Restringir el tráfico de replicación de Active Directory y el tráfico de RPC de cliente a un puerto específico

Seleccione idioma Seleccione idioma
Id. de artículo: 224196 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

De forma predeterminada, llamadas a Active Directory replicación procedimiento remoto (RPC) surgir dinámicamente sobre un puerto disponible a través de RPC Endpoint Mapper (RPCSS) mediante el puerto 135. Este proceso es el mismo proceso como en Microsoft Exchange. Como en Microsoft Exchange, un administrador puede anular esta funcionalidad y especificar el puerto que atraviesa todo el tráfico RPC de Active Directory. Este procedimiento bloquea el puerto.

Al especificar puertos para utilizar con las entradas del registro que se mencionan en la sección "Más información", el tráfico de replicación del servidor de Active Directory y el tráfico de RPC de cliente se envían a estos puertos por el asignador de extremos. Esta configuración es posible porque todas las interfaces RPC que son compatibles con Active Directory se ejecutan en todos los puertos en el que está escuchando.

Nota En este artículo no implica que la replicación puede producirse a través de un servidor de seguridad. Puertos adicionales deben estar abiertos para que la replicación sea funciona a través de un servidor de seguridad. Por ejemplo, puertos adicionales deben estar abiertos para el protocolo Kerberos. Para obtener una lista completa de los puertos necesarios para los servicios a través de un servidor de seguridad, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
832017Introducción al servicio y los requisitos de puerto para el sistema de Windows Server de red

Más información

Importante Esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de seguir estos pasos cuidadosamente. Para conseguir una protección adicional, haga una copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad y restaurar el registro de Windows
Cuando se conecta a un extremo RPC, el motor en tiempo de ejecución RPC en el cliente pone en contacto con el asignador de extremos de RPC (RPCSS) en el servidor en un puerto conocido (135) y obtiene el puerto para conectarse a para el servicio compatibles con interfaz RPC que desee. Se supone que el cliente no conoce el enlace completo. Éste es el caso con todos los servicios de RPC de Active Directory.

El servicio registra uno o más extremos cuando inicia y tiene la posibilidad de un puerto asignado dinámicamente o un puerto específico.

Si configurar Active Directory y inicio de sesión de red para que se ejecute en el puerto"x" como en la entrada siguiente, se convierte en los puertos registrados con el asignador de extremos también en el puerto dinámico estándar.

Utilice el Editor del registro para modificar los valores siguientes en cada controlador de dominio donde los puertos restringidos se van a utilizarse. No se consideran servidores miembro para ser servidores de inicio de sesión. Por lo tanto, asignación de puerto estático para NTDS y de inicio de sesión de red no tiene ningún efecto en ellos.

Clave del registro 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Valor del registro: puerto TCP/IP
Tipo de valor: REG_DWORD
Información del valor: (puerto disponible)

Clave del registro 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valor del registro: DCTcpipPort
Tipo de valor: REG_DWORD
Información del valor: (puerto disponible)
Cuando se utiliza "TCP/IP Port", todos los servidores RPC que están ejecutando en Lsass.exe utilizan este puerto. Esto incluye la interfaz RPC de inicio de sesión de red. Por lo tanto, la configuración "DCTcpipPort" no es necesaria para la mayoría de las implementaciones. Recomendamos que establezca el valor de "DCTcpipPort" cuando tengan un requerimiento urgente para utilizar un puerto que difiera de las interfaces RPC que se ejecutan en Lsass.exe.

Los administradores deben confirmar que la comunicación a través del puerto especificado está habilitada si se utiliza cualquier dispositivos de red intermedio o software para filtrar los paquetes entre los controladores de dominio.

Nota Cuando utiliza la entrada de registro DCTcpipPort y establézcalo en el mismo puerto que utiliza la entrada de registro del puerto TCP/IP, recibirá el evento de error de inicio de sesión de red 5809 bajo NTDS\Parameters. Esto indica que el puerto configurado está en uso. En este caso, debe quitar la entrada de registro DCTcpipPort. Recibirá el mismo evento cuando se tiene un puerto único y reinicie el servicio de inicio de sesión de red en el controlador de dominio. Esto es así por diseño y se produce debido a la forma en que el motor en tiempo de ejecución RPC administra sus puertos de servidor. El puerto de inicio de sesión de red aún se está registrado con el motor en tiempo de ejecución, incluso cuando detiene el servicio de inicio de sesión de red. El puerto se utilizará después del reinicio y se puede pasar por alto el evento.

Con frecuencia, debe también establecer manualmente el puerto RPC del servicio de replicación de archivos (FRS) porque Active Directory y replicar de replicación de FRS con los controladores de dominio de la misma. El puerto RPC del servicio de replicación de archivos (FRS) debe utilizar un puerto diferente.Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
319553Cómo restringir el tráfico de replicación FRS a un puerto estático específico

Si configura la replicación de Active Directory a un puerto fijo fuera del intervalo permitido para puertos RPC para controlar el acceso y los inicios de sesión a través de un servidor de seguridad, el puerto de replicación y los puertos RPC dinámicos tendrán que se va a abrir en el servidor de seguridad para permitir el acceso y los inicios de sesión. Esto es porque el inicio de sesión utiliza la replicación de puerto para la asignación de usuario.

Es posible que desee establecer la replicación de Active Directory a un puerto fijo fuera del intervalo permitido para los puertos RPC. Quizás desee hacer esto para controlar el acceso y los inicios de sesión a través de un servidor de seguridad. Sin embargo, a causa de esto, la replicación y el puerto de inicio de sesión de red deben abrirse en el servidor de seguridad. Esto es porque el proceso de inicio de sesión utiliza la replicación de puerto para la asignación de usuario.
Para obtener más información acerca de asignador de extremos de RPC, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
154596Cómo configurar la asignación de puertos dinámicos RPC para trabajar con los servidores de seguridad

Propiedades

Id. de artículo: 224196 - Última revisión: viernes, 09 de abril de 2010 - Versión: 12.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palabras clave: 
kbmt kbenv kbinfo KB224196 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 224196

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com