ITmedia エンタープライズ

　Windows 2000を企業内に本格導入することになれば，ネットワークモニタリングツールなどを使って，自分のネットワークにどのようなトラフィックが発生しているのかを検証する機会もあるだろう。また，ルータを設定したりファイアウォールを構築したりするときには，通過させるパケットと遮断するパケットを設定しなければならないことも多いはずである。このような場面では，主要なTCP/UDPのポート番号を覚えておくと便利である。ここでは，Active Directoryに関連するポート番号を掲載しておく。

Table 9　Active Directoryが利用するポート番号

• Kerberos認証は，UDPポート88番またはTCPポート88番を利用する。標準ではUDP88を利用するが（RFC1510），UDPデータグラムには制限があるため，2Kバイトを超えるメッセージであればTCP88が利用される。
  　
• Windows 2000では，DNSの動的更新をサポートしている。また，インクリメンタルゾーン転送もサポートするようになったので，ゾーンファイルを丸ごとではなく，差分データだけを転送することができる。
  　
• 特定のドメインを検索先に指定した場合は，TCPポート389番を用いてLDAPの検索要求が発生する。フォレスト全体，つまりグローバルカタログを検索先に指定した場合は，TCPポート3268番を用いる。このように，検索先の指定によって使用されるポート番号は異なるので，どこを検索しているのかを判断しやすい。
  　
• Active Directoryの複製には，RPCとSMTPという2つのプロトコルが使用される。具体的には，サイト内の複製ではRPCが，サイト間の複製ではRPCとSMTPが，それぞれ採用されている。
  　SMTPを利用する場合には，仕様上，ドメインネーミングコンテキストを複製できないので，構成ネーミングコンテキストとスキーマネーミングコンテキスト，グローバルカタログサーバーへの部分的複製のみが実行される。SMTPはインターネットメールで使用されているプロトコルなので，ポート番号はおなじみのTCP25である。
  　一方，RPCでは，動的にRPCポートが割り当てられるため，複製ポートは固定されていない。もしポート番号が不定だと管理しづらいのであれば，レジストリの次の箇所にあるTCP/IP Portエントリによってサーバーの複製ポートを固定させることもできる。詳しくは，マイクロソフトのサポート情報を参照してほしい。
  

  HKEY_LOCAL_MACHINE\CurrentControlSet\ Services\NTDS\Parameters

  ドメインコントローラで複製にSMTPを採用している場合，ドメインコントローラに電子メールサーバーを兼務させることはできないのかと疑問に思われる管理者も多いだろう。結論からいえば，複製にSMTPを採用しているドメインコントローラに電子メールサーバーを兼務させることはできる。ただし，電子メールサーバーがLDAPをサポートしている場合には，電子メールサーバー側のLDAPポートを使用していない番号に変更する必要がある。ただし，負荷分散と安定性の維持という観点から，運用上はドメインコントローラに電子メールサーバーを兼務させるべきではないだろう。
  

• 1つのフォレスト内に存在するすべてのWindows 2000コンピュータが共通の時刻情報を使用するように，フォレストのルートにあるPDCエミュレータ上ではWindows Time Serviceが稼動する。Windows Time Serviceは，SNTP（Simple Network Time Protocol）を利用して，Windows 2000が導入された各コンピュータの時刻を同期させる。SNTPは，UDPポートの123番を利用する。詳しくは，マイクロソフトのサポート情報を参照してほしい。