Active Directory RPC 트래픽을 특정 포트로 제한하는 방법

이 문서에서는 AD(Active Directory) RPC(복제 원격 프로시저 호출) 트래픽을 Windows Server의 특정 포트로 제한하는 방법을 설명합니다.

적용 대상: 지원되는 모든 버전의 Windows Server
원래 KB 번호: 224196

요약

기본적으로 Active Directory RPC(복제 원격 프로시저 호출)는 포트 135를 사용하여 RPCSS(RPC 엔드포인트 매퍼)를 통해 사용 가능한 포트를 통해 동적으로 발생합니다. 관리자는 이 기능을 재정의하고 모든 Active Directory RPC 트래픽이 통과하는 포트를 지정할 수 있습니다. 이 절차는 포트를 잠깁니다.

자세한 정보에서 레지스트리 항목을 사용하여 사용할 포트를 지정하면 Active Directory 서버 쪽 복제 트래픽과 클라이언트 RPC 트래픽이 모두 엔드포인트 매퍼에 의해 이러한 포트로 전송됩니다. Active Directory에서 지원하는 모든 RPC 인터페이스가 수신 대기 중인 모든 포트에서 실행되므로 이 구성이 가능합니다.

참고 항목

이 문서에서는 방화벽에 대한 AD 복제를 구성하는 방법을 설명하지 않습니다. 방화벽을 통해 복제가 작동하려면 추가 포트를 열어야 합니다. 예를 들어 Kerberos 프로토콜에 대해 포트를 열어야 할 수 있습니다. 방화벽에서 서비스에 필요한 포트의 전체 목록을 가져오려면 Windows의 서비스 개요 및 네트워크 포트 요구 사항을 참조하세요.

자세한 정보

Important

이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 신중하게 수행해야 합니다. 추가 보호를 위해 레지스트리를 수정하기 전에 백업합니다. 그러면 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 레지스트리를 백업하고 복원하는 방법에 대한 자세한 내용은 Windows에서 레지스트리를 백업 및 복원하는 방법을 참조하십시오.

RPC 엔드포인트에 연결하면 클라이언트의 RPC 런타임이 잘 알려진 포트(135)에서 서버의 RPCSS에 연결합니다. 또한 원하는 RPC 인터페이스를 지원하는 서비스에 연결할 포트를 가져옵니다. 클라이언트가 전체 바인딩을 모르는 것으로 가정합니다. 모든 AD RPC 서비스의 상황입니다.

서비스가 시작될 때 하나 이상의 엔드포인트를 등록하고 동적으로 할당된 포트 또는 특정 포트를 선택할 수 있습니다.

다음 항목과 같이 포트 x에서 실행되도록 Active Directory 및 Netlogon을 구성하는 경우 표준 동적 포트 외에도 엔드포인트 매퍼에 등록된 포트가 됩니다.

레지스트리 편집기를 사용하여 제한된 포트를 사용할 각 도메인 컨트롤러에서 다음 값을 수정합니다. 멤버 서버는 로그온 서버로 간주되지 않습니다. 따라서 NTDS에 대한 정적 포트 할당은 멤버 서버에 영향을 주지 않습니다.

멤버 서버에는 Netlogon RPC 인터페이스가 있지만 거의 사용되지 않습니다. 일부 예는 원격 구성 검색(예: nltest /server:member.contoso.com /sc_query:contoso.com.)일 수 있습니다.

레지스트리 키 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
레지스트리 값: TCP/IP 포트
값 형식: REG_DWORD
값 데이터: (사용 가능한 포트)

새 설정이 적용되려면 컴퓨터를 다시 시작합니다.

레지스트리 키 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
레지스트리 값: DCTcpipPort
값 형식: REG_DWORD
값 데이터: (사용 가능한 포트)

새 설정이 적용되려면 Netlogon 서비스를 다시 시작합니다.

참고 항목

레지스트리 항목을 사용하고 DCTcpipPort 레지스트리 항목과 동일한 포트로 TCP/IP Port 설정하면 Netlogon 오류 이벤트 5809가 표시됩니다 NTDS\Parameters. 이는 구성된 포트가 사용 중임을 나타내며 다른 포트를 선택해야 합니다.

고유한 포트가 있고 도메인 컨트롤러에서 Netlogon 서비스를 다시 시작하면 동일한 이벤트가 발생합니다. 이 동작은 의도된 것입니다. RPC 런타임이 서버 포트를 관리하는 방식 때문에 발생합니다. 포트는 다시 시작한 후에 사용되며 이벤트를 무시할 수 있습니다.

관리자는 중간 네트워크 디바이스 또는 소프트웨어가 도메인 컨트롤러 간의 패킷을 필터링하는 데 사용되는 경우 지정된 포트를 통한 통신이 사용하도록 설정되어 있는지 확인해야 합니다.

AD 및 FRS 복제가 동일한 도메인 컨트롤러로 복제되므로 FRS(파일 복제 서비스) RPC 포트도 수동으로 설정해야 하는 경우가 많습니다. FRS RPC 포트는 다른 포트를 사용해야 합니다.

클라이언트가 Netlogon RPC 서비스만 사용하므로 설정 DCTcpipPort 만 필요하다고 가정하지 마세요. 또한 클라이언트는 SamRPC, LSARPC 및 DRS(디렉터리 복제 서비스) 인터페이스와 같은 다른 RPC 서비스를 사용하고 있습니다. 항상 레지스트리 설정을 모두 구성하고 방화벽에서 두 포트를 모두 열어야 합니다.

알려진 문제

포트를 지정한 후 다음과 같은 문제가 발생할 수 있습니다.

• Windows Server 2008 R2 기반 도메인 환경에서 NTDS 및 Netlogon에 대한 특정 정적 포트를 설정한 후 긴 로그온 시간
• Windows 기반 도메인 환경에서 NTDS에 대한 정적 포트를 설정한 후 RPC 문제로 AD 복제가 실패함
• Windows Server 2012 R2 또는 Windows Server 2008 R2에서 클라이언트 RPC를 DC 트래픽으로 제한한 후 로그온 실패

문제를 해결하려면 문서에 언급된 업데이트를 설치합니다.

데이터 수집

Microsoft 지원의 지원이 필요한 경우 Active Directory 복제 문제에 대해 TSS를 사용하여 정보 수집에 설명된 단계에 따라 정보를 수집하는 것이 좋습니다.