안녕하세요. AD port 문의드립니다.
회사의 AD 포트 변경에대해 문의 드립니다.
1.AD Port 445,135,389 AD 기본포트를 다른 포트로 변경해서 (예:389 > 647000) 사용자 PC 및 LDAP 서비스에 이상이 없도록 사용가능하게 할수 있는 방법에 대해 문의드립니다.
2. AD 인증 부분만 남기고 그룹 정책 부분을 다막는다고하면
기본 포트중에 차단해도 되는 포트들이 어떤것인지 문의 드립니다.(도메인 조인등에 영향이 없어야합니다.)
4개의 답변이 있습니다.
AD 기본 포트 변경은 네트워크에 심각한 영향을 미칠 수 있고 호환성 문제가 발생할 수 있으므로 주의해서 접근해야 합니다.
다만, 보안정책 강화 등 그렇게 해야하는 이유가 있는 경우, AD 포트 변경하는데 참고하세요.
1.AD Port 445,135,389 AD 기본포트를 다른 포트로 변경해서 (예:389 > 647000) 사용자 PC 및 LDAP 서비스에 이상이 없도록 사용가능하게 할수 있는 방법에 대해 문의드립니다.
-> LDAP 포트를 변경하려면 (예:389 > 647000)도메인 컨트롤러에서 레지스트리를 수정해야 합니다. 수정하기전에 도메인 컨트롤러의 레지스트리는 백업해 두세요.
■도메일 컨트롤러에서 'regedit' 를 열기
■HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters 로 이동
■LDAP 및 TCP/IP 포트 값을 원하는 포트 (예: 647000)로 수정
■도메일 컨트롤러 다시 시작
만약, 도메인 컨트롤러에 방화벽이 활성화되어 있는 경우 새 포트에서 트래픽을 허용하도록 규칙을 업데이트하세요.
2. AD 인증 부분만 남기고 그룹 정책 부분을 다막는다고하면 기본 포트중에 차단해도 되는 포트들이 어떤것인지 문의 드립니다.(도메인 조인등에 영향이 없어야합니다.)
-> 방화벽 규칙을 통해 그룹 정책 섹션을 차단할 수 있습니다. 그러나 AD 인증은 다양한 프로토콜에 의존하므로 특정 세션을 차단하면 의도치 않는 겨로가가 발생할 수 있다는 점에 유의하는 것이 중요합니다.
일반적으로 AD 인증을 위해서는,
■TCP/UDP 88 (커베로스, Corba)
■TCP/UDP 389 (LDAP)
■TCP/UDP 445 (Netlogon 및 Sysvol 복제용 SMB)
포트에서 트래픽을 허용해야 합니다.
특정 그룹 정책 섹션을 차단하려면 해당 섹션이 사용하는 포트를 분석하고 선택적으로 차단해야할 수도 있습니다.
앵그리파파 | 2달 전
(보완)
2. AD 인증 부분만 남기고 그룹 정책 부분을 차단하려면 기본 포트 중에서도 메인 조인에 영향을 미치지 않는 포트를 차단할 수 있습니다.
일반적으로 AD 통신에 필요한 포트는 다음과 같습니다.
■TCP 135 : RPC 엔드포인트 매퍼
■TCP 1024~65535 : LSA,SAM,NetLogon용 RPC
■TCP/UDP 389 : LDAP
■TCP 636 : LDAP SSL
■TCP 3268 : LDAP GC
■TCP 3269 : LDAP GC SSL
■TCP/UDP 53 : DNS
■TCP/UDP 88 : Kerberos
■TCP 445 : SMB
■TCP 1024~65535 : FRS RPC
참고로 모든 시나리오에 나열된 포트가 필요한 것은 아닙니다. 예를 들어 멤버와 DC를 분리하는 경우 FRS 또는 DFSR 포트를 열 필요가 없습니다.
그리고, 윈도우즈 서버 2008 이상에서는 나가는 연결에 대한 동적 클라이언트 포트 범위가 변경되었습니다. 새 기본 시작 포트는 49152이고 새 기본 종료 포트는 65535입니다. 따라서 방화벽에서 RPC 포트 범위를 늘려야 합니다.
이러한 포트를 제외하고 차단하면 AD 인증은 유지되면서 그룹 정책 부분을 차단할 수 있습니다. 필요한 포트만 열어두면 됩니다.
1. AD 기본 포트를 변경해서 사용하려 한다면...
AD에 조인하려는 모든 컴퓨터 및 장치들에 대한 포트들도 함께 변경해 줘야 해서 많이 번거로울 수 있을 것 같고...
경우에 따라서는 포트 변경 자체가 어려운 장비가 있을 가능성도 있지 않를까 싶기도 하네요.
아마도 보안 문제 때문에 변경하려고 하지 싶긴 한데... 가급적 기본 포트를 사용하거나 모든 관련된 포트들을 함께 변경하는 것보다는 변경 사용을 권장하는 일부 포트만 변경해서 사용해 보는게 낫지 않을까 싶어 보이네요.
2. AD와 관련된 많은 포트들이 있는걸로 검색되네요.
LDAP 서비스를 위한 389 포트는 기본적으로 허용되어야 하지 않을까 싶고요.
Kerberos 인증을 위한 88번 포트도 허용되어야 할 것 같고...
인증을 위해서는 시간 동기화가 기본일 것 같고... Window Time 동기화를 위한 123 포트에 대한 허용도 필요하지 않을까 싶고...
AD 접속을 위해 DNS 서비스 또한 기본적으로 필요한걸로 알고 있는데, DNS 서비스를 위한 53번 포트 또한 허용되어야 할 걸로 보이고요.
SMB 공유 폴더 자원에 대한 접근이 허용되어야 하지 않을까 싶은데... 445, 137, 138, 139와 42번 포트가 필요하지 않을까 싶고...
직접 특정 포트들을 차단해 둔 상태에서 어떤 문제가 있는지를 확인해 보면서 설정을 변경해 보는게 좋지 않를까 싶네요.
인터넷으로 찾아본 AD 관련된 포트 List들로 아래의 내용들이 검색되네요.
LDAP 389/tcp
LDAP ping 389/udp
RPC endpoint mapper 135/tcp, 135/udp
SMB over IP (Microsoft-DS) 445/tcp, 445/udp
NetBIOS name service 137/tcp, 137/udp
NetBIOS datagram service 138/udp
NetBIOS session service 139/tcp
WINS 복제 42/TCP
DNS 53/tcp, 53/udp
Kerberos 88/tcp, 88/udp
Kerberos Password 464/tcp, 464/udp
Windows Time 123/udp
Replication(SMTP) 25/tcp
DHCP 67/udp
LDAP over SSL 636/tcp
DHCP, MADCAP 2535/udp
Global catalog LDAP 3268/tcp
Global catalog LDAP over SSL 3269/tcp
File Replication(SYSVOL) 5722/tcp
SOAP 9389/tcp
RPC dynamic assignment 49152-65535/tcp
RPC static port for Netlogon <Netlogon-fixed-port>/tcp
RPC static port for AD replication <AD-fixed-port>/tcp
RPC static port for FRS <FRS-fixed-port>/tcp
1.AD 서버 정책에서 변경 포트 정상적으로 반영하고 관련 정책까지 정상 수정하고, 사용자 레지스터리 포트에서 관련 포트 변경해줘야 했던걸로 기억합니다.
(기본 포트라 설정 변경 및 신경 쓸 것들이 꽤 있어서 변경하려다가 포기 했던 기억이 있습니다...!)
2.사용자 기준으로 포트를 보기에는 활성화된 포트가 꽤 있을텐데 차단여부에 판단은 해당 회사 내부 정책 등을 먼저 고려하셔야하지 않을까 싶습니다.
모든 사용자 netstat로 포트 확인 했을 때 동일한 포트만 활성화 되어 있으면 문제 없겠지만, 사용자별 부서별 접근하는 서버나 시스템 등에 따라 포트가 다를 수도 있기 때문에 필수로 하고자 하시면 회사내에서 확인된 포트만 허용 해놓고 모든 포트 차단 후 문제 발생 시 하나씩 조치해나가는 상황 밖에 없지 않을까 싶습니다.!
AD port 변경은 이론적으로 가능합니다만, 권장하는 방식은 아닙니다.
AD port를 변경하시려는 이유가 아마도 알려진 포트를 변경함으로써 보안 강화 목적일 것 같은데요.
기존 AD 포트들이 많은 서비스와 프로토콜이 통신을 위해 잘 설정되어 있어 운영되고 있기에
변경 작업도 복잡하고 변경 후 호환성 문제가 발생할 수도 있습니다.
그리고 AD와 연동된 디바이스, 솔루션이 많다면 더 더욱 비추합니다.
변경 작업 또한 정상적인 변경 절차가 있는 것이 아니라 임의로 레지스트리를 변경해야 합니다.
AD 서비스의 보안을 강화 목적이라면 방화벽에서 AF 액세스를 제어하는 방법,
LDAP 대신 보안강화된 LDAPS 등을 사용하는 방법도 고려해 보시는 것도 좋을것 같습니다.