Comment configurer l’allocation de ports dynamiques RPC pour qu’elle fonctionne avec des pare-feu

  • Article

Cet article vous aide à modifier les paramètres d’appel de procédure distante (RPC) dans le Registre pour vous assurer que l’allocation de ports dynamiques RPC peut fonctionner avec les pare-feu.

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 154596

Résumé

L’allocation de ports dynamiques RPC est utilisée par les applications serveur et les applications d’administration à distance, telles que le Gestionnaire DHCP (Dynamic Host Configuration Protocol), windows Internet Name Service (WINS), etc. L’allocation de ports dynamiques RPC indique au programme RPC d’utiliser un port aléatoire particulier dans la plage configurée pour TCP et UDP, en fonction de l’implémentation du système d’exploitation utilisé. Pour plus d’informations, consultez les références ci-dessous.

Les clients qui utilisent des pare-feu peuvent vouloir contrôler les ports QUE RPC utilise afin que leur routeur de pare-feu puisse être configuré pour transférer uniquement ces ports UDP et TCP.

De nombreux serveurs RPC dans Windows vous permettent de spécifier le port du serveur dans des éléments de configuration personnalisés tels que des entrées de Registre. Lorsque vous pouvez spécifier un port de serveur dédié, vous savez quel trafic circule entre les hôtes sur le pare-feu. Vous pouvez également définir le trafic autorisé de manière plus directe.

En tant que port de serveur, choisissez un port en dehors de la plage que vous souhaiterez peut-être spécifier ci-dessous. Vous trouverez une liste complète des ports serveur utilisés dans Windows et les principaux produits Microsoft dans Vue d’ensemble du service et configuration requise des ports réseau pour Windows.

L’article répertorie également les serveurs RPC et les serveurs RPC qui peuvent être configurés pour utiliser des ports de serveur personnalisés au-delà des fonctionnalités proposées par le runtime RPC.

Certains pare-feu autorisent également le filtrage UUID où il apprend à partir d’une demande de mappeur de point de terminaison RPC pour un UUID d’interface RPC. La réponse a le numéro de port du serveur, et une liaison RPC ultérieure sur ce port est ensuite autorisée à passer.

Importante

Utilisez la méthode décrite dans cet article uniquement si le serveur RPC n’offre pas de moyen de définir le port du serveur.

Les entrées de Registre suivantes s’appliquent à Windows NT 4.0 et versions ultérieures. Elles ne s’appliquent pas aux versions précédentes de Windows NT. Même si vous pouvez configurer le port utilisé par le client pour communiquer avec le serveur, le client doit être en mesure d’atteindre le serveur par son adresse IP réelle. Vous ne pouvez pas utiliser DCOM via des pare-feu qui effectuent la traduction d’adresses. Par exemple, un client se connecte à l’adresse virtuelle 198.252.145.1, que le pare-feu mappe de manière transparente à l’adresse réelle du serveur, par exemple 192.100.81.101. DCOM stocke les adresses IP brutes dans les paquets de marshaling d’interface. Si le client ne peut pas se connecter à l’adresse spécifiée dans le paquet, cela ne fonctionnera pas.

Plus d’informations

Les valeurs (et la clé Internet) décrites ci-dessous n’apparaissent pas dans le Registre. Ils doivent être ajoutés manuellement à l’aide du registre Rédacteur.

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows.

Avec le Registre Rédacteur, vous pouvez modifier les paramètres suivants pour RPC. Les valeurs de clé de port RPC décrites ci-dessous se trouvent toutes dans la clé suivante dans le Registre :

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\Entry name Data Type

  • Ports REG_MULTI_SZ

    Spécifie un ensemble de plages de ports IP comprenant tous les ports disponibles sur Internet ou tous les ports non disponibles à partir d’Internet. Chaque chaîne représente un seul port ou un ensemble inclusif de ports.

    Par exemple, un seul port peut être représenté par 5984 et un ensemble de ports peut être représenté par 5000-5100. Si des entrées sont en dehors de la plage comprise entre 0 et 65535, ou si une chaîne ne peut pas être interprétée, le runtime RPC traite la configuration entière comme non valide.

  • PortsInternetAvailable REG_SZ Y ou N (ne respectant pas la casse)

    Si la valeur est Y, les ports répertoriés dans la clé Ports sont tous les ports disponibles sur Internet sur cet ordinateur. Si la valeur est N, les ports répertoriés dans la clé Ports sont tous les ports qui ne sont pas disponibles sur Internet.

  • UseInternetPorts REG_SZ Y ou N (ne respectant pas la casse)

    Spécifie la stratégie système par défaut.

    Si la valeur est Y, les processus qui utilisent la valeur par défaut se voient attribuer des ports à partir de l’ensemble de ports disponibles sur Internet, comme défini précédemment. Si la valeur est N, les processus qui utilisent la valeur par défaut se voient attribuer des ports à partir de l’ensemble de ports intranet uniquement.

Exemple

Dans cet exemple, les ports 5000 à 6000 inclus ont été sélectionnés arbitrairement pour illustrer la façon dont la nouvelle clé de Registre peut être configurée. Il ne s’agit pas d’une recommandation de nombre minimal de ports nécessaires pour un système particulier.

  1. Ajouter la clé Internet sous HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc

  2. Sous la clé Internet, ajoutez les valeurs Ports (MULTI_SZ), PortsInternetAvailable (REG_SZ) et UseInternetPorts (REG_SZ).

    Par exemple, la nouvelle clé de Registre apparaît comme suit :

    Ports : REG_MULTI_SZ : 5000-6000
    PortsInternetAvailable : REG_SZ : Y
    UseInternetPorts : REG_SZ : Y

  3. Redémarrez le serveur. Toutes les applications qui utilisent l’allocation de ports dynamiques RPC utilisent les ports 5000 à 6 000 inclus.

Vous devez ouvrir une plage de ports au-dessus du port 5000. Les numéros de port inférieurs à 5 000 peuvent déjà être utilisés par d’autres applications et peuvent entraîner des conflits avec vos applications DCOM. En outre, l’expérience précédente montre qu’un minimum de 100 ports doivent être ouverts, car plusieurs services système s’appuient sur ces ports RPC pour communiquer entre eux.

Remarque

Le nombre minimal de ports requis peut différer d’un ordinateur à l’autre. Les ordinateurs avec un trafic plus élevé peuvent se trouver dans une situation d’épuisement des ports si les ports dynamiques RPC sont limités. Prenez cela en compte lorsque vous limitez la plage de ports.

Avertissement

S’il existe une erreur dans la configuration du port ou s’il n’y a pas suffisamment de ports dans le pool, le service mappeur de point de terminaison ne sera pas en mesure d’inscrire des serveurs RPC avec des points de terminaison dynamiques. En cas d’erreur de configuration, le code d’erreur est 87 (0x57) ERROR_INVALID_PARAMETER. Cela peut également affecter les serveurs RPC Windows, tels que Netlogon. Il journalisera l’événement 5820 dans ce cas :

Log Name: System  
Source: NETLOGON  
Event ID: 5820  
Level: Error  
Keywords: Classic  
Description:  
The Netlogon service could not add the AuthZ RPC interface. The service was terminated. The following error occurred: The parameter is incorrect.

Pour plus d’informations, consultez l’article suivant :