방화벽에 도메인 트러스트나 보안 채널을 설정하려면 다음 포트를 열어야 합니다. 방화벽의 양쪽에는 클라이언트와 서버 역할을 모두 수행하는 호스트가 있을 수 있습니다. 이로 인해 포트 역할을 미러링해야 할 수 있습니다.
Active Directory의 기능이 방화벽을 통과하여 제대로 작동하려면 클라이언트가 그룹 정책 정보를 받을 수 있도록 ICMP(Internet Control Message Protocol) 프로토콜이 방화벽을 지나 클라이언트에서 도메인 컨트롤러까지 연결될 수 있어야 합니다. ICMP는 링크가 느린 링크인지 빠른 링크인지 확인하는 데 사용됩니다. ICMP는 Active Directory에서 그룹 정책 및 MTU(최대 전송 단위)를 검색하는 데 사용하는 적법한 프로토콜입니다.
ICMP 트래픽을 최소화하려는 경우 다음 예제 방화벽 규칙을 사용할 수 있습니다.
TCP 프로토콜 계층 및 UDP 프로토콜 계층과 달리 ICMP에는 포트 번호가 없습니다. IP 계층에서 직접 ICMP를 호스트하기 때문입니다.
참고 이 표에 나열된 것 이외에 RPC 통신을 위한 특정 요구 사항이 있습니다. 방화벽에 대해 RPC 통신을 구성하는 방법은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
Active Directory와 방화벽 구성에 대한 자세한 내용은 다음 Microsoft 백서를 참조하십시오.
또한 IP PROTOCOL 47(GRE)을 설정해야 합니다.
참고 트러스트된 도메인에 있는 사용자에 대해 트러스팅 도메인의 리소스에 대한 사용 권한을 추가할 때 Windows 2000과 Windows NT 4.0 동작 사이에는 몇 가지 차이가 있습니다. 컴퓨터가 원격 도메인 사용자의 목록을 표시할 수 없는 경우 동작은 다음과 같습니다.
Windows NT
표 축소
| 클라이언트 포트 | 서버 포트 | 서비스 |
|---|---|---|
| 1024-65535/TCP | 135/TCP | RPC * |
| 137/UDP | 137/UDP | NetBIOS 이름 |
| 138/UDP | 138/UDP | NetBIOS Netlogon 및 탐색 |
| 1024-65535/TCP | 139/TCP | NetBIOS 세션 |
| 1024-65535/TCP | 42/TCP | WINS 복제 |
Windows Server 2003 및 Windows 2000 Server
같은 포리스트에 있지 않은 두 개의 Windows Server 2003 기반 도메인 컨트롤러나 Windows 2000 Server 기반 도메인 컨트롤러 간 트러스트 관계 또는 Windows NT 도메인 컨트롤러나 레거시 클라이언트가 포함된 혼합 모드 도메인의 경우 아래의 포트뿐 아니라 앞에서 설명한 모든 Windows NT용 포트를 열어야 할 수 있습니다.표 축소
| 클라이언트 포트 | 서버 포트 | 서비스 |
|---|---|---|
| 1024-65535/TCP | 135/TCP | RPC * |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53.1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
ICMP 트래픽을 최소화하려는 경우 다음 예제 방화벽 규칙을 사용할 수 있습니다.
<any> ICMP -> DC IP addr = allow
TCP 프로토콜 계층 및 UDP 프로토콜 계층과 달리 ICMP에는 포트 번호가 없습니다. IP 계층에서 직접 ICMP를 호스트하기 때문입니다.
참고 이 표에 나열된 것 이외에 RPC 통신을 위한 특정 요구 사항이 있습니다. 방화벽에 대해 RPC 통신을 구성하는 방법은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
154596 (http://support.microsoft.com/kb/154596/ ) HOWTO: 방화벽에 사용할 RPC 동적 포트 할당 구성
기본적으로 Windows Server 2003 및 Windows 2000 Server DNS 서버는 다른 DNS 서버에 쿼리할 때 임시 클라이언트쪽 포트를 사용합니다. 그러나 이 문제는 Microsoft 기술 자료의 다음 문서에서 설명하는 특정 레지스트리 설정으로 수정할 수 있습니다.
260186 (http://support.microsoft.com/kb/260186/ ) SendPort DNS 레지스트리 키가 예상대로 작동하지 않는다
Active Directory와 방화벽 구성에 대한 자세한 내용은 다음 Microsoft 백서를 참조하십시오.
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en)
또는 지점간 터널링 프로토콜(PPTP) 필수 터널을 통해 트러스트를 설정할 수 있는데, 이것은 방화벽이 열어야 하는 포트 수를 제한합니다. PPTP의 경우 다음 포트를 설정해야 합니다.표 축소
| 클라이언트 포트 | 서버 포트 | 프로토콜 |
|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
또한 IP PROTOCOL 47(GRE)을 설정해야 합니다.
참고 트러스트된 도메인에 있는 사용자에 대해 트러스팅 도메인의 리소스에 대한 사용 권한을 추가할 때 Windows 2000과 Windows NT 4.0 동작 사이에는 몇 가지 차이가 있습니다. 컴퓨터가 원격 도메인 사용자의 목록을 표시할 수 없는 경우 동작은 다음과 같습니다.
- Windows NT 4.0은 원격 사용자의 도메인(UDP 138)에 대해 PDC에 연락하여 수동으로 입력한 이름을 확인하려고 합니다 통신이 실패하는 경우 Windows NT 4.0 기반 컴퓨터는 자신의 PDC에 연락한 다음 이름 확인을 요청합니다.
- 또한 Windows 2000 및 Windows Server 2003은 UDP 138로 이름을 확인하기 위해 원격 사용자의 PDC에 연락을 시도하지만 자신의 PDC는 사용하지 않습니다. 리소스에 대한 액세스 권한을 부여하는 모든 Windows 2000 기반 구성원 서버와 Windows Server 2003 기반 구성원 서버가 원격 PDC에 대해 UDP 138 연결을 갖고 있어야 합니다.