Artikel-ID: 224196 - Geändert am: Mittwoch, 30. Mai 2007 - Version: 7.1

Einschränken von Active Directory-Replikationsverkehr und Client-RPC-Verkehr an einem bestimmten Anschluss

Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
224196  (http://support.microsoft.com/kb/224196/EN-US/ ) Restricting Active Directory replication traffic and client RPC traffic to a specific port
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
256986  (http://support.microsoft.com/kb/256986/DE/ ) Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Zusammenfassung

Standardmäßig erfolgt die RPC-basierte Active Directory-Replikation (Remote Procedure Calls, RPC = Remoteprozeduraufrufe) dynamisch über einen verfügbaren Anschluss mit der RPC-Endpunktzuordnung (RPCSS) unter Verwendung von Anschluss 135. Hierbei handelt es sich um denselben Prozess wie in Microsoft Exchange. Wie in Microsoft Exchange kann der Administrator diese Funktionalität übergehen und einen Anschluss angeben, über den die Übertragung des gesamten Active Directory-RPC-Verkehrs erfolgt, wodurch der Anschluss gesperrt wird.

Wenn Sie mithilfe des im Abschnitt "Weitere Informationen" dieses Artikels genannten Registrierungsschlüssels einen Anschluss für die Replikation angeben, sendet die Endpunktzuordnung sowohl den serverseitigen Active Directory-Replikationsverkehr als auch den Client-RPC-Verkehr an diesen Anschluss. Diese Konfiguration ist möglich, weil alle von Active Directory unterstützten RPC-Schnittstellen auf allen Anschlüssen ausgeführt werden, die das Active Directory abhört.

Hinweis: Dieser Artikel besagt nicht, dass die Replikation über einen Firewall stattfinden kann. Es müssen zusätzliche Anschlüsse geöffnet werden, damit dies funktioniert Beispielsweise müssen zusätzliche Anschlüsse für das Kerberos-Protokoll geöffnet werden. Eine vollständige Liste der erforderlichen Anschlüsse für Dienste über einen Firewall finden Sie im folgenden Artikel der Microsoft Knowledge Base:
832017  (http://support.microsoft.com/kb/832017/DE/ ) Dienste und Port-Anforderungen für das Microsoft Windows-Serversystem

Weitere Informationen

Achtung: Die unkorrekte Verwendung des Registrierungs-Editors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungs-Editors herrühren, behoben werden können. Benutzen Sie den Registrierungs-Editor auf eigene Verantwortung.

Beim Herstellen einer Verbindung zu einem RPC-Endpunkt kontaktiert die RPC-Laufzeit auf dem Client die RPC-Endpunktzuordnung (RPCSS) auf dem Server über einen bekannten Anschluss (135), wobei angenommen wird, dass der Client nicht die vollständige Bindung kennt (dies ist bei der DS-Replikation der Fall). Die RPC-Endpunktzuordnung fragt den Port ab, mit dem die Verbindung zu dem Dienst hergestellt werden kann, der die gewünschte RPC-Schnittstelle unterstützt.

Der Dienst registriert den Endpunkt beim Starten und hat die Auswahl zwischen einem dynamisch zugewiesenen Anschluss oder einem speziellen Anschluss.

Wenn Sie das Active Directory mithilfe des nachstehenden Registrierungsschlüssels für die Ausführung auf "Anschluss x" konfigurieren, wird dieser Anschluss zu dem von der Endpunktzuordnung registrierten Anschluss.

Ändern Sie mithilfe des Registristrierungseditors den folgenden Wert auf jedem Domänencontroller, auf dem der eingeschränkte Anschluss verwendet werden soll:

Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Registrierungswert: TCP/IP-Anschluss
Typ: REG_DWORD
Wert: (verfügbarer Anschluss)

Administratoren sollten sicherstellen, dass die Kommunikation über den angegebenen Anschluss aktiviert ist, falls zwischengeschaltete Netzwerkgeräte oder Software zum Filtern von Paketen zwischen den Domänencontrollern verwendet werden.

Häufig müssen Sie außerdem den RPC-Anschluss für den Dateireplikationsdienst (File Replication Service, FRS) manuell einstellen, weil die Active Directory- und FRS-Replikation mit denselben Domänencontrollern erfolgt. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
319553  (http://support.microsoft.com/kb/319553/DE/ ) Wie Beschränken von FRS-Replikationsverkehr auf einem bestimmten statischen Port

Wenn Sie für die Active Directory-Replikation einen festen Anschluss außerhalb des für RPC-Anschlüsse zulässigen Bereichs einstellen, um den Zugriff und die Anmeldungen über einen Firewall zu überwachen, müssen der Replikationsanschluss sowie die dynamischen RPC-Anschlüsse des Firewalls geöffnet werden, um Zugriffe und Anmeldungen zu ermöglichen. Dies ist notwendig, weil der Anmeldevorgang den Replikationsanschluss für die Benutzerzuordnung verwendet.

Sie möchten für die Active Directory-Replikation eventuell einen festen Anschluss außerhalb des für RPC-Anschlüsse zulässigen Bereichs einstellen, um die Zugriffe und Anmeldungen über einen Firewall zu überwachen. Hierzu müssen jedoch der Replikationsanschluss und die dynamischen RPC-Anschlüsse des Firewalls geöffnet werden. Dies ist notwendig, weil der Anmeldevorgang den Replikationsanschluss für die Benutzerzuordnung verwendet.
Weitere Informationen zur RPC-Endpunktzuordnung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
154596  (http://support.microsoft.com/kb/154596/DE/ ) Konfigurieren der dynamischen RPC-Portzuweisung für Firewall-Einsatz
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Zum Anfang
Keywords: 
kbinfo kbenv KB224196
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

SPRACHE AUSWÄHLEN