VPNの他拠点やファイアウォール越しのAD、DCとの通信に開放が必要なポート番号情報になります。必要なポートが解放されていないと、ドメイン参加、GPOが適用されないなど、色んな問題が発生する可能性があります。
以下は公式の情報になります。
ドメイン環境で使用されるポートについて | Microsoft Docs
以下のようにADをファイアウォールで制御している場合は意識する必要があります。
ドメイン コントローラ (DC) を外部からの攻撃から保護するため、DC とクライアント並びにDC 間にファイア ウォールを設けたいと考えることがあるかと思います。しかし、だからといって何でもファイアウォールでブロックしてしまうと、ログオンや DC 間の複製までもができなくなってしまいます。そのため、ファイアウォールにてポートやサービスの例外を設定して、Active Directory 環境として必要な通信を許可する必要があります。
ドメイン メンバーが利用するポート
ポートを使用するサービス | プロトコル | クライアント側ポート番号 | DC 側ポート番号 |
PING | ICMP | ||
DNS | TCP/UDP | 一時ポート | 53 |
Kerberos | TCP/UDP | 一時ポート | 88 |
NTP | UDP | 123 | 123 |
RPC | TCP | 一時ポート | 135 |
RPC | TCP | 一時ポート | 一時ポート |
NetBIOS-ns | UDP | 137 | 137 |
NetBIOS-dgm | UDP | 138 | 138 |
NetBIOS-ssn | TCP | 一時ポート | 139 |
LDAP | TCP/UDP | 一時ポート | 389 |
SMB | TCP | 一時ポート | 445 |
KPasswd | TCP | 一時ポート | 464 |
LDAP GC | TCP | 一時ポート | 3268 |
LDAP SSL | TCP | 一時ポート | 636 |
LDAP GC SSL | TCP | 一時ポート | 3269 |
AD DS Web Services | TCP | 一時ポート | 9389 |
既定の一時ポートは Windows XP と Windows Vista で異なりますので注意が必要とのことで、Windows10などは「Windows Vista および Windows Server 2008 以降: 49152-65535」になります。
DAP SSL / LDAP GC SSL は、これらを利用するように構成されたアプリケーションが無ければ、ログオン時には利用されません。また、同様に AD DS Web Services もメンバーから PowerShell を利用して Active Directory に接続するなどの要件がなければ利用されませんとありません。
DC間で必要なポート情報も掲載されていますが、ここでは割愛します。ADとメンバーサーバ、ドメインPCの間で必要なポート情報を知りたい方は参考にしてください。