Active Directory 도메인 및 트러스트를 위한 방화벽 구성 방법
이 문서에서는 Active Directory 도메인 및 트러스트를 위한 방화벽을 구성하는 방법을 설명합니다.
적용 대상: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
원본 KB 번호: 179442
참고
여기에 있는 테이블에 나열된 모든 포트가 모든 시나리오에 필요한 것은 아닙니다. 예를 들어 방화벽이 멤버와 DC를 분리하는 경우 FRS 또는 DFSR 포트를 열 필요가 없습니다. 또한 SSL/TLS를 통해 LDAP를 사용하는 클라이언트가 없다는 것을 알고 있는 경우 포트 636 및 3269를 열 필요가 없습니다.
추가 정보
참고
두 도메인 컨트롤러는 모두 동일한 포리스트에 있거나 두 도메인 컨트롤러가 모두 별도의 포리스트에 있습니다. 또한 포리스트의 트러스트는 Windows Server 2003 트러스트 이상 버전 트러스트입니다.
| 클라이언트 포트 | 서버 포트 | 서비스 |
|---|---|---|
| 1024-65535/TCP | 135/TCP | RPC 엔드포인트 매퍼 |
| 1024-65535/TCP | 1024-65535/TCP | LSA, SAM, NetLogon용 RPC(*) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC(*) |
도메인에 대한 트러스트가 NetBIOS 기반 통신만 지원하도록 구성된 경우 Windows NT에 나열된 NetBIOS 포트는 Windows 2000 및 Windows Server 2003에도 필요합니다. 예로는 Windows NT 기반 운영 체제 또는 Samba를 기반으로 하는 타사 도메인 컨트롤러가 있습니다.
LSA RPC 서비스에서 사용하는 RPC 서버 포트를 정의하는 방법에 대한 자세한 내용은 다음을 참조하세요.
- Active Directory RPC 트래픽을 특정 포트로 제한.
- Windows에 대한 서비스 개요 및 네트워크 포트 요구 사항의 도메인 컨트롤러 및 Active Directory 섹션.
Windows Server 2008 버전 이상
Windows Server 2008 최신 버전의 Windows Server는 나가는 연결에 대한 동적 클라이언트 포트 범위를 증가했습니다. 새 기본 시작 포트는 49152이고 새 기본 종료 포트는 65535입니다. 따라서 방화벽에서 RPC 포트 범위를 늘려야 합니다. 이는 IANA(Internet Assigned Numbers Authority) 권장 사항을 준수하기 위해 변경되었습니다. 이는 기본 동적 포트 범위가 1025~5000인 Windows Server 2003 도메인 컨트롤러, Windows 2000 서버 기반 도메인 컨트롤러 또는 레거시 클라이언트로 구성된 혼합 모드 도메인과 다릅니다.
Windows Server 2012 및 Windows Server 2012 R2의 동적 포트 범위 변경에 대한 자세한 내용은 다음을 참조하세요.
| 클라이언트 포트 | 서버 포트 | 서비스 |
|---|---|---|
| 49152-65535/UDP | 123/UDP | W32Time |
| 49152-65535/TCP | 135/TCP | RPC 엔드포인트 매퍼 |
| 49152-65535/TCP | 464/TCP/UDP | Kerberos 암호 변경 |
| 49152-65535/TCP | 49152-65535/TCP | LSA, SAM, NetLogon용 RPC(*) |
| 49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152-65535/TCP | 636/TCP | LDAP SSL |
| 49152-65535/TCP | 3268/TCP | LDAP GC |
| 49152-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152-65535/TCP | 49152-65535/TCP | FRS RPC(*) |
| 49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152-65535/TCP/UDP | 445/TCP | SMB(**) |
| 49152-65535/TCP | 49152-65535/TCP | DFSR RPC(*) |
도메인에 대한 트러스트가 NetBIOS 기반 통신만 지원하도록 구성된 경우 Windows NT용으로 나열된 NetBIOS 포트는 Windows 2000 및 Server 2003에도 필요합니다. 예로는 Windows NT 기반 운영 체제 또는 Samba를 기반으로 하는 타사 도메인 컨트롤러가 있습니다.
(*) LSA RPC 서비스에서 사용하는 RPC 서버 포트를 정의하는 방법에 대한 자세한 내용은 다음을 참조하세요.
- Active Directory RPC 트래픽을 특정 포트로 제한.
- Windows에 대한 서비스 개요 및 네트워크 포트 요구 사항의 도메인 컨트롤러 및 Active Directory 섹션.
(**) 트러스트 작업의 경우 이 포트는 필요하지 않으며 트러스트 만들기에만 사용됩니다.
참고
외부 트러스트 123/UDP는 외부 트러스트를 통해 서버와 동기화하도록 Windows 시간 서비스를 수동으로 구성한 경우에만 필요합니다.
PowerShell 연결
Microsoft LDAP 클라이언트는 LDAP 요청이 장시간 보류 중이고 응답을 기다리는 경우 ICMP ping을 사용합니다. ping 요청을 전송하여 서버가 여전히 네트워크에 있는지 확인합니다. ping 응답을 받지 못하면 LDAP_TIMEOUT LDAP 요청이 실패합니다.
또한 Windows 리디렉터에서는 ICMP Ping 메시지를 사용하여 연결하기 전과 DFS를 사용하여 서버 위치가 파악되는 경우 DNS 서비스에서 서버 IP가 확인되는지 확인합니다. ICMP 트래픽을 최소화하려면 다음 샘플 방화벽 규칙을 사용할 수 있습니다.
<모든> ICMP -> DC IP 추가기 = allow
TCP 프로토콜 계층 및 UDP 프로토콜 계층과 달리 ICMP에는 포트 번호가 없습니다. 이는 ICMP가 IP 계층에서 직접 호스팅되기 때문입니다.
기본적으로 Windows Server 2003 서버 및 Windows 2000 서버 DNS 서버는 다른 DNS 서버를 쿼리할 때 임시 클라이언트 쪽 포트를 사용합니다. 그러나 이 동작은 특정 레지스트리 설정에 의해 변경될 수 있습니다. 또는 PPTP(지점 간 터널링 프로토콜) 강제 터널을 통해 트러스트를 설정할 수 있습니다. 이렇게 하면 방화벽을 열어야 하는 포트 수가 제한됩니다. PPTP의 경우 다음 포트를 사용하도록 설정해야 합니다.
| 클라이언트 포트 | 서버 포트 | Protocol(프로토콜) |
|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
또한 IP PROTOCOL 47(GRE)을 사용하도록 설정해야 합니다.
참고
신뢰할 수 있는 도메인의 사용자에 대한 신뢰할 수 있는 도메인의 리소스에 권한을 추가하는 경우 Windows 2000과 Windows NT 4.0 동작 간에는 몇 가지 차이점이 있습니다. 컴퓨터에서 원격 도메인의 사용자 목록을 표시할 수 없는 경우 다음 동작을 고려합니다.
- Windows NT 4.0은 원격 사용자 도메인(UDP 138)에 대한 PDC에 문의하여 수동으로 입력한 이름을 확인하려고 시도합니다. 해당 통신이 실패하면 Windows NT 4.0 기반 컴퓨터가 자체 PDC에 연결한 다음 이름 확인을 요청합니다.
- Windows 2000 및 Windows Server 2003은 UDP 138을 통해 확인을 위해 원격 사용자의 PDC에 문의하려고 합니다. 그러나 자체 PDC를 사용하는 것에는 의존하지 않습니다. 리소스에 대한 액세스 권한을 부여할 모든 Windows 2000 기반 구성원 서버 및 Windows Server 2003 기반 구성원 서버가 원격 PDC에 UDP 138로 연결되어 있는지 확인합니다.
참조
Windows용 서비스 개요 및 네트워크 포트 요구 사항은 Microsoft Windows 서버 시스템에서 Microsoft 클라이언트 및 서버 운영 체제, 서버 기반 프로그램 및 프로그램 하위 구성 요소가 사용하는 필수 네트워크 포트, 프로토콜 및 서비스에 대해 설명하는 귀중한 리소스입니다. 관리자 담당자와 지원 담당자는 이 Microsoft 기술 자료 문서를 참조하여 세그먼트화된 네트워크에서 Microsoft 운영 체제 및 프로그램의 네트워크 연결에 필요한 포트와 프로토콜을 결정할 수 있습니다.
Windows 서비스 개요 및 네트워크 포트 요구 사항의 정보를 사용하여 Windows 방화벽을 구성해서는 안 됩니다. Windows 방화벽을 구성하는 방법에 대한 자세한 내용은 고급 보안이 포함된 Windows 방화벽을 참조하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기