현재 오프라인 상태입니다. 인터넷에 다시 연결하기를 기다리고 있습니다.

도메인 및 트러스트를 위한 방화벽을 구성 하는 방법

2015년 7월 14일 Windows Server 2003 지원 종료

Microsoft는 2015년 7월 14일 Windows Server 2003에 대한 지원을 종료했습니다. 이러한 변경에 따라 해당 소프트웨어 업데이트 및 보안 옵션이 영향을 받습니다. 사용자에게 미치는 영향 및 계속 보호를 받는 방법에 대해 알아보십시오.

이 문서는 이전에 다음 ID로 출판되었음: KR179442
이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.

이 문서의 영문 버전 보기:179442
요약
이 문서에서는 도메인 및 트러스트를 위한 방화벽을 구성 하는 방법을 설명 합니다.

참고: 모든 시나리오에는 다음 표에 나열 된 모든 포트가 필요 합니다. 예를 들어, 방화벽 및 Dc를 분리 하는 경우 FRS 또는 DFSR 포트를 열 필요가 없습니다. 또한 클라이언트가 SSL/TLS를 LDAP 사용 하는 것을 알고 있으면 636 및 3269 포트를 열 필요가 없습니다.
추가 정보
방화벽에 도메인 트러스트 나 보안 채널을 설정 하려면 다음 포트를 열어야 합니다. 방화벽의 양쪽에 있는 클라이언트와 서버 역할을 하는 호스트가 있을 수 있습니다 유의 하십시오. 따라서 포트 규칙은 미러링할 수 할 수 있습니다.

Windows NT

이 환경에서 트러스트의 한 쪽 Windows NT 4.0 트러스트, 또는 NetBIOS 이름을 사용 하 여 트러스트를 만든.
클라이언트 포트서버 포트서비스
UDP 137 /UDP 137 /NetBIOS 이름
138/UDP138/UDPNetBIOS Netlogon 및 검색
TCP/1024-65535TCP 139 /NetBIOS 세션
TCP/1024-6553542/TCPWINS 복제

Windows Server 2003 및 Windows 2000 Server

Windows NT 도메인 컨트롤러나 레거시 클라이언트를 사용 하는 혼합 모드 도메인의 Windows Server 2003 기반 도메인 컨트롤러와 Windows 2000 Server 기반 도메인 컨트롤러를 사용 하려면 위의 표에 나열 된 모든 포트에 Windows NT 외에도 다음과 같은 포트를 열 수 있습니다 사이의 관계를 신뢰 합니다.

참고 두 도메인 컨트롤러에 동일한 있습니다 포리스트나 두 도메인 컨트롤러 모두 별도 포리스트에 있습니다. 또한 포리스트의 트러스트 됩니다. Windows Server 2003 트러스트 또는 이후 버전 트러스트를 사용 합니다.
클라이언트 포트서버 포트서비스
TCP/1024-65535135/TCPRPC 끝점 매퍼
TCP/1024-65535TCP/1024-65535RPC에 대 한 LSA, SAM, Netlogon (*)
1024-65535/TCP/UDP389/TCP/UDPLDAP
TCP/1024-65535TCP 636 /LDAP SSL
TCP/1024-655353268/TCPLDAP GC
TCP/1024-655353269/TCPGC LDAP SSL
53,1024-65535/TCP/UDPUDP/TCP/53DNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
TCP/1024-65535445/TCPSMB
TCP/1024-65535TCP/1024-65535FRS RPC (*)
도메인 트러스트만 NETBIOS 기반 통신을 지 원하는 구성 되어 있으면 NETBIOS 포트 Windows NT 나열 된 Windows 2000 및 Windows Server 2003에 대 한 필수 이기도 합니다. 예 Samba를 기반으로 하는 타사 도메인 컨트롤러 또는 Windows NT 기반 운영 체제입니다.

(*) LSA RPC 서비스에서 사용 되는 RPC 서버 포트를 정의 하는 방법에 대 한 내용은 Microsoft 기술 자료의 다음 문서를 참조 하십시오.

Windows Server 2008 및 Windows Server 2008 R2

Windows Server 2008 및 Windows Server 2008 R2 나가는 연결에 대 한 동적 클라이언트 포트 범위는 증가 했습니다. 새 기본 시작 포트 49152, 이며 기본 끝 포트 65535입니다. 따라서 방화벽에서 RPC 포트 범위를 늘려야 합니다. 인터넷 할당 번호 기관 (IANA) 권장 사항에 따라 변경 되었습니다. 이 기본 동적 포트 범위는 1025부터 5000은 Windows Server 2003 도메인 컨트롤러, Windows 2000 Server 기반 도메인 컨트롤러 또는 레거시 클라이언트 구성 된 혼합 모드 도메인에서 다릅니다.

동적 포트 범위 변경 Windows Server 2008 및 Windows Server 2008 r 2에 대 한 자세한 내용은 다음 리소스를 참조 하십시오.
클라이언트 포트서버 포트서비스
49152-65535/UDP123/UDPW32Time
49152-65535/TCP135/TCPRPC 끝점 매퍼
49152-65535/TCP464/TCP/UDPKerberos 암호 변경
49152-65535/TCPTCP/49152-65535RPC에 대 한 LSA, SAM, Netlogon (*)
49152-65535/TCP/UDP389/TCP/UDPLDAP
49152-65535/TCPTCP 636 /LDAP SSL
49152-65535/TCP3268/TCPLDAP GC
49152-65535/TCP3269/TCPGC LDAP SSL
53, 49152-65535/TCP/UDPUDP/TCP/53DNS
49152-65535/TCP49152-65535/TCPFRS RPC (*)
49152-65535/TCP/UDP88/TCP/UDPKerberos
49152-65535/TCP/UDP445/TCPSMB
49152-65535/TCPTCP/49152-65535DFSR RPC (*)
도메인 트러스트만 NETBIOS 기반 통신을 지 원하는 구성 되어 있으면 NETBIOS 포트 Windows NT 나열 된 Windows 2000 및 2003 서버에 대 한 필수 이기도 합니다. 예 Samba를 기반으로 하는 타사 도메인 컨트롤러 또는 Windows NT 기반 운영 체제입니다.

(*) LSA RPC 서비스에서 사용 되는 RPC 서버 포트를 정의 하는 방법에 대 한 내용은 Microsoft 기술 자료의 다음 문서를 참조 하십시오.
참고: 외부 트러스트 123/UDP 수동으로 동기화 하도록 Windows 시간 서비스 서버와 외부 트러스트를 통해 구성 된 경우에 필요 합니다.

Active Directory

Active Directory 그룹 정책 클라이언트 방화벽을 통해 제대로 작동할 수 있도록 Windows 2000 및 Windows XP에서 인터넷 제어 메시지 프로토콜 (ICMP) 방화벽을 통해 클라이언트에서 도메인 컨트롤러에 허용 되어야 합니다. ICMP는 링크가 느린 링크 인지 빠른 링크 인지 여부를 확인 하는 데 사용 됩니다.

Windows Server 2008 및 이후 버전에서는 네트워크 위치 인식 서비스 트래픽을 다른 스테이션에서 네트워크를 기반으로 예상 대역폭을 제공 합니다. 트래픽이 생성에 대 한 추정치입니다.

또한 Windows 리디렉터가 ICMP 사용 하 여 서버 IP를 연결 하기 전에, 및 DFS를 사용 하 여 서버에 있는 경우 DNS 서비스에서 해결 되었는지 확인 합니다. SYSVOL 액세스 도메인 구성원에 적용 됩니다.

ICMP 트래픽을 최소화 하려는 경우 다음 사용할 수 있습니다. 방화벽 규칙 샘플:
<any> ICMP -> DC IP addr = allow

TCP 프로토콜 계층 및 UDP와 달리 프로토콜 계층 ICMP 포트 번호가 없습니다. ICMP 이기 때문입니다. IP 계층에서 직접 호스트.

기본적으로 Windows Server 2003 및 Windows 2000 Server DNS 서버는 다른 DNS 서버에 쿼리할 때 임시 클라이언트쪽 포트를 사용 합니다. 그러나이 문제는 특정 레지스트리 설정으로 변경할 수 있습니다. 자세한 내용은 Microsoft 기술 자료 문서를 참조 하십시오. 260186: 예상 대로 SendPort DNS 레지스트리 키 작동 하지 않는다

Active Directory와 방화벽 구성에 대 한 자세한 내용은 참조 하십시오 있는 Active Directory에서 네트워크 방화벽으로 분리Microsoft 백서입니다.또는 지점간 터널링 프로토콜 (PPTP) 필수 터널을 통해 트러스트를 설정할 수 있습니다. 이 방화벽을 열 수 있는 포트 수를 제한 합니다. PPTP에 대 한 다음 포트를 설정 해야 합니다.
클라이언트 포트서버 포트프로토콜
TCP/1024-655351723/TCPPPTP
또한 IP 프로토콜 47을 사용 하도록 설정 해야 합니다. (GRE)입니다.

참고 트러스트 된 도메인의 사용자가 트러스팅 도메인의 리소스 사용 권한을 추가할 때 Windows 2000 및 Windows NT 4.0 동작 사이 약간의 차이가 있습니다. 컴퓨터가 원격 도메인 사용자의 목록을 표시할 수 없으면 다음 문제를 고려해 야 합니다.
  • Windows NT 4.0에서 수동으로 입력 한 이름을 확인 하려고 PDC 원격 사용자의 도메인 (UDP 138)에 대해 문의 합니다. 해당 하는 경우 통신 실패 Windows NT 4.0 기반 컴퓨터는 자신의 PDC에 연결 하 고 다음 이름 확인을 요청합니다.
  • Windows 2000 및 Windows Server 2003 해결 방법에 대 한 UDP 138을 통해 원격 사용자의 PDC에 연결할 시도 합니다. 그러나 이들은 자신의 PDC를 사용 하 여 의존 하지 않습니다. 모든 Windows 2000 기반 구성원 서버와 Windows Server 2003 기반 구성원 서버 리소스에 액세스를 부여 합니다 원격 PDC에 UDP 138 연결 되어 있는지 확인 합니다.
추가 리소스
tcpip

경고: 이 문서는 자동으로 번역되었습니다.

속성

문서 ID: 179442 - 마지막 검토: 07/16/2013 01:40:00 - 수정: 4.1

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Windows Web Server 2008 R2

  • kbenv kbhowto kbnetwork kbmt KB179442 KbMtko
피드백