AD不参加パソコンがAD参加ファイルサーバーにアクセスする時ドメインコントローラと認証通信するのか?

例えば、会社でAD(=Active Directory)を使用していたとします。
家のパソコンからリモートでインターネットVPNをつなげたり、
別の運用会社からリモートでインターネットVPNをつなげたりする時を想定しています。

AD参加のファイルサーバーにだけ接続させたい場合、どのような通信が発生するのでしょうか?

image

環境・前提条件

  • ADドメインコントローラ、Windows Server 2012 R2
  • AD参加のファイルサーバー、Windows Server 2012 R2
  • AD参加していないパソコン、Windows 7

の環境で確認しました。

 

image-1

ファールサーバーにIPアドレスでWindows共有アクセスをした時にパケットキャプチャしてみました。
すると、ADのドメインコントローラとは一切通信が発生していませんでした。
ファイルサーバーに認証しアクセスする場合は、ADドメインコントローラとパソコンは直接通信をする必要は無いのですね。

※ 通常はコンピュータ名アクセスをさせると思いますので、ADドメインコントローラとDNS通信は発生すると思います。

ちなみに、
パソコンのIPアドレスは192.168.x.Aで、ファイルサーバーのIPアドレスは10.y.z.Bです。(ADドメインコントローラも10.y.z.Cです)

 

ファイルサーバーとCIFS(TCP445)との通信しか発生していない

image-2

さらにに、ファイルサーバーとの通信を確認したところ、ファイルサーバーとパソコンとの間はCIFS(TCP445)の通信しかありませんでした。
検索条件をtcp.port==445としてもパケット行数が変わっていないことがわかります。

以前でいうUDP139通信(NBT=NetBIOS over TCP/IP)通信も今回の環境では発生していませんでした。
テストしたサーバーとクライアントのOSにも依存するかもしれませんね。

 

AD認証はCIFS通信内でファイルサーバーと認証している

image-3

実はAD認証はCIFS(TCP445)通信内で行われていました。

面白いのは、

  1. まずSMBのバージョンいくつで通信するのかネゴシエーションし(Windows 7がいるのでSMB2.1になった)
  2. その後、NTLM認証しているんですね(パソコンがADに参加していないのでケルベロス認証ではなくNTLM)
  3. そして、TreeConnect Success(接続成功)となる

AD参加していないパソコンは、ファイルサーバーのWindows共有アクセスをする時、直接ADドメインコントローラーとケルベロス認証とかしていないんですね。

 

あれ?最近はCIFSって言わないんですね、、、勉強になりました。

DFS通信もTCP445ポート内通信でDFSリンク先解決

image

おまけ情報にはなりますが、
さらに面白いのは、DFS(分散ファイルシステム)を利用している場合も、このTCP445ポート内で通信していました。

  1. ADドメインコントローラにTreeConnect Success(接続成功)してから
  2. ADドメインコントローラにGet DFS Referral して
  3. ADドメインコントローラーから戻ってきたNetworkAdress(DFSの設定先)に対し、名前解決をし再びSMB接続を試みます。

全部SMBプロトコル内で行っているんですね、驚きました。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です