- PR -

ドメインにログインするときの認証に使用するポートは何番ですか?

1
投稿者投稿内容
だんさー
会議室デビュー日: 2003/01/16
投稿数: 7
投稿日時: 2003-01-16 13:26
教えて下さい。

同名のタイトルで質問が出ていて回答もあったのですが、
状況がちょっと違うので質問します。

100と言うサブネットにドメインコントローラが有り、
200と言うサブネットにWin2000Proのクライアントが有るとします。
また100と200のIPフィルタでは以下のソケットが通るようになっています。
・POP3(110)
・netbios(137,138,139)

この状況でWin95,Win98は問題なく使えているのですが、
Win2000Proでは認証がされないみたいでログイン画面が出てくるまで
非常に時間がかかります。

試しにNETDIAGコマンドで確認したところ以下のテストでFATALエラーが
出ていました。
・DCリストテスト(DcList)
・信頼関係テスト(Trust)

上記状況でどのポートを空ければ上手く動作するのかご存知の方が
いらっしゃれば教えて下さい。


[ メッセージ編集済み 編集者: だんさー 編集日時 2003-01-16 13:37 ]
井上孝司
ぬし
会議室デビュー日: 2001/09/08
投稿数: 668
お住まい・勤務地: 東京都
投稿日時: 2003-01-16 13:47
井上です。
クライアントが Windows 2000/XP の場合、Kerberos 認証を使用するはずですから、Kerberos 用のポート 88 も開けておく必要があると思います。もっとも、クライアントが 9x/Me/NT の場合は関係ない話ですが…
だんさー
会議室デビュー日: 2003/01/16
投稿数: 7
投稿日時: 2003-01-16 14:27
早速のご回答ありがとうございます。

とりあえず以下のポートは確認しましたが
だめでした。

・LDAP(389)
・RPC(111,121,530,567,593)
・SNTP(580)
・Kerberos(88)
・microsoft-ds(445)
gaogao
会議室デビュー日: 2002/11/21
投稿数: 18
お住まい・勤務地: 東京
投稿日時: 2003-01-20 15:39
DNSのポートは空けてますか?

Windows2000から名前解決がDNSに変更されるために
Kerberos 認証の前にDNSサーバに認証されると思うのですが
だんさー
会議室デビュー日: 2003/01/16
投稿数: 7
投稿日時: 2003-01-20 16:53
>DNSのポートは空けてますか?
>Windows2000から名前解決がDNSに変更されるために
>Kerberos 認証の前にDNSサーバに認証されると思うのですが

回答ありがとうございます。

DNSも空けました。
でもダメでした。

とりあえずドメインコントローラを使用しない方向で考えます。
横山哲也
大ベテラン
会議室デビュー日: 2001/10/01
投稿数: 163
投稿日時: 2003-01-20 20:10
「時間がかかるけどログオンできる」
というのは、KerberosやDNS、LDAPなどを
通さない典型的なパターンです。
(Kerberos認証は行われていないはず)
忘れがちなのはGCへのアクセス(TCP/3268)

確かRPCのパケットも飛んでいたと思います。

詳細な解析はパケットをキャプチャする必要があるでしょう。
ただ、Kerberosはファイアウォールフレンドリではありませんので、
かなり難しいと思いますよ。
1

スキルアップ/キャリアアップ(JOB@IT)