Como configurar a alocação de porta dinâmica do RPC para trabalhar com firewalls
Este artigo ajuda você a modificar os parâmetros RPC (Chamada de Procedimento Remoto) no registro para garantir que a alocação de porta dinâmica do RPC possa funcionar com firewalls.
Aplica-se a: Windows Server 2012 R2
Número de KB original: 154596
Resumo
A alocação de porta dinâmica do RPC é usada por aplicativos de servidor e aplicativos de administração remota, como o Gerenciador do DHCP (Dynamic Host Configuration Protocol), o Gerenciador do WINS (Serviço de Nome da Internet do Windows) e assim por diante. A alocação de porta dinâmica do RPC instrui o programa RPC a usar uma porta aleatória específica no intervalo configurado para TCP e UDP, com base na implementação do sistema operacional usado. Para obter mais informações, confira referências abaixo.
Os clientes que usam firewalls podem querer controlar quais portas o RPC está usando para que seu roteador de firewall possa ser configurado para encaminhar apenas essas portas UDP e TCP (Protocolo de Controle de Transmissão).
Muitos servidores RPC no Windows permitem especificar a porta do servidor em itens de configuração personalizados, como entradas de registro. Quando você pode especificar uma porta de servidor dedicada, você sabe quais fluxos de tráfego entre os hosts em todo o firewall. E você pode definir qual tráfego é permitido de maneira mais direcionada.
Como uma porta de servidor, escolha uma porta fora do intervalo que talvez você queira especificar abaixo. Você pode encontrar uma lista abrangente de portas do Servidor que são usadas no Windows e nos principais produtos da Microsoft em Visão geral do serviço e requisitos de porta de rede para Windows.
O artigo também lista os servidores RPC e quais servidores RPC podem ser configurados para usar portas de servidor personalizadas além das instalações que o runtime do RPC oferece.
Alguns firewalls também permitem a filtragem UUID em que ele aprende com uma solicitação de Mapper do Ponto de Extremidade RPC para uma UUID de interface RPC. A resposta tem o número da porta do servidor e um RPC Bind subsequente nessa porta é então permitido passar.
Importante
Use o método descrito neste artigo somente se o servidor RPC não oferecer uma maneira de definir a porta do servidor.
As entradas de registro a seguir se aplicam a Windows NT 4.0 e superiores. Eles não se aplicam a versões anteriores de Windows NT. Mesmo que você possa configurar a porta usada pelo cliente para se comunicar com o servidor, o cliente deve ser capaz de alcançar o servidor por seu endereço IP real. Você não pode usar o DCOM por meio de firewalls que fazem a tradução de endereços. Por exemplo, um cliente se conecta ao endereço virtual 198.252.145.1, que o firewall mapeia de forma transparente para o endereço real do servidor de, por exemplo, 192.100.81.101. O DCOM armazena endereços IP brutos nos pacotes de marshaling de interface. Se o cliente não puder se conectar ao endereço especificado no pacote, ele não funcionará.
Mais informações
Os valores (e a chave da Internet) discutidos abaixo não aparecem no registro. Eles devem ser adicionados manualmente usando a Editor do Registro.
Importante
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações, consulte Como fazer backup e restaurar o registro no Windows.
Com o Registro Editor, você pode modificar os seguintes parâmetros para RPC. Os valores de chave da Porta do RPC discutidos abaixo estão todos localizados na seguinte chave no registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\Entry name Data Type
Portas REG_MULTI_SZ
Especifica um conjunto de intervalos de portas IP que consistem em todas as portas disponíveis na Internet ou em todas as portas não disponíveis na Internet. Cada cadeia de caracteres representa uma única porta ou um conjunto inclusivo de portas.
Por exemplo, uma única porta pode ser representada por 5984 e um conjunto de portas pode ser representado por 5000-5100. Se as entradas estiverem fora do intervalo de 0 a 65535 ou se alguma cadeia de caracteres não puder ser interpretada, o runtime do RPC tratará toda a configuração como inválida.
PortasInternet Disponíveis REG_SZ Y ou N (não sensíveis a casos)
Se Y, as portas listadas na chave Portas são todas as portas disponíveis para Internet nesse computador. Se N, as portas listadas na chave Portas são todas aquelas portas que não estão disponíveis para Internet.
UseInternetPorts REG_SZ Y ou N (sem diferenciação de maiúsculas de minúsculas
Especifica a política padrão do sistema.
Se Y, os processos que usam o padrão receberão portas do conjunto de portas disponíveis para Internet, conforme definido anteriormente. Se N, os processos que usam o padrão receberão portas do conjunto de portas somente intranet.
Exemplo
Neste exemplo, as portas 5000 a 6000 inclusivas foram selecionadas arbitrariamente para ajudar a ilustrar como a nova chave do registro pode ser configurada. Não é uma recomendação de um número mínimo de portas necessárias para qualquer sistema específico.
Adicionar a chave da Internet em
HKEY_LOCAL_MACHINE\Software\Microsoft\RpcNa chave da Internet, adicione os valores Portas (MULTI_SZ), PortsInternetAvailable (REG_SZ) e UseInternetPorts (REG_SZ).
Por exemplo, a nova chave do registro é exibida da seguinte maneira:
Portas: REG_MULTI_SZ: 5000-6000
PortsInternet Disponível: REG_SZ: Y
UseInternetPorts: REG_SZ: YReiniciar o servidor. Todos os aplicativos que usam a alocação de porta dinâmica do RPC usam as portas 5000 a 6000, inclusive.
Você deve abrir um intervalo de portas acima da porta 5000. Os números da porta abaixo de 5.000 já podem estar em uso por outros aplicativos e podem causar conflitos com seus aplicativos DCOM. Além disso, a experiência anterior mostra que um mínimo de 100 portas devem ser abertas, pois vários serviços do sistema dependem dessas portas RPC para se comunicarem entre si.
Observação
O número mínimo de portas necessárias pode ser diferente de computador para computador. Computadores com maior tráfego poderão ser executados em uma situação de esgotamento de porta se as portas dinâmicas do RPC forem restritas. Leve isso em consideração ao restringir o intervalo de portas.
Aviso
Se houver um erro na configuração da porta ou houver portas insuficientes no pool, o Serviço mapeador do ponto de extremidade não poderá registrar servidores RPC com pontos de extremidade dinâmicos. Quando houver um erro de configuração, o código de erro será 87 (0x57) ERROR_INVALID_PARAMETER. Isso também pode afetar servidores RPC do Windows, como o Netlogon. Ele registrará o evento 5820 nesse caso:
Log Name: System
Source: NETLOGON
Event ID: 5820
Level: Error
Keywords: Classic
Description:
The Netlogon service could not add the AuthZ RPC interface. The service was terminated. The following error occurred: The parameter is incorrect.
Para saber mais, veja:
- Visão geral do serviço e requisitos de porta de rede para o Windows
- Como configurar um firewall para domínios e relações de confiança do Active Directory
- Restringir o tráfego do RPC do Active Directory a uma porta específica
- O intervalo de porta dinâmica padrão para TCP/IP foi alterado desde o Windows Vista e no Windows Server 2008
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários