Konfigurace dynamického přidělování portů pro vzdálené volání procedur způsobem, který funguje s bránou firewall

Překlady článku Překlady článku
ID článku: 154596 - Produkty, které se vztahují k tomuto článku.
Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravami je nutné registr zazálohovat. Seznamte se také s postupem při obnovení registru v případě, že nastanou potíže. Další informace o zálohování, obnovení a úpravě registru najdete v následujícím článku znalostní báze Microsoft Knowledge Base:
256986 Informace o registru systému Windows pro pokročilé uživatele
Rozbalit všechny záložky | Minimalizovat všechny záložky

Souhrn

Dynamické přidělování portů pro vzdálené volání procedur RPC (Remote Procedure Call) je používáno aplikacemi pro vzdálenou správu, například správcem DHCP (Dynamic Host Configuration Protocol), správcem WINS (Windows Internet Name Service) a dalšími. Dynamické přidělování portů pro vzdálené volání procedur předá aplikaci instrukce k použití konkrétního náhodně zvoleného portu s číslem vyšším než 1024.

Zákazníci používající brány firewall mohou potřebovat určit porty, které vzdálené volání procedur využívá, takže mohou směrovač brány firewall nastavit tak, aby byl předávány pouze tyto porty TCP (Transmission Control Protocol).

Řada serverů vzdáleného volání procedur v systému Windows umožňuje zadat port serveru. Když zadáte vyhrazený port serveru, víte, jaké přenosy procházejí mezi hostiteli napříč branou firewall, a můžete definicemi zajistit lepší procházení přenosů. Obsáhlý seznam portů serveru, které jsou používány v systému Windows a v hlavních produktech společnosti Microsoft, naleznete v článku znalostní báze Microsoft Knowledge Base číslo 832017. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
832017 Přehled služeb a požadavků na síťové porty pro systém Windows Server (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Tento článek obsahuje rovněž seznam serverů vzdáleného volání procedur a uvádí, které servery vzdáleného volání procedur lze nakonfigurovat tak, aby používaly vlastní porty serveru standardní možnosti nabízené protokolem RPC. Metodu popsanou v tomto článku použijte pouze v případě, že server vzdáleného volání procedur nenabízí způsob, jak definovat port serveru.

Následující položky registru se týkají systému Windows NT 4.0 a novějších verzí. Netýkají se předchozích verzí systému Windows NT. Ačkoli je možné nastavit port používaný klientem ke komunikaci se serverem, musí být klient schopen spojit se serverem pomocí své skutečné adresy IP. U bran firewall, které provádějí překlad adres (tj. v případech, kdy se klient připojí k virtuální adrese 198.252.145.1, kterou brána firewall transparentně mapuje na skutečnou adresu serveru, např. 192.100.81.101), nelze použít model DCOM. Příčinou je skutečnost, že model DCOM ukládá adresy IP typu raw v paketech zařazování rozhraní a pokud se klient nedokáže připojit k adrese uvedené v daném paketu, nebude tato konfigurace funkční.

Další informace naleznete v dokumentu White Paper společnosti Microsoft s názvem Using Distributed COM with Firewalls (Používání distribuovaných objektů DCOM s bránami firewall). Tento dokument naleznete na následujícím webu společnosti Microsoft:
http://msdn2.microsoft.com/en-us/library/ms809327.aspx

Další informace

Hodnoty (a klíč Internet) zmiňované dále nejsou v registru uvedeny. Je nutné je přidat ručně pomocí nástroje Editor registru. Pokud chcete přidat hodnotu REG_MULTI_SZ, je nutné použít soubor Regedt32.exe, nikoli soubor Regedit.exe.

Upozornění: Při nesprávných úpravách registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nezaručuje, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.

Pomocí Editoru registru můžete upravit následující parametry vzdáleného volání procedur. Hodnoty klíče portu vzdáleného volání procedur zmiňované dále jsou umístěny v následujícím klíči registru:
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\ Key Data Type


Ports REG_MULTI_SZ
Určuje množinu rozsahů portů IP sestávající buď ze všech portů dostupných z Internetu, nebo ze všech portů nedostupných z Internetu. Každý řetězec představuje jeden port nebo uzavřenou množinu portů. Jeden port může být například zobrazen jako hodnota 5984 a množina portů jako hodnota 5000-5100. Pokud hodnoty některých položek nespadají do rozmezí 0 až 65535 nebo pokud kterýkoli řetězec nelze vyhodnotit, bude modul runtime vzdáleného volání procedur považovat celou konfiguraci za neplatnou.
PortsInternetAvailable REG_SZ Hodnoty Y nebo N (nerozlišuje se velikost písmen)
Při hodnotě Y jsou všechny porty v daném počítači uvedené v klíči Ports dostupné z Internetu. Při hodnotě N jsou všechny porty uvedené v klíči Ports nedostupné z Internetu.
UseInternetPorts REG_SZ ) Hodnoty Y nebo N (nerozlišuje se velikost písmen)
Určuje výchozí zásady zabezpečení systému.
Při hodnotě Y budou procesům využívajícím výchozí nastavení přiřazovány porty z množiny portů dostupných z Internetu, jak je definováno výše.
Při hodnotě N budou procesům využívajícím výchozí nastavení přiřazovány porty z množiny portů dostupných pouze v intranetu.
Příklad:
  1. Přidejte klíč Internet do následující položky registru:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
  2. Do klíče Internet přidejte hodnoty Ports (MULTI_SZ), PortsInternetAvailable (REG_SZ) a UseInternetPorts (REG_SZ).

    V tomto příkladu byly vybrány porty 5000 až 5100 včetně s cílem názorně předvést, jak lze nakonfigurovat tento nový klíč registru. Nový klíč registru se může například zobrazit následujícím způsobem:
    Ports: REG_MULTI_SZ: 5000-5100
    PortsInternetAvailable: REG_SZ: Y
    UseInternetPorts: REG_SZ: Y
  3. Restartujte server. Všechny aplikace, které využívají dynamické přidělování portů pro vzdálené volání procedur, budou používat porty 5000 až 5100 včetně. Ve většině prostředí by mělo být otevřeno minimálně 100 portů, protože některé systémové služby tyto porty pro vzdálené volání procedur využívají k vzájemné komunikaci.
Je vhodné otevřít rozsah portů s číslem vyšším než 5000. Porty s nižšími čísly již mohou být využívány jinými aplikacemi a mohly by způsobovat konflikty s aplikacemi, které používají model DCOM. Předchozí zkušenosti také ukazují, že by mělo být otevřeno minimálně 100 portů, protože některé systémové služby tyto porty pro vzdálené volání procedur využívají ke vzájemné komunikaci.

Poznámka: Minimální počet portů se může u jednotlivých počítačů lišit v závislosti na jejich konfiguraci.
Další informace naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
167128 Síťové porty používané funkcemi vzdálené technické podpory (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
179442 Jak nakonfigurovat bránu firewall pro domény a důvěryhodné vztahy
263293 Překlad adres NAT systému Windows 2000 nepřekládá přenosy služby Netlogon (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
319553 Jak omezit přenosy replikační služby FRS na konkrétní statický port (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
224196 Omezení přenosu replikace služby Active Directory a přenosu klienta protokolu RPC na určitý port (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Pokud používáte systém Windows Server 2003, můžete k provedení postupu popsaného v tomto článku použít konfigurační nástroj vzdáleného volání procedur (RPCCfg.exe) ze sady Windows Server 2003 Resource Kit. Konfigurační nástroj vzdáleného volání procedur můžete získat z následujícího webu společnosti Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=en

Vlastnosti

ID článku: 154596 - Poslední aktualizace: 6. února 2008 - Revize: 14.2
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Standard Edition
Klíčová slova: 
kbhowto kbnetwork kbdcom kbproductlink KB154596

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com