SharedIT | 묻고 답하기(AMP)

AD 방화벽

동대문 입구
2024.05.08 () | 0 추천 | 7개의 답변

안녕하세요, AD 구축 선배님들..

1.

AD 구축 하기 위해  AD Server  간의 방화벽 open되었는지 확인 하는 방법 과 진행 방법에 대해  궁금합니다..( AD 구축에 필요한 방화벽 확인방법 진행 방법에대해 문의드립니다.)



2.  추가로 방화벽 요청 하는 방법에 대해 알고 계시면 ㅠㅜㅠㅜ 전수 부탁드립니다 ㅠ

Tags : 태그가 없습니다.

7개의 답변이 있습니다.

명동쓰레빠
  0 추천 | 8일 전

방화벽 업체와 상의 하시는게 효과적일걸로 보입니다.

ywchoung
  0 추천 | 10일 전

389,53,686 이거만 써봐서 ms말고 방화벽업체에 해달라고하면 알아서 열어줍니다 본인들이 테스트까지 

앵그리파파
  0 추천 | 10일 전

AD 서버간의 방화벽이 열려있는지 확인하고 AD 구축을 진행하려면, 모든 AD 서버의 방화벽 규칙이 필수 포트에서 트래픽을 허용하는지 확인이 필요합니다. 각 서버의 방화벽 설정을 검사하거나 네트워크/방화벽 확인해보세요.

해당 포트는,

TCP 포트 389: 디렉터리 복제  사용자 인증을 위한 LDAP(Lightweight Directory Access Protocol).


UDP 포트 389: 디렉터리 복제용 LDAP.


TCP 포트 636: 안전한 디렉터리 복제  사용자 인증을 위한 SSL/TLS(LDAPS)를 통한 LDAP.


TCP 포트 3268: 여러 도메인에 걸쳐 개체를 쿼리하기 위한 글로벌 카탈로그.


TCP 포트 3269: 보안 쿼리를 위한 SSL/TLS(GC SSL)를 통한 글로벌 카탈로그.


UDP 포트 88: Kerberos 인증.


UDP/TCP 포트 53: 이름 확인을 위한 DNS입니다.


연결 테스트는 telnet, ncat 또는 파워쉘 명령과 같은 도구를 사용하여 필수 포트에서 AD 서버간의 연결을 테스트 해볼 수 있습니다.


예) 포트 389에서 LDAP 연결 테스트

telnet <remote_AD_server> 389


예) 포트 636에서 LDAPS 연결 테스트

telnet <remote_AD_server> 636


그런다음,


DNS 확인: 모든 AD 서버의 도메인 이름을 확인하도록 DNS가 올바르게 구성되었는지 확인합니다. AD는 이름 확인을 위해 DNS에 크게 의존하므로 DNS가 올바르게 작동하는 것이 중요합니다.


AD 구축 진행: AD 서버 간에 방화벽이 열려 있고 연결이 예상대로 작동하는지 확인한 후에는 Active Directory 도메인 구축을 진행할  있습니다. 'dcpromo'(이전 버전의 Windows Server) 또는 Active Directory 도메인 서비스 설치 마법사(최신 버전)와 같은 도구를 사용하여 서버를 도메인 컨트롤러로 승격할  있습니다.


오류 모니터링: AD를 구축한  이벤트 로그와 복제 상태를 모니터링하여 AD 복제  도메인 컨트롤러  통신에 오류나 문제가 없는지 확인합니다.


이렇게 하면 AD 서버 간의 방화벽이 열려 있고 AD 통신을 허용하도록 올바르게 구성되어 AD 도메인을 구축할고 운영할 수 있습니다.

topkslee
  0 추천 | 11일 전

AD 서버에 DNS, LDAP, NetBios 등 다양한 서비스가 있습니다.

어떤 서비스를 운영하냐에 따라 다른데요. 일반적으로 아래 포트 허용하면 됩니다.

아래 포트 중 사용하지 않는 서비스는 차단하면 되구요.

53 (TCP, UDP) - DNS        

88 (TCP, UDP)  - Kerberos authentication.     

123 (TCP) - Windows Time Synchronization Protocol (NTP)       

135 (TCP) - EndPointMapper (RPC)       

137 (UDP) - NetBIOS 이름 서버      

138 (UDP) - NetBIOS 데이터그램     

139 (TCP) - NetBIOS 세션 서비스   

389 (TCP, UDP) - LDAP    

445 (TCP) - Server message block (SMB) for Netlogon  

464 (TCP) - Kerberos Password V5 

636 (TCP) - LDAP SSL  

3268 (TCP) - LDAP to global catalog servers.  

3269 (TCP) - LDAP GC SSL   


방화벽 차단, 허용 확인 방법은 


- telnet 서버IP 포트 - 통신되는지 확인


- netstat -na | find 포트 - 해서 포트가 열려 있는지 확인


일반적으로 방화벽 요청 방법은

- 출발지 IP / 목적지 IP / TCP or UDP / 포트번호 / 허용 or 차단

  AD서버 ip / any(또는 특정ip대역) / tcp / 53 / 허용

  ...

wansoo
  0 추천 | 12일 전

nmap을 사용해 보면 어떤 포트가 열려있는지 알수 있습니다.

방화벽으로 차단되어 있다면 nmap으로 조회했을때 해당 포트가 검색되지 않습니다.

확인해 보려는 서버가 192.168.0.1 이라면, 

nmap 192.168.0.1    과 같이 명령을 간단하게 실행해 보면 방화벽으로 차단되지 않은... 정상적으로 서비스하고 있는 포트들을 표시해 주게 됩니다.


차바라기
  0 추천 | 12일 전

내부에 방화벽이 구축이 되었다면 해당 AD Port오픈이 되었는지부터 알아봐야 하지 않을까요?

에이스퐝
  0 추천 | 12일 전

AD 관련 문의는 보통 온프레미스나 클라우드나 전부 MS 고객센터에 문의하면 지원 가능합니다.

단, 라이선스가 있어야 겠죠.

원본 페이지 보기