Windows 11에서 인쇄할 RPC 연결 업데이트

적용 대상: Windows 11, 버전 22H2 이상 버전의 Windows

Windows 11 버전 22H2에서는 인쇄 또는 인쇄 관련 작업 중에 Windows 컴퓨터가 서로 통신하는 방식을 수정하는 인쇄 구성 요소가 변경되었습니다. 예를 들어 변경 내용은 인쇄 서버 또는 네트워크의 다른 컴퓨터에서 공유한 프린터로 인쇄할 때 적용됩니다. 이러한 변경 사항은 Windows에서 인쇄의 전반적인 보안을 더욱 개선하기 위해 이루어졌습니다. RPC 연결 설정의 기본 구성은 최신 보안 통신 방법을 적용합니다. 홈 사용자 및 엔터프라이즈 관리자는 환경에 대한 설정을 사용자 지정할 수도 있습니다.

업데이트 세부 정보

• 인쇄 관련 통신의 경우 기본적으로 TCP를 통한 RPC는 클라이언트 서버 통신에 사용됩니다.

  • 컴퓨터 간의 인쇄 관련 통신에 RPC over Named Pipes를 사용하는 것은 여전히 사용할 수 있지만 기본적으로 사용하지 않도록 설정되어 있습니다.
  • 인쇄 관련 통신을 위해 TCP를 통한 RPC 또는 명명된 파이프를 통한 RPC 사용은 그룹 정책 또는 레지스트리를 통해 제어할 수 있습니다.

• 기본적으로 클라이언트 또는 서버는 TCP를 통해 RPC를 통해 들어오는 연결만 수신 대기합니다.

  • 스풀러 서비스는 명명된 파이프를 통해 RPC를 통해 들어오는 연결을 수신 대기하도록 구성할 수도 있습니다. 이 구성은 기본 구성이 아닙니다.
  • 이 동작은 그룹 정책 또는 레지스트리를 통해 제어할 수 있습니다.

• TCP를 통한 RPC를 사용하는 경우 동적 포트 대신 통신에 사용하도록 특정 포트를 구성할 수 있습니다.

• 모든 컴퓨터가 도메인에 가입되어 있고 Kerberos를 지원하는 환경에서는 이제 Kerberos 인증을 적용할 수 있습니다.

환경 구성에 대한 권장 사항

다음은 컴퓨터 간 통신 문제를 방지하거나 해결하기 위해 환경을 올바르게 구성하는 방법에 대한 권장 사항을 포함합니다.

TCP 통신을 통한 RPC 허용

가장 일반적인 문제는 방화벽 규칙이 컴퓨터 간의 통신을 차단한다는 것입니다. 방화벽 문제를 해결하려면 다음 단계를 수행합니다.

1. RPC 엔드포인트 매퍼 포트(135)가 차단되지 않았는지 확인합니다.
2. 서버에서 높은 범위의 임시 포트(49152 – 65535)를 열거나 RPC에 대한 포트 범위를 지정하려면 아래의 특정 포트 섹션을 사용하도록 RPC 구성의 지침을 따릅니다.

다양한 포트 및 시스템 서비스별 사용량에 대한 자세한 내용은 Windows의 서비스 개요 및 네트워크 포트 요구 사항을 참조하세요.

명명된 파이프에 RPC 사용

이 구성은 권장되지 않습니다. 그러나 TCP를 통한 RPC가 현재 환경에서 옵션이 아닌 경우 사용할 수 있습니다.

• Windows 11 버전 22H2 컴퓨터가 통신을 위해 TCP를 통한 RPC 대신 명명된 파이프를 통해 RPC를 사용하도록 설정하려면 클라이언트용 명명된 파이프를 통한 RPC 사용 - 서버 통신 섹션을 참조하세요.
• Windows 11 버전 22H2 컴퓨터가 명명된 파이프를 통한 RPC 및 TCP를 통한 RPC를 통해 들어오는 연결을 수신 대기하도록 설정하려면 명명된 파이프를 통한 RPC에서 들어오는 연결 수신 대기 사용 섹션을 참조하세요.

환경에서 명명된 파이프를 통해 RPC를 제대로 지원하기 위해 다음과 같은 추가 구성이 필요할 수도 있습니다.

• 서버/호스트 컴퓨터에서 RpcAuthnLevelPrivacyEnabled 레지스트리 값을 0으로 설정합니다. CVE-2021-1678(KB4599464)(microsoft.com)에 대한 프린터 RPC 바인딩 변경 내용 배포 관리를 참조 하세요.
• 일부 시나리오에서는 기본적으로 사용하지 않도록 설정되는 SMB2/SMB3에서 게스트 액세스가 필요합니다. 사용하도록 설정하려면 SMB2 및 SMB3에서 안전하지 않은 게스트 로그온을 사용하도록 설정하는 방법을 참조하세요.

특정 포트를 사용하도록 RPC 구성

특정 포트를 사용하도록 RPC를 구성하는 방법과 IPsec을 사용하여 해당 포트를 보호하는 방법을 참조하세요.

• 동적/제외된 포트 범위를 설정하려면 명령을 실행 netsh int 합니다.
• netsh에서 IPSec을 netsh ipsec 사용하려면 명령을 실행합니다.
• Windows 방화벽을 사용하여 포트 범위를 차단하려면 명령을 실행 netsh advfirewall 합니다.

위의 모든 솔루션은 실행 가능한 솔루션입니다. 그러나 일부 솔루션은 각 포트(IPSec 및 AdvFirewall)에 대한 규칙을 설정해야 하는 솔루션보다 더 쉬울 수 있습니다. 테스트를 위해 범위를 지정할 수 있으므로 동적/제외 포트 범위 메서드를 사용할 수 있습니다. 예시:

동적 포트 범위를 제한하려면 다음 명령을 실행합니다.

netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp
netsh int ipv4 set dynamicportrange tcp startport=50000 numberofports=255
netsh int ipv4 set dynamicportrange udp startport=50000 numberofports=255
netsh int ipv6 set dynamicportrange tcp startport=50000 numberofports=255
netsh int ipv6 set dynamicportrange udp startport=50000 numberofports=255

그런 다음 컴퓨터를 다시 시작합니다.

참고 항목

255는 설정할 수 있는 최소 포트 수입니다.

포트 범위를 추가로 제한하려면 다음 명령을 실행합니다.

netsh int ip show excludedportrange tcp
netsh int ip show excludedportrange udp
netsh int ipv4 add excludedportrange tcp startport=50000 numberofports=225
netsh int ipv4 add excludedportrange udp startport=50000 numberofports=225
netsh int ipv6 add excludedportrange tcp startport=50000 numberofports=225
netsh int ipv6 add excludedportrange udp startport=50000 numberofports=225

그런 다음 컴퓨터를 다시 시작합니다.

참고 항목

포트 수를 너무 많이 제한하면 시스템의 서비스가 효과적으로 통신할 수 없으며 기능에 문제가 발생할 수 있습니다.

Windows 인쇄 구성 요소에 대한 RPC 통신 구성

다음 설정은 그룹 정책을 통해 구성하거나 레지스트리를 통해 직접 구성하여 원하는 효과를 얻을 수 있습니다. 각 설정에 대한 자세한 내용은 그룹 정책 편집기 설명서를 참조하세요.

클라이언트에 대해 명명된 파이프를 통한 RPC 사용 - 서버 통신

• 그룹 정책을 사용하여 사용:
  경로: 컴퓨터 구성>관리 템플릿>프린터>RPC 연결 설정 구성
  RpcOverNamedPipes를 사용하도록 설정하고 설정합니다.
• 레지스트리를 사용하여 설정을 사용하도록 설정합니다.
  reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v RpcUseNamedPipeProtocol /t REG_DWORD /d 1 /f을 실행합니다.

명명된 파이프를 통해 RPC에서 들어오는 연결 수신 대기 사용

• 그룹 정책을 통해 사용:
  경로: 컴퓨터 구성 > 관리 템플릿 > 프린터 > RPC 수신기 설정 구성
  RpcOverNamedPipesAndTcp에 사용할 수 있는 프로토콜을 사용하도록 설정하고 설정합니다.
• 레지스트리를 통해 설정을 사용하도록 설정합니다.
  reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v RpcProtocols /t REG_DWORD /d 0x7 /f을 실행합니다.

TCP 통신을 통한 RPC에 특정 포트 사용

• 그룹 정책을 통해 사용:
  경로: 컴퓨터 구성>관리 템플릿>프린터>TCP 포트를 통해 RPC를 구성 사용 하 고 포트 번호를 설정
• 레지스트리를 통해 설정 사용
  reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v RpcTcpPort /t REG_DWORD /d <port number> /f을 실행합니다.

최대 포트: 65535

Kerberos 인증 적용

• 그룹 정책을 통해 사용:
  경로: 컴퓨터 구성>관리 템플릿>프린터>RPC 수신기 설정 구성
  Kerberos에 사용할 수 있는 인증 프로토콜을 사용하도록 설정하고 설정합니다.
• 레지스트리를 통해 설정 사용
  reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v ForceKerberosForRpc /t REG_DWORD /d 1 /f을 실행합니다.