[IT]Windows Server ADサーバのポート要件
Windows Serverのシステムを構築するときにAD(アクティブディレクトリ)サーバの構築要件が入ることがあるが、利用するポート要件について整理したくなったので記載。
その前にADとは何ぞやというところを簡単に記載しておく。
既に分かっている人は読み飛ばしてもらって問題ありません。
序章:ActiveDirectoryについて
AD(アクティブディレクトリ)はWindows Serverに備わっている機能で
ドメイン内のネットワークにつながっているPC/サーバ/プリンターなどの情報を一元管理できるディレクトリサービスである。
ドメインとは? 一元管理とは? となると思いますので
以下に簡単に説明を記載。
前提としてドメインはプライベートでしかPCを使わない人には
意識する必要はありません。
というかITエンジニアでないと認識すらしていないかと思います。
Windowsにおけるユーザー管理は2種類あります。
1つが「ワークグループ」と呼ばれるもので
初期のWindowsパソコンはこのグループに所属している。
普段、プライベートで利用している人達はこのワークグループに所属していると思ってもらってよいです。
ワークグループについては業務上意識する必要ないので詳細は割愛します。
もう一つのユーザー管理が「ドメイン」と呼ばれるもので
ドメインとは「範囲」という意味があります。
Active Directoryに登録された範囲のことをドメインと呼びます。
これだけだと伝わらないと思うので
以下の一元管理の説明の中でもう少し詳細に記載します。
例えば田中くんのクライアントPCをAドメインに参加すると、
Aドメインに田中くんのユーザ情報とクライアントPCの情報が登録されます。
同様に佐藤さんもAドメインに参加している場合、
田中くんのクライアントPCに佐藤さんのドメインユーザーでログインということも認証先が同じAドメインのADサーバのため可能となります。(その逆も可能)
この結果からユーザー/コンピュータ情報が一元管理できていることがわかると思います。
(たださらに詳細なことをいうと田中くんと佐藤さんのユーザープロファイルは異なる為、田中くんのユーザープロファイル内のリソース(ファイルなど)には佐藤さんはアクセス出来ないし、その逆も同様でセキュリティは担保されています)
前書きが長くなってしまいましたが、これ以降はDC(ドメインコントローラ)とAD(Active Drectory)は同意味で記載しています。
では本題に入っていきたいと思います。
1. クライアントマシンとDC間の通信について
クライアントマシンがドメインに参加、ドメイン参加済みのクライアントマシンがドメインにログオン時、DCからグループポリシーの設定が配布される場合などにクライアントマシンと対象のドメインのDC(ドメインコントローラー)との通信が発生する。
※クライアントマシンとDC間にファイアウォール機器などが存在する場合は対象の通信ポートの穴あけが必要。
▼クライアントマシンとDC間の通信で使用されるポート情報について
$$
\begin{array}{|l|l|r|r|l|} \hline
サービス名 & プロトコル & クライアント側ポート番号 & サーバ側ポート番号 備考 \\ \hline
DNS & TCP/UDP & 一時ポート & 53 & \\ \hline
Kerberos & TCP/UDP & 一時ポート & 88 &\\ \hline
NTP & UDP & 123 & 123 &\\ \hline
RPCエンドポイントマッパー & TCP & 一時ポート & 135 &\\ \hline
RPC for LSA, SAM, NetLogon & TCP/UDP & 一時ポート & 一時ポート &\\ \hlineNetBIOS-ns & UDP & 137 & 137 &現在はLDAP/Kerberosが利用される。レガシーなシステムでのみ利用\\ \hlineNetBIOS-dgm & UDP & 138 & 138 &現在はLDAP/Kerberosが利用される。レガシーなシステムでのみ利用\\ \hlineNetBIOS-ssn & TCP & 一時ポート & 139 &現在はSMBが利用される。レガシーなシステムでのみ利用\\ \hline
LDAP & TCP/UDP & 一時ポート & 389 &\\ \hline
SMB & TCP &一時ポート & 445 &\\ \hline
KPasswd & TCP/UDP & 一時ポート & 464 &\\ \hline
LDAP SSL & TCP & 一時ポート & 636 &\\ \hline
LDAP GC & TCP & 一時ポート & 3268 &\\ \hline
LDAP GC SSL & TCP & 一時ポート & 3289 &\\ \hline
\end{array}
$$
※NetBIOS-ns、NetBIOS-dgmは古いプロトコルであり現在はTCP/IPベースのプロトコル(LDAP、Kerberos)を使用することが一般的
※NetBIOS-ssnは古いプロトコルであり、現在のActive Directory環境ではSMB(TCP/445)が取って変わり、SMBがファイル共有やプリンター共有を実施している。
※一時ポートは以下の範囲でWindows Serverのバージョンにより異なる
$$
\begin{array}{|l|l|l|} \hline
一時ポートの範囲 & Windows Serverのバージョン & 備考 \\ \hline
1024~65535 & Windows Server 2012以降 \\ \hline
49152~65535 & Windows Server 2008以降 & Windows Server 2012の前のバージョンまでが対象 \\ \hline
1025~5000 & Windows Server 2003 & Windows XP、Windows Server2003の頃 \\ \hline
\end{array}
$$
※LDAP SSL/LDAP GC SSLは利用するアプリケーションがなければ、ログオン時に利用されない。
2. DC間の通信で利用するポートについて
ドメイン内に複数のDCが存在する場合、DC間で定期的にコンピュータ/ユーザ情報やグループポリシーの情報などのADのデータベースやSYSVOLのデータ複製などさまざまな通信が発生する。
DC間での通信が正しく行えない場合、ユーザーがドメインに参加しようとするとユーザー情報がないDCで認証を試みる動作を取って認証に失敗したり、グループポリシーが適用されない、サイト間のDCの情報が異なることによる障害などの問題が発生する。
※DC間にファイアウォール機器などが存在する場合は対象の通信ポートの穴あけが必要。
$$
\begin{array}{|l|l|r|r|l} \hline
サービス名 & プロトコル & クライアント側ポート番号 & サーバ側ポート番号 備考 \\ \hline
DNS & TCP/UDP & 一時ポート & 53 &\\ \hline
Kerberos & TCP/UDP & 一時ポート & 88 &\\ \hline
NTP & UDP & 123 & 123 &\\ \hline
RPC & TCP & 一時ポート & 135 &\\ \hline
RPC & TCP & 一時ポート & 一時ポート &\\ \hline
LDAP & TCP/UDP & 一時ポート & 389 &\\ \hline
SMB & TCP & 一時ポート & 445 &\\ \hline
\end{array}
$$
※一時ポートは49152~65535の範囲。Windows XP/Windows Server 2003以前は1025~5000。
※以前のWindows ServerのバージョンではDFSRやWINSなども要件にあったが現在の最新バージョンでは要件から外れる為、今回は記載しない。
ADサーバ間のレプリケーションについても少し記載しておこうと思う。
前提として上記に記載したポートが開いていないと何かしら不具合が起こることが予想される。
さてレプリケーションに利用しているポートは以下のもよう。
・RPC(TCP)の135
・RPC(TCP)の一時ポート
・SMB(TCP)の445
3. DC間の信頼関係で利用するポート情報について
Active Direcotryを利用するにおいて、よく設定するものに信頼関係がある。
信頼関係とは複数のドメインを併用している場合に利用する機能である。
信頼関係の詳細の説明はここではしないが、
通常はドメインAにログオンすれば、ドメインAのリソースにはアクセスできるがドメインBのリソースにはアクセスできない。
しかしドメインAとBで信頼関係を結ぶことでドメインAにログオンするとドメインBのリソースに認証なしでアクセスすることができる。
逆にドメインBからAのリソースに認証なしでアクセスさせることもできる。(一方向の信頼)
上記のドメインAからB、ドメインBからAの両方向でリソースに認証なしでアクセスさせることもできる。(双方向の信頼)
$$
\begin{array}{|l|l|r|r|l} \hline
サービス名 & プロトコル & クライアント側ポート番号 & サーバ側ポート番号 備考 \\ \hline
DNS & TCP/UDP & 一時ポート & 53 &\\ \hline
Kerberos & TCP/UDP & 一時ポート & 88 &\\ \hline
RPC & TCP & 一時ポート & 135 &\\ \hline
RPC for LSA, SAM, NetLogon& TCP & 一時ポート & 一時ポート &\\ \hline
LDAP & TCP/UDP & 一時ポート & 389 &\\ \hline
LDAP SSL & TCP & 一時ポート & 636 & LDAP 通信をセキュア(暗号化)にするプロトコル \\ \hline
LDAP GC & TCP & 一時ポート & 3268 &\\ \hline
LDAP GC SSL & TCP & 一時ポート & 3289 &Active Directoryのグローバルカタログにアクセスする際の通信をセキュア(暗号化)にするプロトコル\\ \hline
SMB & TCP & 一時ポート & 445 &\\ \hline
\end{array}
$$
4. ADサーバとの通信で利用するサービスの説明
上記に記載したサービスの情報について以下に記載。
※2024年4月時点の情報なのでAD内でのサービスの機能についてはWindows Serverのバージョンアップがあるたびに代わることが予想される。
(1)DNS
DNSはポート53 (TCP/UDP): DNS通信の標準ポートです。クライアントからのDNSクエリや、DNSレコードの転送など、ほとんどのDNSトラフィックはポート53を使用します。
Active Directory環境において、ポート53はドメインコントローラー上のDNSサービスがリクエストを受け取り、名前解決を行うために使用されます。このポートは、クライアントからのDNSクエリや、Active Directoryドメイン内のリソースに関する情報の取得に使用されます。
DNSのポート53は、TCPとUDPの両方で使用されます。通常、DNSクエリはUDPで送信されますが、応答が大きすぎる場合や転送中に問題が発生した場合にはTCPが使用されます。
名前解決: DNSは、ドメイン内のリソースの名前をIPアドレスに解決するために使用されます。Active Directoryのドメインでは、コンピューター、ユーザー、サービスなどのリソースは一意の名前を持ちます。DNSを使用することで、これらの名前をIPアドレスに変換し、通信を可能にします。
Active Directoryの場所特定: Active Directory内のドメインコントローラーやその他のサービスの場所を特定するためにDNSが使用されます。クライアントコンピューターは、Active Directoryのリソースにアクセスする際にDNSを使用してドメインコントローラーを特定し、認証やデータの取得を行います。
SRVレコードの提供: Active Directoryの機能をサポートするために、DNSは特定のSRVレコードを提供します。これらのレコードは、Active Directoryドメイン内の各種サービス(LDAP、Kerberos、Global Catalogなど)の場所を指定します。
ゾーン情報のレプリケーション: Active DirectoryとDNSの統合により、DNSゾーン情報もドメインコントローラー間でレプリケーションされます。これにより、Active DirectoryとDNSの情報が同期され、Active Directoryの変更がDNSに反映されます。
したがって、Active Directory環境では、DNSサービスの正常な動作が非常に重要です。ADサーバーは、一般的にActive DirectoryとDNSサービスの両方をホストすることが推奨されます。
(2)Kerberos認証
Active Directory(AD)内でKerberos認証プロトコルを使用する際には、TCP/UDPポート88が重要な役割を果たします。Kerberosは、ネットワーク上のユーザーやサービスが相互に認証するための強力なセキュリティプロトコルです。
ポート88は、KerberosクライアントとKerberosサーバー間の通信に使用されます。具体的には、Active Directoryドメイン内のクライアントコンピューターがドメインコントローラーに対して認証要求を送信する際に、ポート88が利用されます。また、Active Directory環境内での相互認証やリソースへのアクセスにもポート88が関与します。
ポート88は、TCPおよびUDPの両方で使用されます。Kerberos認証トラフィックは、通常、TCPおよびUDPのどちらかのプロトコルを使用して送信されます。TCPは通常、認証トラフィックの初期化や認証情報の送信に使用され、UDPはチケットの交換などの追加の通信に使用されることがあります。
Active Directoryのセキュリティと認証にとってKerberosポート(ポート88)は不可欠であり、適切な設定と監視が重要です。
(3)NTP
Active DirectoryにおけるNTP(Network Time Protocol)は、通常、UDP(User Datagram Protocol)ポート123を使用します。このポートは、NTP通信のために予約されており、時刻情報の送受信に使用されます。
Active Directoryでは、PDC Emulator役割を持つドメインコントローラーが、ドメイン内の時刻同期を担当します。PDC Emulatorは、UDPポート123を介してNTPリクエストを受信し、信頼できる外部のNTPサーバーから時刻情報を取得します。その後、PDC Emulatorはドメイン内の他のコンピューターに対して時刻情報を提供します。
UDPポート123をファイアウォールやネットワークデバイスで適切に開放することにより、Active Directory内の時刻同期が円滑に機能し、認証やログ記録などのシステムプロセスが適切に動作することが保証されます。
(4)RPC
RPC(Remote Procedure Call)は、ネットワーク上でプログラム間通信を行うための仕組みであり、TCP(Transmission Control Protocol)ポート135を使用します。RPCは、クライアントがリモートマシン上で実行されているプロシージャやサービスを呼び出すための標準的な方法を提供します。
TCPポート135は、Windowsオペレーティングシステムで使用される一般的なRPCポートです。特に、Windowsシステム内のCOM(Component Object Model)やDCOM(Distributed Component Object Model)といったサービスによく使用されます。このポートは、リモートのオブジェクトやサービスへの接続を確立するために使用され、RPCフレームワークを介してクライアントとサーバー間の通信を可能にします。
RPCポート135は、ネットワーク上のWindowsシステム間で重要な役割を果たします。ただし、セキュリティ上の懸念から、このポートはファイアウォールなどで適切に管理する必要があります。
Active DirectoryにおいてRPC(Remote Procedure Call)は、通常、TCPポート135を使用して通信を行います。これは、Active Directoryのさまざまな機能やサービスに対するクライアントとサーバー間の通信に使用されます。
具体的には、Active DirectoryにおけるRPCは、以下のような用途で使用されます。
ドメイン参加: クライアントがActive Directoryドメインに参加する際に、RPCを介してドメインコントローラーと通信します。
認証: クライアントがログインして認証を行う際に、RPCを使用して認証サービスと通信します。
ディレクトリサービスアクセス: クライアントがActive Directory内のオブジェクトにアクセスするために、RPCを使用してドメインコントローラーと通信します。
TCPポート135は、Windowsシステム間の重要な通信ポートであり、特にActive Directoryのようなネットワークサービスにおいて重要な役割を果たします。しかし、セキュリティ上のリスクを最小限に抑えるために、適切なネットワークセキュリティの対策が必要です。
(5)RPC for LSA, SAM, NetLogon
Active DirectoryにおけるRPC(Remote Procedure Call)は、異なるサービスや機能(例:LSA、SAM、NetLogonなど)に対する通信に使用されます。これらのサービスは、セキュリティ認証やアカウント管理、ネットワークログオンなどの機能を提供します。
Active DirectoryのRPC通信は、通常、TCPポート135を介して確立されます。ただし、これらの通信においても一時ポートが使用される場合があります。一時ポートは、通信の一時的なセッションに使用され、通常は49152から65535の範囲で割り当てられます。
具体的に、LSA(Local Security Authority)、SAM(Security Account Manager)、NetLogonサービスに関連するRPC通信においても、TCPポート135および一時ポートが使用される可能性があります。これらのサービスは、Active Directory内のセキュリティやアカウント管理に関連する重要な機能を提供し、RPCを介してクライアントとの通信を行います。
一時ポートの具体的な番号は、通信が行われる際に動的に割り当てられるため、事前に特定することはできません。しかし、TCPポート135を介して通信が確立され、その後の通信には一時ポートが使用される一般的なパターンがあります。
(6)LDAP
Active DirectoryのLDAP(Lightweight Directory Access Protocol)は、通常、TCPポート389を使用して通信します。LDAPは、ディレクトリサービスに対するクエリや更新を行うためのプロトコルであり、Active Directoryの情報を操作するために広く使用されています。
TCPポート389は、LDAPクライアントがActive Directoryドメインコントローラーと通信するための標準的なポートです。このポートを介して、クライアントはActive Directory内のオブジェクトにアクセスしたり、検索を実行したり、属性を更新したりすることができます。
また、一部のLDAP通信ではUDPポート389も使用されることがあります。UDPポート389は、LDAPの非信頼型通信に使用され、通常は小さなクエリや情報の要求に対して使用されます。
要するに、Active DirectoryのLDAP通信は通常、TCPポート389を使用しますが、一部の状況ではUDPポート389も使用されることがあります。
Active Directoryは、Microsoftが提供するディレクトリサービスおよび認証サービスです。Active Directoryは、Windowsベースのネットワーク環境において、ユーザー、コンピューター、リソースなどの情報を中央集権的に管理するために使用されます。LDAP(Lightweight Directory Access Protocol)は、Active Directoryのアクセスプロトコルの1つであり、Active Directoryに格納された情報へのクエリや更新を行うために使用されます。
以下は、Active DirectoryとLDAPの関係についての詳細です:
ディレクトリサービス: Active Directoryは、ディレクトリサービスとして機能します。つまり、ネットワーク上のリソースやユーザー、コンピューターなどの情報を階層構造で管理します。これにより、組織全体のリソースを効率的に管理できます。
認証とアクセス制御: Active Directoryは、ユーザーの認証やアクセス制御も提供します。ユーザーは、Active Directoryに格納されたユーザーアカウントを使用してネットワークにログインし、アクセス権に基づいてリソースにアクセスできます。
LDAPプロトコル: Active Directoryは、LDAPプロトコルを使用して情報へのアクセスを提供します。LDAPはクライアント/サーバーモデルを使用し、クライアントはLDAPクエリを使用してActive Directoryに対して情報を要求し、サーバーはそれに応じて情報を提供します。
Active Directoryの利用: Active Directoryは、企業のユーザーやリソースの管理、シングルサインオン、グループポリシーの適用など、さまざまな用途で利用されます。特に、Windowsベースのネットワーク環境では、Active Directoryが中心的な役割を果たします。
Active DirectoryにはLDAP以外にも他のアクセスプロトコル(たとえばKerberos)もありますが、LDAPは情報にアクセスするための主要な手段の1つです。
▼以下補足
・ LDAP SSL (LDAPS):
LDAP over SSL(LDAPS)は、LDAPトラフィックをセキュリティで保護されたSSL(Secure Sockets Layer)またはTLS(Transport Layer Security)経由で送信する方法です。通常、LDAPSはTCPポート636を使用します。LDAPSは通信を暗号化し、セキュリティを向上させます。
(7)LDAP GC
TCPポート3268は、Active DirectoryのLDAP GC(Global Catalog)への通信に使用されるポート番号です。LDAP GCは、Active Directoryフォレスト内のグローバルカタログサーバーに対するLDAPアクセスを指します。
通常、LDAPクエリは特定のドメインコントローラーに送信されますが、TCPポート3268を使用することで、Active Directoryフォレスト全体のグローバルカタログサーバーに対してクエリを実行できます。つまり、このポートを使用することで、異なるドメインやフォレスト間での検索が可能になります。
ポート3268は、セキュアでない通信を行うLDAP(LDAPポート389)とは対照的に、セキュアなLDAP通信を行う際に使用されるポートです。一般的には、Active DirectoryのLDAP GCへの接続にはセキュアな通信を要求するため、ポート3268を使用することが推奨されます。
ポート3268を使用することで、Active Directory環境内でのクエリと検索が柔軟性を持って行われ、クロスフォレスト検索や異なるドメイン間の情報アクセスが可能になります。
▼以下補足
・LDAP GC SSL (LDAPS GC):
LDAP Global Catalog over SSL(LDAPS GC)は、グローバルカタログサーバーとの通信をSSLまたはTLS経由で暗号化する方法です。通常、LDAPS GCはTCPポート3269を使用します。LDAPS GCは通常のLDAPSと同様に動作し、グローバルカタログサーバーとの通信をセキュアにします。
(8)NetBIOS系 ※最新の環境では利用されない
Active Directoryは、Windowsベースのディレクトリサービスであり、NetBIOSプロトコルと密接に関連していますが、直接的にはこれらのポートを使用することはありません。Active Directoryは、主にLDAP(Lightweight Directory Access Protocol)やKerberosなどのプロトコルを使用して通信を行います。
ただし、過去には古いバージョンのWindowsでActive Directoryが導入される前に、NetBIOSプロトコルが広く使用されていました。そのため、Active Directoryの前身であるWindows NTドメインなどでは、NetBIOSプロトコルがネットワーク通信に使用されました。
以下は、Active DirectoryとNetBIOSポートの関連性についての詳細です:
NetBIOS Name Service (UDP 137 - NetBIOS-ns):
このポートは、NetBIOSネームサービスに関連しています。以前のWindows環境では、コンピューター名やリソース名の解決に使用されました。しかし、Active Directoryが導入されると、DNS(Domain Name System)がネームリゾルバとしてより一般的に使用されるようになりました。
NetBIOS Datagram Service (UDP 138 - NetBIOS-dgm):
このポートは、NetBIOSデータグラムサービスに関連しています。NetBIOSでは、データグラムを使用してデータを送受信しますが、Active Directoryにおいては主にTCP/IPプロトコルスイートが使用されます。
Active Directory環境においては、UDPポート138がNetBIOS-dgmサービスに使用されることは一般的ではありません。
なぜなら、Active Directoryは主にTCP/IPベースのプロトコルを使用して通信を行い、セキュリティやパフォーマンスの向上を図っているためです。
ただし、古いWindowsシステムやレガシーアプリケーションでは、まだNetBIOSプロトコルが使用されている場合があります。
そのような状況では、UDPポート138がNetBIOS-dgmサービスに関連していることがあります。NetBIOSプロトコルは古いものであり、セキュリティ上の脆弱性が指摘されています。
そのため、現代のネットワークではセキュリティ上の理由から、NetBIOSプロトコルの使用を避けることが推奨されます。代わりに、TCP/IPベースのプロトコル(例:LDAP、Kerberos)を使用することが一般的です。
NetBIOS Session Service (UDP 139 - NetBIOS):
このポートは、NetBIOSセッションサービスに関連しています。NetBIOSセッションサービスは、信頼性のあるセッションベースの通信を提供します。しかし、Active Directoryでは通常、TCPポート139が使用されます。TCPポート139は、NetBIOSセッションサービスとして知られるため、NetBIOSセッションをサポートする場合でもTCP/IP上での通信が行われます。
したがって、Active Directoryが導入されると、TCP/IPベースのプロトコル(特にLDAP)が主流となり、NetBIOSポートの使用は減少しました。しかし、古いシステムやネットワーク環境では、一部のNetBIOSポートがまだ使用されている可能性があります。
(9)SMB
Active Directoryでは、ファイル共有やドメインリソースへのアクセスなどのために、SMB(Server Message Block)プロトコルを使用します。このプロトコルは、Windowsベースのネットワーク上でファイルやプリンターなどのリソースを共有するために広く使用されています。
Active DirectoryにおけるSMBの通信には、通常、TCPポート445が使用されます。TCPポート445は、SMB通信におけるクライアントとサーバー間の通信を確立するために使用されます。このポートは、ファイル共有やドメインサービスに関連する様々な操作に使用されます。
以下は、Active DirectoryでのSMB通信に関連するいくつかの主な用途です:
ファイル共有: ネットワーク上のファイルやフォルダーを共有するためにSMBプロトコルが使用されます。ユーザーは、他のコンピューターから共有されたファイルにアクセスしたり、ファイルを共有したりするためにSMBを使用します。
ログオンおよび認証: Active Directoryドメイン環境では、ユーザーがネットワークにログオンする際にもSMBが使用されます。クライアントとドメインコントローラー間の通信にはTCPポート445が使用され、ユーザーの認証情報が送信されます。
ドメインリソースへのアクセス: Active Directoryドメイン環境では、ドメインに参加したクライアントがドメインリソースにアクセスする際にもSMBが使用されます。これには、共有フォルダーやプリンターなどのリソースへのアクセスが含まれます。
TCPポート445は、Active Directory環境において重要な役割を果たすポートの1つであり、ファイル共有やドメインリソースへのアクセスなど、さまざまな操作に使用されます。
(10)KPassword
TCP/UDPポート464は、Active DirectoryにおけるKerberosの関連ポートです。Kerberosは、ネットワーク上の認証プロトコルであり、ユーザーがネットワーク上のサービスに安全にアクセスするための認証を提供します。Active Directoryは、Kerberos認証をサポートし、TCP/UDPポート464はその通信のために使用されます。
具体的には、TCP/UDPポート464は以下のような用途で使用されます:
Kerberos認証: ユーザーがActive Directoryドメイン内のリソースにアクセスする際に、Kerberos認証プロトコルが使用されます。このプロトコルは、セキュアなチケットベースの認証を提供し、ユーザーがネットワーク上のリソースに安全にアクセスできるようにします。
パスワード変更: TCP/UDPポート464は、Kerberosプロトコルにおいて、パスワード変更操作の通信にも使用されます。ユーザーが自分のパスワードを変更する場合、クライアントとドメインコントローラー間の通信にこのポートが利用されます。
認証情報のチェック: Kerberosでは、認証情報の検証にもTCP/UDPポート464が使用されます。ユーザーがリソースにアクセスしようとするとき、サーバーはTCP/UDPポート464を介して認証情報を確認し、アクセスを許可または拒否します。
TCP/UDPポート464は、Active Directory環境においてセキュリティと認証の重要な役割を果たします。Kerberosプロトコルは、ネットワーク上のリソースへの安全なアクセスを実現するために広く使用されています。
上記、調べた内容を記載しましたが自分が以前業務でADサーバで信頼関係を組んだ時はWindows Server 2016でした。今後これから情報更新あったらこの記事をバージョンアップできればと考えています。
本当に上記で解放するポートは足りているんだろうか? と不安になってまた調べると言うのが自分はよくあるのでまた見直しをする予定です。
一旦、整理が出来たと思う。
各内容の詳細について調べたら別記事で詳細を書きたいと思います。