Настройка динамического назначения портов удаленного вызова процедур для взаимодействия с брандмауэром.

Переводы статьи Переводы статьи
Код статьи: 154596 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание! Статья содержит сведения о внесении изменений в системный реестр. Перед внесением изменений в системный реестр рекомендуется создать его резервную копию и изучить процедуру его восстановления. Дополнительные сведения об архивации, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

Аннотация

Динамическое назначение портов удаленного вызова процедур (RPC) используется приложениями удаленного администрирования, например диспетчером протокола динамической конфигурации хоста (DHCP), диспетчером службы Интернет-имен для Windows (WINS) и т. п. Динамическое назначение портов RPC позволяет приложению RPC использовать определенный случайный порт с номером выше 1024.

При использовании брандмауэров может возникнуть необходимость в точном указании портов, используемых RPC, чтобы маршрутизатор брандмауэра можно было настроить на перенаправление только этих TCP-портов.

Приведенные ниже записи реестра относятся к Windows NT 4.0 и более поздним версиям. Они не относятся к предыдущим версиям Windows NT. Несмотря на то что можно настроить порт, используемый клиентом, на подключение к серверу, клиент должен иметь возможность связаться с сервером с помощью действительного IP-адреса. Использование DCOM с брандмауэрами, осуществляющими преобразование сетевых адресов (например, клиент подключается к виртуальному адресу 198.252.145.1, который брандмауэр сопоставляет с реальным адресом сервера, допустим, 192.100.81.101), не допускается. Причиной запрета является то, что DCOM сохраняет IP-адреса в конвертах упакованных параметров интерфейса. Если клиенту не удается подключиться к адресу, указанному в конверте, происходит сбой.

Дополнительные сведения содержатся в документе Майкрософт Using Distributed COM with Firewalls (на английском языке). Для этого посетите веб-узел корпорации Майкрософт по адресу:
http://uk.builder.com/whitepapers/0,39026692,60016023p-39000882q,00.htm (на английском языке)

Дополнительная информация

Параметры (и разделы Интернета), рассматриваемые ниже, не заносятся в реестр; их следует добавить вручную с помощью редактора реестра. Также следует иметь в виду, что для добавления параметра REG_MULTI_SZ необходимо использовать Regedt32.exe, а не Regedit.exe.

Предупреждение. Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может привести к серьезным неполадкам, Эти проблемы могут привести к необходимости переустановки операционной системы. Корпорация Майкрософт не гарантирует устранения этих неполадок. Ответственность за изменение реестра лежит на пользователе.

С помощью редактора реестра можно изменить следующие параметры для RPC. Перечисленные ниже параметры для RPC-портов находятся в следующем разделе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\ Key Data Type


Ports REG_MULTI_SZ
Определяет диапазон IP-портов, состоящий либо из всех портов, доступных из Интернета, либо из всех портов, недоступных из Интернета. Каждая строка представляет собой отдельный порт либо диапазон портов. Например, отдельный порт может быть представлен строкой 5984, а диапазон портов – строкой 5000-5100. Если номер порта лежит за пределами диапазона 0 - 65535, либо в случае невозможности интерпретации строки исполняемый модуль RPC расценивает всю конфигурацию как недопустимую.
PortsInternetAvailable REG_SZ Y или N (без учета регистра)
При значении Y порты, перечисленные в разделе Ports, являются портами, доступными на данном компьютере из Интернета. При значении N порты, перечисленные в разделе Ports, являются портами, недоступными на данном компьютере из Интернета.
UseInternetPorts REG_SZ ) Y или N (без учета регистра)
Определяет системную политику по умолчанию.
При значении Y для процессов, использующих политику по умолчанию, назначаются порты из диапазона портов, доступных из Интернета, в соответствии с вышесказанным.
При значении N для процессов, использующих политику по умолчанию, назначаются порты из диапазона портов локальной сети.
Пример:
  1. Добавьте раздел Интернета в следующий раздел:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
  2. В разделе Интернета добавьте параметры "Ports" (MULTI_SZ), "PortsInternetAvailable" (REG_SZ) и "UseInternetPorts" (REG_SZ).

    В данном примере порты с 5000 по 5100 включительно были выбраны произвольно, чтобы проиллюстрировать процесс настройки нового раздела реестра. Например, новый раздел реестра может выглядеть следующим образом:
    Ports: REG_MULTI_SZ: 5000-5100
    PortsInternetAvailable: REG_SZ: Y
    UseInternetPorts: REG_SZ: Y
  3. Перезагрузите сервер. Все приложения, использующие динамическое назначение портов RPC, будут использовать порты с 5000 по 5100 включительно. В большинстве окружений должно быть открыто как минимум 100 портов, поскольку несколько системных служб используют эти RPC-порты для связи друг с другом.
Следует указывать диапазон портов с номерами, превышающими 5000. Порты с номерами менее 5000 могут уже использоваться другими приложениями, что может привести к конфликту с приложениями DCOM. Более того, опыт показывает, что должно быть открыто как минимум 100 портов, поскольку несколько системных служб используют эти RPC-порты для связи друг с другом.

Примечание. Минимальное число портов может быть различным в зависимости от конфигурации компьютера.
Дополнительные сведения содержатся в следующих статьях базы знаний Майкрософт:
167128 Сетевые порты, которые используются службой удаленной справки (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
179442 Настройка брандмауэра для установления доверительных отношений между доменами
263293 Windows 2000 NAT не преобразует трафик Netlogon (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
172227 Устройства преобразования сетевых адресов (NAT) блокируют трафик Netlogon (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
319553 Назначение статического порта для трафика репликации FRS (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
224196 Назначение порта для трафика репликации Active Directory и клиентского трафика RPC (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
В Windows Server 2003 для выполнения действий, описанных в данной статье, можно использовать средство настройки RPC (RPCCfg.exe) из состава Windows Server 2003 Resource Kit. Чтобы загрузить средство настройки RPC (RPCCfg.exe), посетите веб-узел Майкрософт по адресу:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=en
(на английском языке)

Свойства

Код статьи: 154596 - Последний отзыв: 26 октября 2007 г. - Revision: 13.3
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Операционная система Microsoft Windows 2000 Professional
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Standard Edition
Ключевые слова: 
kbhowto kbnetwork kbdcom kbproductlink KB154596

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com