none
DMZ 환경 하에서의 클라이언트 서버 도메인 조인 관련 문제 RRS feed

  • 질문

  •  

    환경

    -DC/GC: 2K3 ENT SERVER

    -클라이어트 서버 2K, 2K3서버군

    -클라이언트 서버와 DC/GC서버간에는 방화벽 존재

    -클라이언트 서버 DMZ구간, DC/GC서버 내부단에 위치

    -DMZ구간 모든 포트 차단

    -DC서버에는 다음의 KB을 참조로 레지스트리 값 커스터마이징 되어 있음

    http://support.microsoft.com/kb/154596/

     

    액션

     -DMZ구간과 내부간의 방화벽에 다음의포트을 요청

     클라이언트

    53

    TCP/UDP

    <> 

    DC(DNS)서버

    클라이언트

    88

    TCP/UDP

    <> 

    DC 서버

    클라이언트

    123

    UDP

    <> 

    DC 서버

    클라이언트

    135
    137
    138
    139
    445
    1024
    1026
    5000~5500

    TCP/UDP

    <> 

    관리서버

    클라이언트

    389

    TCP/UDP

    <> 

    DC 서버

    클라이언트

    464

    TCP

    <> 

    DC 서버

    클라이언트

    1512

    TCP/UDP

    <> 

    WINS 서버

    클라이언트

    3268

    TCP

    <> 

    DC 서버

    * 5000 ~ 5500 (RPC동적포트)

    -위의포트를 오픈후 도메인 조인은 정상적으로 이루어진거 같음?

    -서버/클라이언트 이벤트 없음

    -NETDIAG실행시 DNS list test항목에서만 실패 나옴.

     

    질문 1, 파일공유가 정상적이지 않습니다

    AD -> 클라이언트

    -파일공유 안됨,

    클라이언트 -> AD

    -파일공유 정상

    질문 2.  http://support.microsoft.com/kb/179442/ko 좌의 KB대로라면 2K, 2K3버전의 서버는

    1024 ~ 65535포트를 랜덤하게 샤용하는 걸로 되는데요 만약 이 포트가 막혀있고 위의 표의 포트만 오픈하였다면 질뭄 1의 증상의 원인 될 수 있는지와 이를 해결하는 방법을 알고 싶습니다.

     

     

     

    감사합니다.

    2007년 11월 3일 토요일 오전 4:36

모든 응답

  • 파일공유에 사용되는 SMB 포트는 445번 입니다. 다른포트는 해당사항이 없습니다.

     

    SMB 445는 윈도우 2000 이상에서는 Raw SMB 로 TCP Transport로 바로 보내기때문에

    445포트만 열려있으면 됩니다.

     

     

    레거시 NetBT를 쓸경우 ( 즉 win98,NT를 위한 호환성을 위한 , Netbios Over TCP/IP를 사용할 경우)일

    경우에는 추가로 Netbios 관련포트 137,138,139 를 열어주면 됩니다.

     

    질문2에 예시한 1024-65535 포트는 클라이언트에서  445포트와 연결시 사용하는 포트로 

    방화벽과는 영향이 없습니다. 서버 측 445만 열려있으면 됩니다.

     

    문제발생시 netstat -ano 명령으로 445 포트와 클라이언트IP 와의 연결상태

    여부를 확인해 보시기 바랍니다. 

    2007년 11월 4일 일요일 오후 1:50
  • 추가 질문입니다.

    1. 서버에서 telnet x.x.x.x 445(x.x.x.x는 클라이언트 주소)로 했었을때 중간에 방화벽이 존재합니다.

    그러나 방화벽에 445포트에 대한 어떠한 로그도 나오지가 않습니다.

    -결국 아직도 서버에서 클라이언트의 c$, 등등이 보이지 않습니다 아예 네트워크를 찾을 수 없다는 에러가 발생된다는 겁니다.

    그러나 서버에서 dmz존외에 다른 네트워크에서의 파일공유는 정상입니다.

     

    2. 클라이언트에서 telnet x.x.x.x 445(x.x.x.x 서버주소)하면 정상적으로 오픈되며 파일 공유도 정상입니다.

    3. 참고로 클라이언트에서 netdiag테스트를 할시 다음과 같은 로그가 남습니다.

        문제가 있을 것다고 생각되는것만 올립니다.
    NetBT transports test. . . . . . . : Passed
        List of NetBt transports currently configured:
            NetBT_Tcpip_{BE33DC8B-AA8B-49EB-A6A6-0C63BDD376C2}
        1 NetBt transport currently configured.



    Redir and Browser test . . . . . . : Failed
        List of NetBt transports currently bound to the Redir
            NetBT_Tcpip_{BE33DC8B-AA8B-49EB-A6A6-0C63BDD376C2}
        The redir is bound to 1 NetBt transport.

        List of NetBt transports currently bound to the browser
            NetBT_Tcpip_{BE33DC8B-AA8B-49EB-A6A6-0C63BDD376C2}
        The browser is bound to 1 NetBt transport.
        [FATAL] Cannot send mailslot message to '\\xxxx*\MAILSLOT\NET\NETLOGON' via redir. [ERROR_BAD_NETPATH]


    DC discovery test. . . . . . . . . : Passed


    DC list test . . . . . . . . . . . : Failed
        [WARNING] Cannot call DsBind to xxx.xxx.co.kr (147.6.119.30). [EPT_S_NOT_REGISTERED]


    Trust relationship test. . . . . . : Passed
        Secure channel for domain 'xxx' is to


    Kerberos test. . . . . . . . . . . : Passed


    LDAP test. . . . . . . . . . . . . : Passed
        [WARNING] Failed to query SPN registration on DC '.
        [WARNING] Failed to query SPN registration on DC


    Bindings test. . . . . . . . . . . : Passed


    WAN configuration test . . . . . . : Skipped
        No active remote access connections.


    Modem diagnostics test . . . . . . : Passed

    IP Security test . . . . . . . . . : Skipped

        Note: run "netsh ipsec dynamic show /?" for more detailed information


    The command completed successfully

    2007년 11월 5일 월요일 오전 10:42
  • 안녕하세요?

     

    1번의 경우를 잠시 살펴 보면 서버에서 DMZ 존 외에 다른 네트워크에서의 파일 공유가 정상이라고 말씀 하셨는데요.

    이 문제의 핵심은 방화벽 설정과 네트워크 설정 이라고 생각됩니다.

     

    말씀하신대로 사설 네트워크 끼리의 파일 공유가 정상적으로 되셨다는 의미는 사설 네트워크 대역이 몇 가지로 나뉘어 졌

    는지 현재로서는 알 수 없지만 통신하는 것에 대해 문제가 없는 것으로 보아 방화벽 설정이 서로의 대역에 대해서

    (하나의 사설구간이라고 한다면 방화벽을 거칠 필요도 없겠지만요..^^) 정상적으로 permit(허용)되어 있기 때문이겠죠.

     

    현재의 이슈는 사설 네트워크 구간에서 방화벽을 통과하여 DMZ 존에 위치한 Client 서버의 445 port 접근이 되지 않고

    있는 것인데. 여기서 맹점은 방화벽에 어떠한 로그도 남지 않는 다는 사실입니다.

     

    1. 방화벽에서 로그가 남지 않는 경우(사설 네트워크 G/W 설정)

    사설 네트워크에 위치한 서버에서 DMZ 구간으로 이동 시 방화벽을 통과하지 않는 것 같습니다.

    - 내부 서버의 G/W 설정이 제대로 되어 있는지 여부 확인 필요 : 사설 네트워크의 G/W가 방화벽을 가리키고 있는지요?

      내부 네트워크와 DMZ 존의 서버들간의 통신이 되지 않는 것은 설정상의 오류로 인해서 그럴 수 있다 하더라도

      방화벽에 접근 시 로그 조차 남지 않는 것으로 보아 사설 네트워크 서버의 G/W 설정이 방화벽을 가리키고 있지

      않다고 생각됩니다.  만약 사설 네트워크의 서버들의 G/W 가 정상적으로 설정 되어 있고 방화벽에 접근이 된다면

      로그 기록과 관련해서 방화벽에 대한 점검이 필요 할 것 같습니다.

     

     2. 방화벽에서 DMZ 구간으로의 Routing 정책이 정상적으로 되어 있는지요?

    - 사설 네트워크에 위치한 서버의 G/W 설정이 맞다면 방화벽에서 DMZ 존으로 가도록 허용(permit)이 되어 있는지

      확인이 필요 할 것 같습니다.

     

     3. 모든 설정이 정상인 경우

    -  사설 네트워크에서 DMZ 접근 시 해당 네트워크에 대해 모든 port를 허용(permit)하도록 하여 테스트 필요

       (방화벽에 대한 정책이므로 모든 port 허용은 정책상 안될 수 있겠지만 네트워크 설정과 방화벽 설정이 정상이라고

        할 때 최후의 방법인 것 같습니다.)

     

    * 방화벽의 설정과 네트워크 설정은 워낙 다양하므로 고구마님의 환경을 정확히 이해하지 못한 상태에서

      나름대로 적어 보았습니다...^^

     

    그리고 서버에서 클라이언트 서버 자체가 현재 보이지 않는 것과 관련해서 말씀 드립니다.

    당연히 445 포트에 대한 통신이 정상적이지 않으므로 UNC 경로를 통해서 나타나지 않는 것이 당연하다고 생각됩니다.

    그리고 네트워크를 찾을 수 없으시다고 하셨는데요. "내 네트워크 환경"에서 나타나지 않는다고 말씀 하시는 것

    같습니다. 내 네트워크 환경 서비스는 Computer Browser 서비스와 연관이 있는데요.

    네트워크상의 컴퓨터 목록을 최신 상태로 유지하고 요청하는 프로그램에 이 목록을 제공합니다.

    Computer Browser 서비스는 네트워크 도메인과 리소스를 볼 수 있는 Windows 기반 컴퓨터에서 사용됩니다.

     

    위의 답글에도 있는 것 처럼 아래의 포트들에 대해서 허용해 주셔야 합니다.

     

    응용 프로그램 프로토콜        프로토콜    포트
    NetBIOS 데이터그램 서비스      UDP       138

    NetBIOS 이름 확인                   UDP       137
    NetBIOS 세션 서비스                TCP       139

     

    주요 Microsoft Server 제품에서 사용하는 네트워크 포트

    http://www.microsoft.com/korea/smallbusiness/issues/sgc/articles/ref_net_ports_ms_prod.mspx

     

    dc list : failed 관련 하기의 링크 참고하세요.

     

    Netdiag 명령줄 실행 나타나는 정보

    http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cnbd_trb_obva.mspx?mfr=true

     

    How to troubleshoot RPC Endpoint Mapper errors

    http://support.microsoft.com/kb/839880

     

    Domain controller is not functioning correctly

    http://support.microsoft.com/kb/837513

     

    How to force Kerberos to use TCP instead of UDP in Windows Server 2003, in Windows XP, and in Windows 2000

    http://support.microsoft.com/kb/244474

     

    "Access This Computer from the Network" User Right Causes Tools Not to Work

    http://support.microsoft.com/kb/257346

     

    Error message if you do not specify switches when you run Netdiag.exe: "Failed to enumerate DCs by using the browser"

    http://support.microsoft.com/kb/926734


    Redir and Browser test : Failed 관련

    http://www.windowsnetworking.com/articles_tutorials/TCPIP-Troubleshooting-Structured-Approach-Part4.html

    2007년 11월 5일 월요일 오후 3:19
  • 회신한 글 정황상 방화벽 문제인걸로 보입니다

    Inbound/Outbound Filtering에 대한 검증이 필요할 것으로 보입니다..

     

    Netdiag로그중 아래부분은

     

    Redir and Browser test . . . . . . : Failed
        List of NetBt transports currently bound to the Redir
            NetBT_Tcpip_{BE33DC8B-AA8B-49EB-A6A6-0C63BDD376C2}
        The redir is bound to 1 NetBt transport.

        List of NetBt transports currently bound to the browser
            NetBT_Tcpip_{BE33DC8B-AA8B-49EB-A6A6-0C63BDD376C2}
        The browser is bound to 1 NetBt transport.
        [FATAL] Cannot send mailslot message to '\\xxxx*\MAILSLOT\NET\NETLOGON' via redir. [ERROR_BAD_NETPATH]

     

    => Active NIC에 Netbios over TCP/IP 사용 체크를 하지 않아서 발생됩니다.
       ( Wins환경이 적절하게 구성되지 않거나 포트가 부분적으로 막혀있을 경우에도 에러메세지가 발생됩니다 )
       즉 현재 이 서버는 Netbios 이름풀이를 사용할 수가 없는 환경입니다
       NeTBios 이름풀이를 통한 Fileshare는 당연히 실패하겠죠.
       IP를 통한 Fileshare만 가능한 상태입니다

     

    2007년 11월 6일 화요일 오전 12:02
  • 1. 방화벽에서 로그가 남지 않는 경우(사설 네트워크 G/W 설정)

      -dc서버가 있는 네트워크단도 공용네트워크입니다. 단지 dc서버의 네트워크단과 dmz단에 방화벽이 존재합니다.

      -gw설정은 이상이 없다고 생각되는 이유는 핑 또는 방화벽에서 permit해준 터미널은 정상적으로 오픈이 됩니다.

      터미널이 클라이언트 의 이름으로는 기억이 가물하고, 아이피로는 정상적으로 오픈이 됩니다.

     

     2. 방화벽에서 DMZ 구간으로의 Routing 정책이 정상적으로 되어 있는지요?

      -개인적으로 의심되는 부분이기도 한데요. 방화벽에서 다른 포트는 dmz존으로 다 오픈되어 있는데 굳이 445포트만 막아 놓았을까 하는 생각도  됩니다. 그러나 확인은 해 봐야 될 부분인듯 싶습니다.

     3. 모든 설정이 정상인 경우

     -테스트를 해 봐야 될 듯 싶습니다.

     

     

    그리고 서버에서 클라이언트 서버 자체가 현재 보이지 않는 것과 관련해서 말씀 드립니다.

    당연히 445 포트에 대한 통신이 정상적이지 않으므로 UNC 경로를 통해서 나타나지 않는 것이 당연하다고 생각됩니다.

    그리고 네트워크를 찾을 수 없으시다고 하셨는데요. "내 네트워크 환경"에서 나타나지 않는다고 말씀 하시는 것

    같습니다. 내 네트워크 환경 서비스는 Computer Browser 서비스와 연관이 있는데요

      -Wins서버는 없으며, computer brower서비서는 사용하지 않습니다.

     

    2007년 11월 6일 화요일 오전 3:29
  •  

    => Active NIC에 Netbios over TCP/IP 사용 체크를 하지 않아서 발생됩니다.
       ( Wins환경이 적절하게 구성되지 않거나 포트가 부분적으로 막혀있을 경우에도 에러메세지가 발생됩니다 )
       즉 현재 이 서버는 Netbios 이름풀이를 사용할 수가 없는 환경입니다
       NeTBios 이름풀이를 통한 Fileshare는 당연히 실패하겠죠.
       IP를 통한 Fileshare만 가능한 상태입니다

       -> 컴퓨터 이름, ip모두 fileshare가 불가능한 상태입니다.

     

     

     

    2007년 11월 6일 화요일 오전 3:31
  • 안녕하세요?

     

    클라이언트 서버의 종류가 Win2k와 Win2k3라고 말씀해 주셨는데요.

     

    서버에서 Telnet을 이용해서 445로 접근 시도시 모든 클라이언트 서버가 현재

     

    동일하게 접근이 안되는 것인지요?

     

    혹시 특정 서버군 즉, Windows server 2003(SP1이상) 서버가 클라이언트 서버라는 가정하에

     

    한 가지 더 확인해 볼 만한 사항이 있을 것 같아서 회신 드립니다.

     

    아시겠지만 Windows Server 2003(SP1이상) 버전에는 OS 자체적으로 Windows 방화벽 기능을 갖고 있습니다.

     

    혹시 클라이언트 서버에서 Windows 방화벽 기능을 사용하고 계신지요?

     

    사용 하고 계시다면 Windows 방화벽 - 예외 탭에 보시면 파일 및 프린터 공유 서비스가 있는데요.

     

    사용하도록 허용 되어 있나요?

     

    아니면 애초 Windows 방화벽 - 일반 - 사용과 예외 허용 안 함 으로 선택 되어져 있지는 않은지요?

     

    해당 기능이 활성화 되어 있다면 원격 데스크톱 연결도 안될 것이기 때문에

     

    예외 허용 안 함은 선택 안된 것으로 판단 되지만 확인해 볼 필요가 있을 것 같네요...^^

     

    물론 해당 기능을 사용하고 계신다는 전제지만요...ㅋ

     

    어쨌든 해결의 실마리를 찾으시면 좋겠습니다...^^

     

    2007년 11월 9일 금요일 오전 9:27