Windows Server 2012 WFAS를 사용한 Domain ... - TechNet Blogs

단계 4: 동적 RPC를 사용하는 인바운드 네트워크 트래픽 허용네트워크 상의 통신이 필요한 모든 프로그램 및 서비스에 자신의 전용 포트 번호가 할당된다면, 2개 이상의 프로그램이 동일한 포트를 사용하는 오류가 발생할 수도 있음을 쉽게 상상할 수 있습니다. 이러한 문제를 해결하기 위해, 대부분의 프로그램은 동적으로 할당되는 포트 번호를 이용하는 RPC(Remote Procedure Protocol) 프로토콜을 사용합니다. 서버에서 서비스가 시작할 때, RPC서비스가 등록되고, 하나 또는 그 이상의 동적 포트 번호 할당을 요구합니다. 원격 클라이언트가이러한 서비스와 통신이 필요할 때, 원격 클라이언트는 서버 서비스에 할당된 동적 포트를 알 수없습니다. 동적 포트를 확인하기 위해, 클라이언트 컴퓨터는 서버 상의 “TCP 포트 135 (RPCEndpoint Mapper Service를 위한 well-known 포트)”에 연결하고, 연결하고자 하는 서비스의 포트를 질의합니다. RPC Endpoint Mapper Service는 원격 클라이언트가 연결하고자 하는 서비스의 동적 포트를 원격 클라이언트에 반환합니다. 서버의 RPC Endpoint Mapper Service에 의해 확인된동적 포트에 원격 클라이언트는 다시 연결하고, 이제 원격 클라이언트는 원하는 서비스와 통신이가능합니다.Windows Vista 이전의 운영체제에서, 동적으로 할당된 포트는 방화벽 관리자에게 큰 문제점을 유발합니다. 즉, 동적으로 할당되는 포트의 넓은 범위(ex, 1024이상의 모든 포트)에 대한 방화벽 규칙을 생성함으로써, 보안이 취약할 수 있습니다. 반면에, 특정 서비스가 실제 사용해야 하는 동적포트보다 훨씬 적은 범위의 포트를 사용하도록 방화벽 규칙을 구성함으로써, 서비스 자체의 기능이 제약되는 단점이 있을 수 있습니다. 현재 활성 상태로 사용되지 않는 많은 포트를 open하는규칙을 생성하는 것은 컴퓨터 보안의 취약성을 고스란히 드러내는 것입니다.Windows Vista에서 제공되는 고급 보안이 포함된 Windows 방화벽은 RPC에 의해 사용되는 동적으로 할당된 포트 번호의 stateful 필터링 기능이 제공됩니다. 활성 서비스에 의해 실제 사용되는동적 포트만이 open되고, 서버의 RPC Endpoint Mapper Service는 실제 사용되는 동적 포트 번호를 원격 클라이언트에게 반환합니다. 원격 클라이언트는 서버에게 받은 동적 포트를 사용하여 원하는 서비스에 연결합니다.Windows Vista 이후의 운영체제에서, 위 문제점을 해결하기 위해, RPC 요구사항을 처리할 수 있는 인바운드 규칙을 관리자는 생성해야 합니다. RPC 요구사항을 처리하기 위하여, 관리자는 다음규칙을 생성해야만 합니다:• RPC Endpoint Mapper를 위한 인바운드 네트워크 트래픽을 허용하는 인바운드 규칙. 이규칙은 컴퓨터가 포트 135로 연결을 시도하는 트래픽을 허용하도록 합니다. 또한, 이 규칙은 반드시 Allow 동작으로 구성되어야 하고, RPC Endpoint Mapper 서비스를 위한 프로그램 경로도 구성합니다.• 포트 번호를 위한 Dynamic RPC를 지정하는 인바운드 규칙. 원격 컴퓨터로 들어오는 요청이 서버 상의 포트 135(RPC Endpoint Mapper)에 연결할 때, RPC Endpoint Mapper 서비스는 해당 요청에 동적 포트 번호를 할당하고, 해당 포트 번호를 사용하여 원격 컴퓨터에 응답합니다. 원격 컴퓨터의 IP 주소와 동적 포트 번호는 내부 테이블에 저장됩니다.RPC 내 임의의 포트는 해당 포트를 명백하게 open 하는 규칙 없이도 사용할 수 있는 장점이 있페이지 110 / 232