウォール経由で接続する必要のあるドメイン コントローラ上のレジストリでそのポートを割り当ててから、ファイアウォールでそのポートを開く必要があります。
-----------------------------------------------------------------------------------
NTDSが通信できないときなどに出るエラーメッセージですね。
ちょっとピンポイントの物が見つけられなかったので、このKBは本来Exchange用ですが、ファイアウォール越えでのDCとの通信に必要なポートの情報が記載されていますので、確認してみてください。
Exchange Server の静的ポートの割り当て
http://support.microsoft.com/kb/270836/ja
このなかのこのあたりです
-----------------------------------------------------------------------
ログオンしてバックエンド サーバーと通信できるようにする方法
Microsoft Windows Server 2003 または Microsoft Windows 2000 のネットワークからファイアウォールで分離されていて、境界ネットワーク イーサネット環境内にあるコンピュータ上に Exchange Server 2003 または Exchange 2000 Server をインストールするには、以下の手順を実行します。 1. Windows Server 2003 ベースのコンピュータまたは Windows 2000 ベースのコンピュータが、ファイアウォール経由でドメインにログオンできるようにするには、受信トラフィック用に以下のポートを開きます。
• 53 (TCP/UDP) - DNS (Domain Name System)。
• 80 (TCP) - フロントエンド Exchange サーバーとバックエンド Exchange サーバー間の通信にアクセスする Outlook Web Access に必要です。
• 88 (TCP/UDP) - Kerberos 認証。
• 123 (UDP) - Windows Time Synchronization Protocol (NTP)。これは、Windows 2000 ログオン機能には必要ありませんが、ネットワークの管理者が構成するか、必要とする場合があります。
• 135 (TCP) - EndPointMapper。
• 389 (TCP/UDP) - LDAP (Lightweight Directory Access Protocol)。
• 445 (TCP) - Netlogon 用のサーバー メッセージ ブロック (SMB)、LDAP 変換、および Microsoft 分散ファイル システム (DFS) の検出。
• 3268 (TCP) - グローバル カタログ サーバーへの LDAP。
• Active Directory ログオンおよびディレクトリ レプリケーション インターフェイス (汎用一意識別子 (UUID) 12345678-1234-abcd-ef00-01234567cffb および 3514235-4b06-11d1-ab04-00c04fc2dcd2) 用の 1 つのポート。これは通常、起動中にポート 1025 または 1026 が割り当てられます。この値は DSProxy やシステム アテンダント (MAD) ソース コードでは設定されません。したがって、ログオン処理のために Exchange サーバーからファイアウォール経由で接続する必要のあるドメイン コントローラ上のレジストリでそのポートを割り当ててから、ファイアウォールでそのポートを開く必要があります。
-----------------------------------------------------------------------------------
"RPCサーバを利用できません" というエラーについて簡単に補足します。
ドメイン参加時に出力される "RPCサーバを利用できません" というエラーは、クライアントがドメインに参加する際、DC と RPC を経由した通信(Netlogonサービス)に失敗したことを示します。
これは、相手先の DC から応答がなかった場合や、クライアント側で RPC による Socket を作成できなかったりした場合にも発生いたしますので、注意が必要です。
cano さんのご指摘の通り、クライアントが DC の SRV レコードを正しく解決できない場合などにも発生することもあります。
ドメインにクライアントを参加させられないなどのトラブルについては、以下の設定が問題ないかご確認ください。
1. DC との通信経路(Port 含む)
2. DNS 名前解決(A や SRV が解決できる必要があります)
3. リビジョン(DC の SP のバージョンによってはクライアントは参加できないことがあります)
4. NIC の設定のチェック( "TCP/IP" や、"Windows ネットワーク用ファイルとプリンタ共有" のバインドが外れているかどうか)
なお、F/W 越しにメンバサーバーを置く場合には、以下の Port をオープンするようにしてください。
なお、以下は DC 側の Destination Portです。
クライアント側の ポートは動的に変化します。
53/UDP - DNS
53/TCP - DNS
88/UDP - Kerberos
88/TCP - Kerberos
123/UDP - NTP
135/TCP - RPC
389/UDP - LDAP
389/TCP - LDAP
445/TCP - CIFS (SMB)
3268/UDP - GC
3268/TCP - GC
1024-5000/TCP - RPC 動的ポート
ICMP Echo / Echo Reply
↓以下は AD 環境では必須ではありませんが、空けることをお勧めします。
137/UDP - NetBIOS ネーム サーバー
138/UDP - NetBIOS データグラム
139/TCP - NetBIOS Session Services (SMB)
よろしければご参考にしてくださいますと幸いです。
ドメイン参加時に出力される "RPCサーバを利用できません" というエラーは、クライアントがドメインに参加する際、DC と RPC を経由した通信(Netlogonサービス)に失敗したことを示します。
これは、相手先の DC から応答がなかった場合や、クライアント側で RPC による Socket を作成できなかったりした場合にも発生いたしますので、注意が必要です。
cano さんのご指摘の通り、クライアントが DC の SRV レコードを正しく解決できない場合などにも発生することもあります。
ドメインにクライアントを参加させられないなどのトラブルについては、以下の設定が問題ないかご確認ください。
1. DC との通信経路(Port 含む)
2. DNS 名前解決(A や SRV が解決できる必要があります)
3. リビジョン(DC の SP のバージョンによってはクライアントは参加できないことがあります)
4. NIC の設定のチェック( "TCP/IP" や、"Windows ネットワーク用ファイルとプリンタ共有" のバインドが外れているかどうか)
なお、F/W 越しにメンバサーバーを置く場合には、以下の Port をオープンするようにしてください。
なお、以下は DC 側の Destination Portです。
クライアント側の ポートは動的に変化します。
53/UDP - DNS
53/TCP - DNS
88/UDP - Kerberos
88/TCP - Kerberos
123/UDP - NTP
135/TCP - RPC
389/UDP - LDAP
389/TCP - LDAP
445/TCP - CIFS (SMB)
3268/UDP - GC
3268/TCP - GC
1024-5000/TCP - RPC 動的ポート
ICMP Echo / Echo Reply
↓以下は AD 環境では必須ではありませんが、空けることをお勧めします。
137/UDP - NetBIOS ネーム サーバー
138/UDP - NetBIOS データグラム
139/TCP - NetBIOS Session Services (SMB)
よろしければご参考にしてくださいますと幸いです。
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
Active Directory 更新情報
-
最新のイベント
-
最新のアンケート
-
まだ何もありません
-
Active Directoryのメンバーはこんなコミュニティにも参加しています
人気コミュニティランキング
- 1位
- お洒落な女の子が好き
- 90012人
- 2位
- 酒好き
- 170663人
- 3位
- 千葉 ロッテマリーンズ
- 37150人