Windows 방화벽 GPO가 제대로 적용되지 않음

tag-icon tag-icon windows active-directory firewall group-policy
Windows 방화벽 GPO가 제대로 적용되지 않음

그래서 저는 서버 2019 코어를 실행하는 2개의 DC가 있는 작은 랩을 갖고 있습니다. 일부 방화벽 규칙을 사용하여 GPO를 생성하고 이를 도메인 상단에 연결하여 두 DC를 포함한 모든 장치에 적용했습니다.

현재 여전히 모든 FSMO 역할을 보유하고 있는 DC1이 정책을 수신했지만 규칙이 활성화되지 않았습니다.

DC2는 정책을 수신했으며 모든 규칙이 활성화되었습니다.

한 DC는 규칙을 적절하게 적용하고 다른 DC는 그렇지 않은 이유를 평생 알 수 없습니다. 레지스트리로 이동하여 두 DC의 방화벽 규칙을 볼 수 있습니다. RSOP에서는 컴퓨터가 확실히 정책을 수신하고 구문 분석하고 있음을 보여주며 PowerShell에서 해당 규칙을 검색할 때 규칙도 볼 수 있지만... 두 DC를 비교할 때 차이점이 있습니다.

DC1(규칙이 적용되지 않는 경우):

EnforcementStatus Name Profile PrimaryStatus

----------------- ---- ------- -------------

ProfileInactive ComPlusNetworkAccess-DCOM-In Domain Inactive

{ProfileInactive, Enforced} RemoteDesktop-UserMode-In-UDP Any OK

{ProfileInactive, Enforced} RemoteDesktop-UserMode-In-TCP Any OK

ProfileInactive RemoteEventLogSvc-RPCSS-In-TCP Domain Inactive

ProfileInactive RemoteEventLogSvc-NP-In-TCP Domain Inactive

ProfileInactive RemoteEventLogSvc-In-TCP Domain Inactive

ProfileInactive RVM-RPCSS-In-TCP Domain Inactive

ProfileInactive RVM-VDSLDR-In-TCP Domain Inactive

ProfileInactive RVM-VDS-In-TCP Domain Inactive

ProfileInactive ComPlusRemoteAdministration-DCOM-In Domain Inactive

ProfileInactive WMI-ASYNC-In-TCP Domain Inactive

ProfileInactive WMI-WINMGMT-In-TCP Domain Inactive

ProfileInactive WMI-RPCSS-In-TCP Domain Inactive

ProfileInactive RemoteTask-RPCSS-In-TCP Domain Inactive

ProfileInactive RemoteTask-In-TCP Domain Inactive

반면 DC2에서는 다음과 같습니다.

EnforcementStatus Name Profile PrimaryStatus

----------------- ---- ------- -------------

Enforced ComPlusNetworkAccess-DCOM-In Domain OK

{ProfileInactive, Enforced} RemoteDesktop-UserMode-In-UDP Any OK

{ProfileInactive, Enforced} RemoteDesktop-UserMode-In-TCP Any OK

Enforced RemoteEventLogSvc-RPCSS-In-TCP Domain OK

Enforced RemoteEventLogSvc-NP-In-TCP Domain OK

Enforced RemoteEventLogSvc-In-TCP Domain OK

Enforced RVM-RPCSS-In-TCP Domain OK

Enforced RVM-VDSLDR-In-TCP Domain OK

Enforced RVM-VDS-In-TCP Domain OK

Enforced ComPlusRemoteAdministration-DCOM-In Domain OK

Enforced WMI-ASYNC-In-TCP Domain OK

Enforced WMI-WINMGMT-In-TCP Domain OK

Enforced WMI-RPCSS-In-TCP Domain OK

Enforced RemoteTask-RPCSS-In-TCP Domain OK

Enforced RemoteTask-In-TCP Domain OK

즉, GPO를 통해 DC1에 적용되는 모든 규칙은 "비활성" 상태이고 적용 상태가 "ProfileInactive"로 표시됩니다. 이는 도메인 프로필이 비활성화되었음을 나타내지만 실제로는 전혀 그렇지 않습니다. 모든 방화벽 프로필은 활성화되어 있습니다. 두 DC 모두 그리고 물론 DCPromo에 의해 활성화되는 일부 사용자 지정(도메인 프로필) 규칙이 있으므로 프로필이 작동해야 하지만 여기서는 두 DC 모두에서 발생합니다.

DC1:

Name : Domain

Enabled : True

DefaultInboundAction : NotConfigured

DefaultOutboundAction : NotConfigured

AllowInboundRules : NotConfigured

AllowLocalFirewallRules : NotConfigured

AllowLocalIPsecRules : NotConfigured

AllowUserApps : NotConfigured

AllowUserPorts : NotConfigured

AllowUnicastResponseToMulticast : NotConfigured

NotifyOnListen : False

EnableStealthModeForIPsec : NotConfigured

LogFileName : %systemroot%\system32\LogFiles\Firewall\pfirewall.log

LogMaxSizeKilobytes : 4096

LogAllowed : False

LogBlocked : False

LogIgnored : NotConfigured

DisabledInterfaceAliases : {NotConfigured}

DC2:

Name : Domain

Enabled : True

DefaultInboundAction : NotConfigured

DefaultOutboundAction : NotConfigured

AllowInboundRules : NotConfigured

AllowLocalFirewallRules : NotConfigured

AllowLocalIPsecRules : NotConfigured

AllowUserApps : NotConfigured

AllowUserPorts : NotConfigured

AllowUnicastResponseToMulticast : NotConfigured

NotifyOnListen : False

EnableStealthModeForIPsec : NotConfigured

LogFileName : %systemroot%\system32\LogFiles\Firewall\pfirewall.log

LogMaxSizeKilobytes : 4096

LogAllowed : False

LogBlocked : False

LogIgnored : NotConfigured

DisabledInterfaceAliases : {NotConfigured}

문제가 어디에 있는지 아는 사람이 있나요?

답변1

DC1의 네트워크 설정에서 도메인 프로필에 연결되어 있나요? 설정 -> 네트워크 및 인터넷 -> 네트워크 및 공유 센터 -> 고급 공유 설정 변경 -> 도메인이 현재 프로필인지 확인하세요.

답변2

KB162는 DC1이 도메인이 아닌 공용 네트워크 위치에 있다고 생각했다는 점에서 정확했습니다.

이유를 말하자면...

NlaSvc(네트워크 위치 서비스) 서비스는 장치의 네트워크 위치를 결정하는 역할을 합니다. 이를 위해 (어쩌면 무엇보다도) DNS에 의존합니다.

이 DC의 NIC에는 다음과 같은 2개의 DNS 항목이 있습니다(이 순서대로).

  • 127.0.0.1
  • DC2

NLA 서비스 이후 DNS 서비스가 시작되어 서버가 공공 장소에 있다고 생각했습니다. DC2에는 첫 번째 DNS 서버로 127.0.0.1이 있지만 이러한 문제가 발생하지 않습니다. 즉, 경쟁 조건이 발생하고 DC1도 항상 이 문제의 영향을 받지 않을 수 있음을 의미합니다.

약간의 연구에서는 몇 가지 가능한 해결책을 보여줍니다.

  1. NlaSvc를 자동(지연된 시작)으로 설정
  2. NlaSvc에 DNS 종속성 추가
  3. 먼저 다른 DC로 이동한 다음 자체 DC로 이동하도록 DNS 서버 순서를 변경합니다.

첫 번째 옵션은 경쟁 조건이고 DNS 서버가 시작하는 데 걸리는 시간을 모르기 때문에 반드시 문제를 해결하는 것은 아닙니다. 항상 문제가 해결될 가능성이 높지만 다시는 그런 일이 발생하지 않을 것이라고 100% 확신할 수는 없습니다.

두 번째 옵션은 약간의 해킹이며 지원되지 않는다고 주장하고 Microsoft가 업데이트 중에 이러한 값을 변경할 수도 있지만 확실히 아는 것은 불가능합니다.

세 번째 옵션의 경우... DC 중 하나 이상이 작동 중인 상황에서는 문제가 해결되지만 두 DC가 모두 다운되면 여전히 문제가 발생합니다. 부팅할 첫 번째 DC는 다른 DC를 확인하여 DNS는 응답하지 않으며 NlaSvc는 네트워크 위치를 공개로 설정하고 DNS 서비스가 시작되며 NlaSvc는 더 이상 변경하지 않습니다. 그래도 두 번째 DC를 시작하는 것은 괜찮을 것입니다.

아마도 최고의 지원을 제공하고 거기에서 모니터링할 것이기 때문에 첫 번째 옵션을 선택할 것이라고 생각합니다.

이 솔루션을 찾는 데 도움을 준 KB162에 감사드립니다.

관련 정보