Cikk azonos�t�ja: 154596 - Utols� ellen�rz�s: 2007. okt�ber 26. - Verzi�sz�m: 11.4

A t�voli elj�r�sh�v�s szolg�ltat�s dinamikus porthozz�rendel�s�nek be�ll�t�sa t�zfallal

A cikkben �rintett term�kek list�j�nak megtekint�se.

RendszertippA jelen cikk az �n �ltal haszn�ltt�l elt�r� oper�ci�s rendszerre vonatkozik. A cikk azon tartalmait, amelyek nem relev�nsak �nnek, letiltjuk.

Fontos: A cikk a rendszerle�r� adatb�zis m�dos�t�s�val is foglalkozik. A rendszerle�r� adatb�zisr�l m�dos�t�sa el�tt k�sz�tsen biztons�gi m�solatot, illetve gy�z�dj�n meg arr�l, hogy sz�ks�g eset�n helyre tudja �ll�tani az adatb�zist. A rendszerle�r� adatb�zis biztons�gi ment�s�r�l, vissza�ll�t�s�r�l �s m�dos�t�s�r�l a Microsoft Tud�sb�zis al�bbi cikk�ben t�j�koz�dhat:

256986� (http://support.microsoft.com/kb/256986/ ) A Microsoft Windows rendszerle�r� adatb�zis�nak ismertet�se

Az �sszes kibont�sa | Az �sszes �sszecsuk�sa

�sszefoglal�

A t�voli elj�r�sh�v�s dinamikus porthozz�rendel�s�t olyan alkalmaz�sok haszn�lj�k, mint p�ld�ul a Dynamic Host Configuration Protocol (DHCP) Manager vagy a Windows Internet Name Service (WINS) Manager. A t�voli elj�r�sh�v�s dinamikus porthozz�rendel�se egy v�letlenszer�, 1024 feletti port haszn�lat�ra utas�tja az RPC programot.

A t�zfalat haszn�l� felhaszn�l�k sz�m�ra fontos lehet a t�voli elj�r�sh�v�s �ltal haszn�lt portok egy�ni megad�sa, hogy t�zfaluk �tv�laszt�j�t �gy tudj�k konfigur�lni, hogy csak ezeket a TCP portokat tov�bb�tsa.

Az al�bbi rendszerle�r� bejegyz�sek a Windows NT 4.0 �s ann�l �jabb oper�ci�s rendszerekre vonatkoznak. Nem vonatkoznak ugyanakkor a Windows NT kor�bbi verzi�ira. B�r megadhat� az �gyf�l �ltal a kiszolg�l�val folytatott kommunik�ci�hoz haszn�lt port, az �gyf�lnek saj�t IP c�m�n kereszt�l kell el�rnie a kiszolg�l�t. A DCOM nem haszn�lhat� olyan t�zfalak eset�n, amelyek c�mford�t�st v�geznek (p�ld�ul amikor az �gyf�l a 198.252.145.1 virtu�lis c�mhez csatlakozik, �m ezt a t�zfal megfelelteti a kiszolg�l� val�s c�m�nek, p�ld�ul a 192.100.81.101 c�mnek). Ennek oka, hogy a DCOM nyers IP c�meket t�rol az objektumrendez� adatcsomagokban, �s ha az �gyf�l nem tud csatlakozni a csomagban megadott c�mhez, nem fog megfelel�en m�k�dni.

Tov�bbi inform�ci�kat a Microsoft k�vetkez� tanulm�ny�ban tal�l: "Using Distributed COM with Firewalls� (A DCOM haszn�lata t�zfallal). Ehhez l�togassa meg a Microsoft al�bbi webhely�t:

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dndcom/html/msdn_dcomfirewall.asp (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dndcom/html/msdn_dcomfirewall.asp)

A lap tetej�re

Tov�bbi inform�ci�

Az al�bbi �rt�kek (�s az Internet kulcs) nem jelennek meg a rendszerle�r� adatb�zisban, hanem manu�lisan kell hozz�adni �ket a Rendszerle�r�adatb�zis-szerkeszt� seg�ts�g�vel. Fontos megjegyezni, hogy a REG_MULTI_SZ �rt�k hozz�ad�s�hoz nem a Regedit.exe, hanem a Regedt32.exe seg�dprogramot kell haszn�lni.

Figyelmeztet�s: A Rendszerle�r�adatb�zis-szerkeszt�vel vagy m�s eszk�zzel helytelen�l m�dos�tott rendszerle�r� adatb�zis komoly probl�m�kat okozhat, amelyek ak�r az oper�ci�s rendszer �jratelep�t�s�t is sz�ks�gess� tehetik. A Microsoft nem garant�lja az ilyen jelleg� probl�m�k megoldhat�s�g�t, ez�rt a rendszerle�r� adatb�zist csak saj�t felel�ss�g�re m�dos�thatja.

A Rendszerle�r�adatb�zis-szerkeszt� seg�ts�g�vel a t�voli elj�r�sh�v�si RPC protokoll al�bbi param�terei m�dos�that�k. Az RPC Port kulcs itt t�rgyalt �rt�kei a Rendszerle�r� adatb�zis k�vetkez� kulcs�ban tal�lhat�k:

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\ Key Data Type

Ports REG_MULTI_SZ

Egy IP porttartom�nyt ad meg, amely vagy az internetr�l el�rhet� �sszes portot vagy az internetr�l nem el�rhet� �sszes portot tartalmazza. Minden karakterl�nc egy portot vagy portcsoportot jel�l. Egy �n�ll� portot jel�lhet p�ld�ul az 5984 sz�msor, m�g egy portcsoportot az 5000-5100 karakterl�nc. Ha egy bejegyz�s �rt�ke k�v�l esik a 0�65535 tartom�nyon, vagy ha egy karakterl�nc nem �rtelmezhet�, a t�voli elj�r�sh�v�si (RPC) protokoll az eg�sz konfigur�ci�t �rv�nytelenk�nt kezeli.

PortsInternetAvailable REG_SZ Y vagy N (nem tesz k�l�nbs�get a kis- �s nagybet�k k�z�tt)

Ha �rt�ke Y, a Ports kulcsban a sz�m�t�g�p internetr�l el�rhet� portjai vannak felsorolva. Ha �rt�ke N, a Ports kulcs a sz�m�t�g�p internetr�l nem el�rhet� portjait tartalmazza.

UseInternetPorts REG_SZ ) Y vagy N (nem tesz k�l�nbs�get a kis- �s nagybet�k k�z�tt)

Megadja az alap�rtelmezett rendszerh�zirendet.

Ha �rt�ke Y, az alap�rtelmez�st haszn�l� folyamatokhoz a rendszer olyan portokat rendel hozz�, amelyek a fentiek alapj�n az internetr�l el�rhet� portok k�z�tt szerepelnek.

Ha �rt�ke N, az alap�rtelmez�st haszn�l� folyamatokhoz a rendszer csak intranetes k�rnyezetben haszn�lhat� portokat rendel hozz�.

P�lda:

Hozza l�tre az Internet kulcsot a
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
rendszerle�r� kulcsban.
Adja hozz� az Internet kulcshoz a "Ports" (MULTI_SZ), "PortsInternetAvailable" (REG_SZ) �s "UseInternetPorts" (REG_SZ) �rt�keket.

A p�ld�ban haszn�lja az 5000-t�l 5100-ig terjed� portokat, �gy az �j rendszerle�r� kulcs a k�vetkez�k�ppen jelenik meg:
Ports: REG_MULTI_SZ: 5000-5100
PortsInternetAvailable: REG_SZ: Y
UseInternetPorts: REG_SZ: Y
Ind�tsa �jra a kiszolg�l�t. Minden olyan alkalmaz�s, amely a t�voli elj�r�sh�v�s szolg�ltat�s dinamikus porthozz�rendel�s�t haszn�lja, az 5000-t�l 5100-ig terjed� portokat fogja haszn�lni. A legt�bb k�rnyezetben legal�bb 100 portot meg kell nyitni, mivel sz�mos rendszerszolg�ltat�s az RPC portok seg�ts�g�vel kommunik�l egym�ssal.

Mindenk�ppen az 5000-es port felett elhelyezked� porttartom�nyt kell megnyitni. Az 5000 alatti portokat m�s alkalmaz�sok haszn�lhatj�k, amelyek konfliktusokat okozhatnak a DCOM alkalmaz�sokkal. Ezenk�v�l a kor�bbi tapasztalatok azt mutatj�k, hogy legal�bb 100 portot meg kell nyitni, mivel sz�mos rendszerszolg�ltat�s az RPC portok seg�ts�g�vel kommunik�l egym�ssal.

Megjegyz�s A minim�lis portsz�m sz�m�t�g�pr�l sz�m�t�g�pre v�ltozhat, �s f�gg a sz�m�t�g�p konfigur�ci�j�t�l.

A lap tetej�re

A Microsoft Tud�sb�zis kapcsol�d� cikkei:

167128� (http://support.microsoft.com/kb/167128/ ) A t�voli tan�csad�si szolg�ltat�sok �ltal haszn�lt h�l�zati portok (El�fordulhat, hogy a hivatkoz�s r�szben vagy teljes eg�sz�ben angol nyelv� tartalomra mutat.)

179442� (http://support.microsoft.com/kb/179442/ ) T�zfal be�ll�t�sa tartom�nyokhoz �s bizalmi kapcsolatokhoz

263293� (http://support.microsoft.com/kb/263293/ ) A Windows 2000 h�l�zatic�m-ford�t�ja nem ford�tja le a Netlogon forgalmat (El�fordulhat, hogy a hivatkoz�s r�szben vagy teljes eg�sz�ben angol nyelv� tartalomra mutat.)

172227� (http://support.microsoft.com/kb/172227/ ) A h�l�zatic�m-ford�t�k (Network Address Translator, NAT) akad�lyozhatj�k a Netlogon forgalmat (El�fordulhat, hogy a hivatkoz�s r�szben vagy teljes eg�sz�ben angol nyelv� tartalomra mutat.)

319553� (http://support.microsoft.com/kb/319553/ ) A f�jlreplik�ci�s szolg�ltat�s replik�ci�s forgalm�nak korl�toz�sa adott statikus portra (El�fordulhat, hogy a hivatkoz�s r�szben vagy teljes eg�sz�ben angol nyelv� tartalomra mutat.)

Ha a Windows Server 2003 rendszert futtatja, a Microsoft Windows Server 2003 Resource Kit RPC konfigur�ci�s eszk�ze (RPC Configuration Tool, RPCCfg.exe) seg�ts�g�vel v�gezheti el az ebben a cikkben le�rt m�veleteket. Az RPC konfigur�ci�s eszk�z a Microsoft k�vetkez� webhely�r�l t�lthet� le:

http://www.microsoft.com/windows2000/techinfo/reskit/tools/new/rpccfg-o.asp (http://www.microsoft.com/windows2000/techinfo/reskit/tools/new/rpccfg-o.asp)

A lap tetej�re

A cikkben tal�lhat� inform�ci� a k�vetkez�(k)re vonatkozik:

Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows 2000 Professional Edition
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Windows NT Server 4.0 Standard Edition

A lap tetej�re

kbhowto kbnetwork kbdcom kbproductlink KB154596

A lap tetej�re

A Microsoft tud�sb�zisban szolg�ltatott inform�ci�kat "az adott �llapotban", b�rminem� szavatoss�g vagy garancia n�lk�l biztos�tjuk. A Microsoft kiz�r mindennem�, ak�r kifejezett, ak�r v�lelmezett szavatoss�got vagy garanci�t, ide�rtve a forgalomk�pess�gre �s az adott c�lra val� alkalmass�gra vonatkoz� szavatoss�got is. A Microsoft Corporation �s annak besz�ll�t�i semmilyen k�r�lm�nyek k�z�tt nem felel�sek semminem� k�r�rt, �gy a k�zvetlen, a k�zvetett, az �zleti haszon elmarad�s�b�l sz�rmaz� vagy speci�lis k�rok�rt, illetve a k�r k�vetkezm�nyek�nt felmer�l� k�lts�gek megt�r�t�s��rt, m�g abban az esetben sem, ha a Microsoft Corporationt vagy besz�ll�t�it az ilyen k�rok bek�vetkezt�nek lehet�s�g�re figyelmeztett�k. Egyes �llamok joga nem teszi lehet�v� bizonyos k�rok�rt a felel�ss�g kiz�r�s�t vagy korl�toz�s�t, ez�rt a fenti korl�toz�sok az �n eset�ben esetleg nem alkalmazhat�k.