Active Directory RPC 트래픽을 특정 포트로 제한하는 방법

  • 아티클

이 문서에서는 AD(Active Directory) RPC(복제 원격 프로시저 호출) 트래픽을 Windows Server의 특정 포트로 제한하는 방법을 설명합니다.

적용 대상: 지원되는 모든 버전의 Windows Server
원본 KB 번호: 224196

요약

기본적으로 RPC(Active Directory 복제 원격 프로시저 호출)는 포트 135를 사용하여 RPCSS(RPC 엔드포인트 매퍼)를 통해 사용 가능한 포트를 통해 동적으로 발생합니다. 관리자는 이 기능을 재정의하고 모든 Active Directory RPC 트래픽이 통과하는 포트를 지정할 수 있습니다. 이 절차는 포트를 잠가 니다.

자세한 정보에서 레지스트리 항목을 사용하여 사용할 포트를 지정하면 Active Directory 서버 쪽 복제 트래픽과 클라이언트 RPC 트래픽이 모두 엔드포인트 매퍼에 의해 이러한 포트로 전송됩니다. 이 구성은 Active Directory에서 지원하는 모든 RPC 인터페이스가 수신 대기 중인 모든 포트에서 실행되고 있기 때문에 가능합니다.

참고

이 문서에서는 방화벽에 대한 AD 복제를 구성하는 방법을 설명하지 않습니다. 방화벽을 통해 복제가 작동하려면 추가 포트를 열어야 합니다. 예를 들어 Kerberos 프로토콜에 대한 포트를 열어야 할 수 있습니다. 방화벽에서 서비스에 필요한 포트의 전체 목록을 가져오려면 Windows용 서비스 개요 및 네트워크 포트 요구 사항을 참조하세요.

추가 정보

중요

이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 레지스트리를 백업 및 복원하는 방법에 대한 자세한 내용은 Windows에서 레지스트리를 백업 및 복원하는 방법을 참조하세요.

RPC 엔드포인트에 연결하면 클라이언트의 RPC 런타임이 잘 알려진 포트(135)에서 서버의 RPCSS에 연결합니다. 또한 원하는 RPC 인터페이스를 지원하는 서비스에 연결할 포트를 가져옵니다. 클라이언트가 전체 바인딩을 모른다고 가정합니다. 모든 AD RPC 서비스의 상황입니다.

서비스는 시작될 때 하나 이상의 엔드포인트를 등록하고 동적으로 할당된 포트 또는 특정 포트를 선택합니다.

다음 항목과 같이 포트 x 에서 실행되도록 Active Directory 및 Netlogon을 구성하면 표준 동적 포트 외에 엔드포인트 매퍼에 등록된 포트가 됩니다.

레지스트리 편집기 사용하여 제한된 포트를 사용할 각 도메인 컨트롤러에서 다음 값을 수정합니다. 멤버 서버는 로그온 서버로 간주되지 않습니다. 따라서 NTDS에 대한 정적 포트 할당은 멤버 서버에 영향을 주지 않습니다.

멤버 서버에는 Netlogon RPC 인터페이스가 있지만 거의 사용되지 않습니다. 일부 예는 원격 구성 검색(예: nltest /server:member.contoso.com /sc_query:contoso.com)일 수 있습니다.

레지스트리 키 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
레지스트리 값: TCP/IP 포트
값 형식: REG_DWORD
값 데이터: (사용 가능한 포트)

새 설정을 적용하려면 컴퓨터를 다시 시작합니다.

레지스트리 키 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
레지스트리 값: DCTcpipPort
값 형식: REG_DWORD
값 데이터: (사용 가능한 포트)

새 설정이 적용되려면 Netlogon 서비스를 다시 시작합니다.

참고

레지스트리 항목을 사용하고 DCTcpipPort 레지스트리 항목과 동일한 포트로 TCP/IP Port 설정하면 에서 NTDS\ParametersNetlogon 오류 이벤트 5809가 표시됩니다. 이는 구성된 포트가 사용 중임을 나타내며 다른 포트를 선택해야 합니다.

고유한 포트가 있고 도메인 컨트롤러에서 Netlogon 서비스를 다시 시작하면 동일한 이벤트를 받게 됩니다. 이것은 의도적으로 설계된 동작입니다. RPC 런타임이 서버 포트를 관리하는 방식 때문에 발생합니다. 포트는 다시 시작 후 사용되며 이벤트를 무시할 수 있습니다.

관리자는 도메인 컨트롤러 간의 패킷을 필터링하는 데 중간 네트워크 디바이스 또는 소프트웨어를 사용하는 경우 지정된 포트를 통한 통신이 사용하도록 설정되어 있는지 확인해야 합니다.

AD 및 FRS 복제가 동일한 도메인 컨트롤러와 복제되므로 FRS(파일 복제 서비스) RPC 포트도 수동으로 설정해야 하는 경우가 많습니다. FRS RPC 포트는 다른 포트를 사용해야 합니다.

클라이언트가 Netlogon RPC 서비스만 사용하므로 설정 DCTcpipPort 만 필요하다고 가정하지 마세요. 또한 클라이언트는 SamRPC, LSARPC 및 DRS(디렉터리 복제 서비스) 인터페이스와 같은 다른 RPC 서비스를 사용하고 있습니다. 항상 레지스트리 설정을 모두 구성하고 방화벽에서 두 포트를 모두 열어야 합니다.

알려진 문제

포트를 지정한 후 다음과 같은 문제가 발생할 수 있습니다.

문제를 resolve 문서에 언급된 업데이트를 설치합니다.

데이터 수집

Microsoft 지원의 지원이 필요한 경우 Active Directory 복제 문제에 TSS를 사용하여 정보 수집에 설명된 단계에 따라 정보를 수집하는 것이 좋습니다.