Active Directory와 Windows 방화벽

Active Directory가 설치된 서버에서 Windows 방화벽을 설정하려면 다음 예외항목을 추가해야 한다.

(원격에서 SetPassword, ChangePassword 등을 통해 패스워드 변경을 한다면 Kerberos-Password 포트도 추가해야 한다.)

 

• 포트 번호: 123/UDP - NTP

• 포트 번호: 135/TCP - RPC *

• 포트 번호: 42/TCP - WINS 복제

• 포트 번호: 389/TCP/UDP - LDAP

• 포트 번호: 636/TCP - LDAP SSL

• 포트 번호: 3268/TCP - LDAP GC

• 포트 번호: 3269/TCP - LDAP GC SSL

• 포트 번호: 53/TCP/UDP - DNS

• 포트 번호: 88/TCP/UDP - Kerberos

• 포트 번호: 464/TCP/UDP - Kerberos-Password(kpasswd)

 

그 밖에 NetBIOS를 위해 137, 138, 139 포트도 열려 있어야 하지만, 이 포트들은 기본적으로 예외 목록에 포함되어 있으므로 상관 없다.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"3389:TCP"="3389:TCP:*:Enabled:@xpsp2res.dll,-22009"
"139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002"
"123:UDP"="123:UDP:*:Enabled:NTP(UDP: 123)"
"135:TCP"="135:TCP:*:Enabled:RPC *(TCP: 135)"
"42:TCP"="42:TCP:*:Enabled:WINS 복제(TCP: 42)"
"389:TCP"="389:TCP:*:Enabled:LDAP(TCP: 389)"
"389:UDP"="389:UDP:*:Enabled:LDAP(UDP: 389)"
"636:TCP"="636:TCP:*:Enabled:LDAP SSL(TCP: 636)"
"636:UDP"="636:UDP:*:Enabled:LDAP SSL(UDP: 636)"
"3268:TCP"="3268:TCP:*:Enabled:LDAP GC(TCP: 3268)"
"3269:TCP"="3269:TCP:*:Enabled:LDAP GC SSL(TCP: 3269)"
"53:TCP"="53:TCP:*:Enabled:DNS(TCP: 53)"
"53:UDP"="53:UDP:*:Enabled:DNS(UDP: 53)"
"88:TCP"="88:TCP:*:Enabled:Kerberos(TCP: 88)"
"88:UDP"="88:UDP:*:Enabled:Kerberos(UDP: 88)"
"464:TCP"="464:TCP:*:Enabled:Kerberos-Password(TCP: 464)"
"464:UDP"="464:UDP:*:Enabled:Kerberos-Password(UDP: 464)"

AD_Firewall.reg

 

>> 참고: How to configure Windows Server 2003 SP1 firewall for a Domain Controller