Restriction du trafic de réplication Active Directory et du trafic RPC client sur un port spécifique

Traductions disponibles Traductions disponibles
Numéro d'article: 224196 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Par défaut, les appels de procédure distante (RPC, Remote Procedure Calls) de réplication Active Directory s'effectuent en mode dynamique sur un port disponible via le Mappeur de point de terminaison RPC (RPCSS) en utilisant le port 135. Ce processus est le même que dans Microsoft Exchange. Comme dans Microsoft Exchange, un administrateur peut remplacer cette fonctionnalité et spécifier le port via lequel passe tout le trafic RPC Active Directory. Cette procédure verrouille le port.

Lorsque vous spécifiez un port à utiliser à l'aide des entrées de Registre mentionnées à la section « Plus d'informations », le trafic de réplication côté serveur d'Active Directory et le trafic RPC du client sont tous deux envoyés sur ces ports par le mappeur de point de terminaison. Cette configuration est possible car toutes les interfaces RPC qui sont prises en charge par Active Directory s'exécutent sur tous les ports sur lesquels il écoute.

Remarque Cet article n'implique pas que la réplication peut se produire à travers un pare-feu. Des ports supplémentaires doivent être ouverts pour que la réplication puisse s'effectuer à travers un pare-feu. Par exemple, des ports supplémentaires doivent être ouverts pour le protocole Kerberos. Pour obtenir une liste complète des ports requis pour les services à travers un pare-feu, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
832017 Vue d'ensemble des services et exigences de ports réseau pour le système Windows Server

Plus d'informations

Important Cette section, méthode ou tâche explique la procédure de modification du Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
322756 Procédure de sauvegarde, de modification et de restauration du Registre dans Windows XP
Lorsque vous vous connectez à un point de terminaison RPC, l'exécution RPC sur le client contacte le mappeur de points de terminaison RPC (RPCSS) sur le serveur sur un port bien connu (135), et obtient le port de connexion pour le service qui prend en charge l'interface RPC souhaitée. Cela suppose que le client ne connaît pas la liaison complète. C'est le cas avec tous les services RPC d'Active Directory.

Le service enregistre le(s) point(s) de terminaison au démarrage, et il a le choix entre un port affecté de façon dynamique et un port spécifique.

Si vous configurez Active Directory et Netlogon pour une exécution sur le « port x » comme dans l'entrée suivante, celui-ci devient le port enregistré avec le mappeur de point de terminaison, en plus du port standard dynamique.

À l'aide de l'Éditeur du Registre, modifiez les valeurs suivantes sur chaque contrôleur de domaine où les ports restreints doivent être utilisés : Les serveurs membres ne sont pas considérés comme des serveurs d'ouverture de session. Par conséquent, les attributions de port statique pour NTDS et Netlogon n'a aucun effet sur ceux-ci.

Clé de Registre 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Valeur de Registre : Port TCP/IP
Type de la valeur : REG_DWORD
Données de la valeur : (port disponible)

Registre clé 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valeur de Registre : DCTcpipPort
Type de la valeur : REG_DWORD
Données de la valeur : (port disponible)
Lorsque « Port TCP/IP » est utilisé, tous les serveurs RPC qui exécutent Lsass.exe utilisent ce port. Cela inclut l'interface RPC de Netlogon. Par conséquent, le paramètre « DCTcpipPort » n'est pas nécessaire pour la plupart des déploiements. Nous vous recommandons d'utiliser le paramètre « DCTcpipPort » uniquement lorsque vous devez absolument utiliser un port qui diffère des autres interfaces RPC qui s'exécutent dans Lsass.exe.

Les administrateurs doivent confirmer que la communication sur le port spécifié est activée si tous les périphériques réseau intermédiaires ou les logiciels sont utilisés pour filtrer des paquets entre les contrôleurs de domaine.

Remarque Lorsque vous utilisez l'entrée de registre DCTcpipPort et que vous la définissez sur le même port que l'entrée de registre Port TCP/IP, un événement d'erreur Netlogon 5809 s'affiche sous NTDS\Parameters. Cela indique que le port configuré est en cours d'utilisation. Dans ce cas, vous devez supprimer l'entrée de Registre DCTcpipPort. Vous recevrez le même événement lorsque vous avez un port unique et lorsque vous redémarrez le service Netlogon sur un contrôleur de domaine. Ce comportement est voulu par la conception et est dû à la façon dont l'exécution RPC gère ses ports de serveur. Le port pour Netlogon est toujours enregistré avec lexécution, même lorsque vous arrêtez le service Netlogon. Le port sera utilisé après le redémarrage et l'événement peut être ignoré.

Très souvent, vous devez également définir manuellement le port RPC du service de réplication de fichiers (FRS) car la réplication AD et FRS s'effectue avec les mêmes Contrôleurs de domaine. Le port RPC du service de réplication de fichiers (FRS) doit utiliser un port différent. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
319553 Comment faire pour limiter le trafic de réplication FRS à un port statique spécifique

Si vous définissez la réplication Active Directory sur un port fixe à l'extérieur de la plage autorisée pour les ports RPC afin de contrôler les accès et les ouvertures de session via un pare-feu, le port de réplication et les ports RPC dynamiques devront être ouvert sur le pare-feu pour permettre les accès et les ouvertures de session. Cela est dû au fait que l'ouverture de session utilise le port de réplication pour le mappage d'utilisateur.

Vous pouvez si vous le souhaitez définir la réplication Active Directory sur un port fixe en dehors de la plage autorisée pour les ports RPC. Cette procédure peut être utile pour contrôler l'accès et les ouvertures de session à travers un pare-feu. Toutefois, par conséquent, la réplication et le port Netlogon doivent être ouvert sur le pare-feu. Cela est dû au fait que le processus d'ouverture de session utilise le port de réplication pour le mappage d'utilisateur.
Pour plus d'informations sur le mappeur de point de terminaison RPC, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
154596 Comment faire pour configurer l'allocation de port dynamique RPC avec un pare-feu

Propriétés

Numéro d'article: 224196 - Dernière mise à jour: lundi 17 mai 2010 - Version: 12.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Mots-clés : 
kbenv kbinfo KB224196
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com