Qsup 2021-01

기본적으로 위에 말씀하신 다이나믹 포트를 오픈해야 원할한 서비스가 가능하지만,
레지스트리에서 스태틱 포트로 매핑해서 사용하면 닫아도 됩니다.
아니 스태틱 포트로 할당해서 무조건 닫아 놓고 필수적으로 필요한 포트만 필요시에 따로 여는게 좋습니다.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"DCTcpipPort"=dword:00001450 (5200)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"TCP/IP Port"=dword:00001451 (5201)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters]
"RPC TCP/IP Port Assignment"=dword:00001452 (5202)

위 레지스트리는 다이나믹 포트를 5200~5202 스태틱 포트로 매핑하는 예시입니다.
참고하셔서 오픈할 스태틱 포트를 어사이닝 후 작업하시기 바랍니다.

우뢰맨 2021-01

와 상세히 알려주셔서 정말 감사합니다.
한가지 더 궁금한게 만약 위에대로 설정하면 모든 클라이언트(500대라면)가 서버의 다이나믹 포트가 아닌 5200, 5201, 5202 포트로 연결되는건가요?

Qsup 2021-01

넵. 위예시대로면 다이나믹 포트로 할당된 서비스가 5200~5202번 스태틱 포트로 할당됩니다.
최종적으로 어사인할 포트를 상황에 맞춰 선택(DWORD값 16진수)하여 교체해주시면 됩니다.

우뢰맨 2021-01

정말 감사합니다.^^

상석하대 2021-01

풀 것 많습니다.

42(TCP, UDP) WINS 복제
53 (TCP, UDP) DNS
88 (TCP, UDP) Kerberos Authentication
123 (TCP) Windows Time Synchronization Protocol
135 (TCP) End Point Mapper(RPC)
137 (UDP) NetBIOS 이름 서버
138 (UDP) NetBIOS 데이터그램
139 (TCP) NetBIOS 세션 서비스
389 (TCP, UDP) LDAP
445 (TCP) Server message block (SMB) for Netlogon
464 (TCP, UDP) Kerberos Password V5
500 (UDP) IKE
636 (TCP) LDAP SSL
3268 (TCP) LDAP GC
3269 (TCP) LDAP GC SSL
4500 (UDP) NAT-T
x001-x050 (TCP) 서버의 레지스트리에 설정한 RPC 가변포트 범위

이 마저도 중간에 ISP의 공인망이 있으면 무용지물이 될 가능성이 높습니다.

우뢰맨 2021-01

감사합니다.
근데 500(udp) ike와 4500 (UDP) NAT-T은 어떤 사항에서 오픈해야되는건지 알려주실수 있을까요?

마지막줄에 중간에 isp공인망이 있는경우 무용지물이 될 가능성의 뜻도 사실 잘 모르겠네요 ㅠ.ㅠ

상석하대 2021-01

아, 그러고보니 그 포트는 환경에 따라서 필요하지 않을 수도 있습니다.
외부에서 AD접속에 필요한 VPN용 DHCP 구성시 필요해서 넣었던 것입니다.
너무 교과서적으로 나열하였습니다.
필요없으면 취사선택입니다.
예를 들어서 단순히 AD와 사용자(또는 컴퓨터)간 인증이라면 다음 정도입니다.

53 (TCP, UDP) DNS
88 (TCP, UDP) Kerberos Authentication
389 (TCP, UDP) LDAP
445 (TCP) Server message block (SMB) for Netlogon
RPC 가변포트 범위

TCP 445 포트는 ISP에서 막혀 있습니다.
사용자가 AD를 ISP 망을 이용해서 접속하려 한다면 문제가 되는 부분이라서 입니다.

우뢰맨 2021-01

몰랐던 부분도 알게되었네요. 정말 감사합니다^^

KSOFT이원재 2021-01

우아 저도 궁금했던건데 좋은 정보 얻어갑니다.