부록. SMB 파일 시스템 사전 조건
SMB 파일 시스템을 생성하고 Active Directory와 연동하려면 사전에 필요한 환경, 권한, 네트워크 조건을 충족해야 합니다. 이 문서는 SMB 파일 시스템 생성 전에 확인해야 할 필수 구성 요소와 네트워크 요구 사항을 설명합니다.
주의
사전 조건을 충족하지 않을 경우 SMB 파일 시스템 생성 또는 Active Directory 연동에 실패할 수 있습니다.
Active Directory 도메인 컨트롤러 조건
- 도메인 기능 수준이 Windows Server 2008 R2 이상이어야 합니다.
- 쓰기 가능한 도메인 컨트롤러(Writable DC)가 필요하며, 읽기 전용 도메인 컨트롤러(RODC)는 사용할 수 없습니다.
- 가입 대상 Active Directory(포리스트)에 Global Catalog 역할을 가진 도메인 컨트롤러가 최소 1대 이상 포함되어야 합니다.
- SMB 파일 시스템은 사용자 및 그룹 정보를 조회하기 위해 Global Catalog가 필요합니다.
DNS 서버 조회 조건
DNS 서버는 다음 도메인 이름을 정상적으로 조회할 수 있어야 합니다.
- 파일 시스템이 가입할 도메인 (예:
corp.example.com) - 포레스트의 루트 도메인 (예:
example.com)
서비스 계정에 위임된 필수 권한
SMB 파일 시스템을 Active Directory에 가입하려면, 도메인 가입에 사용되는 서비스 계정에 해당 OU(또는 도메인)에 대한 생성 및 수정 권한이 위임되어 있어야 합니다. (참고: Active Directory domain join permissions)
- Create Computer Objects
- Read All Properties
- Write All Properties 또는 SPN/DNS Host Name에 대한 Validated Write
- Reset Password
- (선택) Delete Computer Objects
다중 사이트 환경에서의 서브넷 매핑
Active Directory가 여러 사이트(Site)로 구성된 경우, 파일 시스템이 속한 IP 서브넷이 올바른 AD 사이트에 매핑되어 있는지 반드시 확인해야 합니다.
네트워크 및 포트 조건
Active Directory 도메인 컨트롤러 및 DNS 서버와 통신하기 위해 다음 포트가 보안 그룹 정책에서 허용되어야 합니다.
| 방향 | 프로토콜 | 포트 | 설명 |
|---|---|---|---|
| 인바운드 | TCP | 445 | AD 서버 또는 클라이언트가 SMB 서버로 세션을 여는 경우 |
| 인바운드 | TCP | 135 | AD의 RPC 응답이 서버로 되돌아오는 경우 필요한 환경에서 사용 |
| 인바운드 | TCP | 49152-65535 | RPC 통신 시 콜백(Callback)이 필요한 경우 |
| 아웃바운드 | TCP/UDP | 53 | 도메인 컨트롤러 조회, AD 도메인 이름 해석 |
| 아웃바운드 | TCP/UDP | 88 | Kerberos 기반 인증 |
| 아웃바운드 | TCP | 135 | AD Join 시 RPC 엔드포인트 매핑 |
| 아웃바운드 | TCP/UDP | 389 | 사용자/그룹/OU 조회, 머신 계정 생성 |
| 아웃바운드 | TCP | 445 | SMB over TCP 통신, AD와의 세션 교환 |
| 아웃바운드 | TCP/UDP | 464 | 머신 계정 비밀번호 생성/갱신 |
| 아웃바운드 | TCP | 49152–65535 | AD의 RPC 호출(Join 과정에서 필수) |
| 아웃바운드 | TCP | 3268 | 포리스트 전체 사용자·그룹 검색 (권장) |
| 아웃바운드 | TCP | 3269 | SSL 기반 GC 검색 (선택) |
| 아웃바운드 | UDP | 123 | NTP(Network Time Protocol) |