Cómo restringir el tráfico RPC de Active Directory a un puerto específico

  • Artículo

En este artículo se describe cómo restringir el tráfico de llamadas a procedimientos remotos de replicación de Active Directory (AD) a un puerto específico de Windows Server.

Se aplica a: todas las versiones compatibles de Windows Server
Número de KB original: 224196

Resumen

De forma predeterminada, las llamadas a procedimientos remotos de replicación de Active Directory (RPC) se producen dinámicamente a través de un puerto disponible a través del asignador de puntos de conexión RPC (RPCSS) mediante el puerto 135. Un administrador puede invalidar esta funcionalidad y especificar el puerto por el que pasa todo el tráfico RPC de Active Directory. Este procedimiento bloquea el puerto.

Al especificar los puertos que se usarán mediante las entradas del Registro en Más información, el asignador de puntos de conexión envía el tráfico de replicación del lado servidor de Active Directory y el tráfico RPC de cliente a estos puertos. Esta configuración es posible porque todas las interfaces RPC compatibles con Active Directory se ejecutan en todos los puertos en los que está escuchando.

Nota:

En este artículo no se describe cómo configurar la replicación de AD para un firewall. Se deben abrir puertos adicionales para que la replicación funcione a través de un firewall. Por ejemplo, es posible que sea necesario abrir puertos para el protocolo Kerberos. Para obtener una lista completa de los puertos necesarios para los servicios a través de un firewall, consulte Información general del servicio y requisitos de puertos de red para Windows.

Más información

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad del Registro y cómo restaurarlo, consulte Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows.

Al conectarse a un punto de conexión RPC, el entorno de ejecución de RPC en el cliente se pone en contacto con el RPCSS en el servidor en un puerto conocido (135). Y obtiene el puerto al que conectarse para el servicio que admite la interfaz RPC deseada. Se supone que el cliente no conoce el enlace completo. Es la situación con todos los servicios RPC de AD.

El servicio registra uno o varios puntos de conexión cuando se inicia y tiene la opción de elegir un puerto asignado dinámicamente o un puerto específico.

Si configura Active Directory y Netlogon para que se ejecuten en el puerto x como en la entrada siguiente, se convierten en los puertos registrados con el asignador de puntos de conexión además del puerto dinámico estándar.

Use Editor del Registro para modificar los siguientes valores en cada controlador de dominio donde se van a usar los puertos restringidos. Los servidores miembros no se consideran servidores de inicio de sesión. Por lo tanto, la asignación de puertos estáticos para NTDS no tiene ningún efecto en los servidores miembros.

Los servidores miembros tienen la interfaz RPC de Netlogon, pero rara vez se usan. Algunos ejemplos pueden ser la recuperación de configuración remota, como nltest /server:member.contoso.com /sc_query:contoso.com.

Clave del Registro 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Valor del Registro: Puerto TCP/IP
Tipo de valor: REG_DWORD
Datos de valor: (puerto disponible)

Reinicie el equipo para que la nueva configuración entre en vigor.

Clave del Registro 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Valor del Registro: DCTcpipPort
Tipo de valor: REG_DWORD
Datos de valor: (puerto disponible)

Reinicie el servicio Netlogon para que la nueva configuración entre en vigor.

Nota:

Cuando se usa la entrada del DCTcpipPort Registro y se establece en el mismo puerto que la entrada del Registro, se recibe el TCP/IP Port evento de error 5809 de Netlogon en NTDS\Parameters. Esto indica que el puerto configurado está en uso y debe elegir un puerto diferente.

Recibirá el mismo evento cuando tenga un puerto único y reinicie el servicio Netlogon en el controlador de dominio. Este comportamiento es una característica del diseño de la aplicación. Se produce debido a la forma en que el tiempo de ejecución de RPC administra sus puertos de servidor. El puerto se usará después del reinicio y se puede omitir el evento.

Los administradores deben confirmar que la comunicación a través del puerto especificado está habilitada si se usa algún software o dispositivo de red intermedio para filtrar paquetes entre los controladores de dominio.

Con frecuencia, también debe establecer manualmente el puerto RPC del Servicio de replicación de archivos (FRS) porque la replicación de AD y FRS se replica con los mismos controladores de dominio. El puerto RPC FRS debe usar un puerto diferente.

No suponga que los clientes solo usan los servicios RPC de Netlogon y, por tanto, solo se requiere la configuración DCTcpipPort . Los clientes también usan otros servicios RPC como SamRPC, LSARPC y también la interfaz de Directory Replication Services (DRS). Siempre debe configurar ambos valores del Registro y abrir ambos puertos en el firewall.

Problemas conocidos

Después de especificar los puertos, puede encontrar los siguientes problemas:

Para resolver los problemas, instale las actualizaciones mencionadas en los artículos.

Recolección de datos

Si necesita ayuda del soporte técnico de Microsoft, le recomendamos que recopile la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.