보통 Active Directory를 회사 내부에 많이 두고 사용하는데, 단일 내부 네트워크인 경우에는 상관이 없지만
복합 네트워크이거나 중간에 방화벽으로 막혀 있는 경우에는 포트를 열어야 한다.
아주 오래전에 이 블로그에도 관련 글을 몇 개 쓴 적이 있다.
>> 참조: Active Directory와 Windows 방화벽
>> 참조: 윈도우 방화벽과 RPC
그런데, RPC 포트는 기본적으로 동적 할당이기 때문에
위 두 번째 글을 참조해서 RPC 포트 영역 자체를 제한하는 방법을 써도 되긴 하지만
Active Directory에서 RPC를 사용하는 서비스 자체적으로 포트를 고정하는 방법을 제공하므로
해당 방법을 적용하는 것이 더 나아 보인다. (아래에서 설명)
Active Directory Domain 서비스와 관련해서 필요한 방화벽 포트 목록은
Microsoft 공식 웹 사이트에서도 아래와 같이 제공하지만 한번에 시원하게 정리되어 있지는 않다.
>> 참조: https://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
그 중에서 RPC 동적 포트를 제한하는 방법은 별도 페이지로 정리되어 있는데,
링크를 타고 들어가서 몇 페이지를 더 조회해야 모두 알 수 있다.
>> 참조: https://support.microsoft.com/en-us/kb/224196
>> 참조: https://support.microsoft.com/en-us/kb/319553
따라서, 여기에 포트 번호 순서대로 모두 정리해 본다. (Windows 2008 이상 기준이다.)
|
Service |
Port/protocol |
|
Replication(SMTP) |
25/tcp |
|
DNS |
53/tcp, 53/udp |
|
DHCP |
67/udp |
|
Kerberos |
88/tcp, 88/udp |
|
Windows Time |
123/udp |
|
RPC endpoint mapper |
135/tcp, 135/udp |
|
NetBIOS name service |
137/tcp, 137/udp |
|
NetBIOS datagram service |
138/udp |
|
NetBIOS session service |
139/tcp |
|
LDAP |
389/tcp |
|
LDAP ping |
389/udp |
|
SMB over IP (Microsoft-DS) |
445/tcp, 445/udp |
|
Kerberos Password |
464/tcp, 464/udp |
|
LDAP over SSL |
636/tcp |
|
DHCP, MADCAP |
2535/udp |
|
Global catalog LDAP |
3268/tcp |
|
Global catalog LDAP over SSL |
3269/tcp |
|
File Replication(SYSVOL) |
5722/tcp |
|
SOAP |
9389/tcp |
|
RPC dynamic assignment |
49152-65535/tcp |
|
RPC static port for Netlogon |
<Netlogon-fixed-port>/tcp |
|
RPC static port for AD replication |
<AD-fixed-port>/tcp |
|
RPC static port for FRS |
<FRS-fixed-port>/tcp |
(붉은 배경색 항목들은 필요에 따라 서비스를 하지 않는 경우에는 포트를 열지 않아도 된다.)
위 빨간색 RPC 관련 부분들은 기본적으로 RPC 동적 포트가 할당되지만
Active Directory 서버에 아래 레지스트리를 적용 후 재부팅하면 단일 포트로 각각 매핑된다.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"DCTcpipPort"=dword:00001450 (5200)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"TCP/IP Port"=dword:00001451 (5201)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters]
"RPC TCP/IP Port Assignment"=dword:00001452 (5202)
(예시로 5200~5202번 포트를 지정했다.)
끝.
'Tech: > AD·ADAM' 카테고리의 다른 글
| Exchange 2013 Edge Transport Role과 AD LDS (0) | 2017.10.12 |
|---|---|
| 도메인 관리자가 원격 데스크톱 로그인이 안될 때 (0) | 2016.08.03 |
| Active Directory LDAP over SSL (0) | 2016.08.01 |
| Active Directory 도메인 환경 NTP 서버 설정 (0) | 2015.07.07 |
| Active Directory NTDS, SYSVOL 경로 바꾸기 (0) | 2015.07.06 |
