Membatasi lalu lintas replikasi Active Directory dan klien RPC lalu lintas ke port tertentu

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 224196 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Secara default, Active Directory replikasi panggilan prosedur jauh (RPC) terjadi secara dinamis melalui port tersedia melalui RPC Endpoint Mapper (RPCSS) dengan menggunakan port 135. Proses ini adalah proses yang sama seperti di Microsoft Exchange. Di Microsoft Exchange, administrator dapat menggantikan fungsi ini dan menentukan port yang melewati semua lalu lintas RPC direktori aktif. Prosedur ini kunci pelabuhan ke.

Bila Anda menetapkan port untuk digunakan dengan menggunakan entri registri yang disebutkan di bagian "Informasi selengkapnya", lalu lintas replikasi sisi server Active Directory dan lalu lintas RPC klien dikirim ke port ini oleh endpoint mapper. Konfigurasi ini dimungkinkan karena semua RPC interface yang didukung oleh Active Directory yang berjalan pada semua port yang mendengarkan.

Catatan Artikel ini tidak berarti bahwa replikasi dapat terjadi melalui firewall. Tambahan port harus dibuka untuk membuat replikasi yang bekerja melalui firewall. Sebagai contoh, port tambahan harus dibuka untuk protokol Kerberos. Untuk mendapatkan daftar lengkap dari pelabuhan diperlukan untuk layanan di firewall, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
832017 Layanan ikhtisar dan pelabuhan persyaratan jaringan untuk sistem Windows Server

INFORMASI LEBIH LANJUT

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri di Windows
Bila Anda terhubung ke RPC endpoint, runtime RPC pada klien kontak RPC endpoint mapper (RPCSS) di server di pelabuhan terkenal (135) dan memperoleh port untuk menghubungkan ke layanan pendukung diinginkan RPC interface. Ini mengasumsikan bahwa klien tidak tahu mengikat lengkap. Hal ini terjadi dengan semua iklan RPC Layanan.

Layanan mendaftar satu atau lebih Endpoint ketika itu dimulai, dan memiliki pilihan secara dinamis ditugaskan port atau port tertentu.

Jika Anda mengkonfigurasi Active Directory dan Netlogon untuk menjalankan pada "pelabuhan x" sebagai dalam entri berikut, ini menjadi pelabuhan yang terdaftar dengan mapper endpoint selain untuk standar port dinamis.

Menggunakan Peninjau Suntingan Registri untuk mengubah nilai-nilai berikut pada kontroler domain masing-masing di mana port terbatas yang digunakan. Anggota server tidak dianggap sebagai server masuk. Oleh karena itu, pelabuhan statis assigment untuk NTDS dan Netlogon tidak berpengaruh pada mereka.

Kunci registri 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Nilai registri: TCP/IP Port
Jenis nilai: REG_DWORD
Nilai data: (port tersedia)

Kunci registri 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Nilai registri: DCTcpipPort
Jenis nilai: REG_DWORD
Nilai data: (port tersedia)

Administrator harus mengkonfirmasi bahwa komunikasi pelabuhan tertentu diaktifkan jika perangkat jaringan menengah atau perangkat lunak yang digunakan untuk menyaring paket antara pengontrol domain.

CatatanKetika Anda menggunakan entri registri DCTcpipPort, dan Anda menetapkan ke port yang sama sebagai entri registri TCP/IP Port, Anda menerima Netlogon peristiwa galat 5809 di bawah NTDS\Parameters. Hal ini menunjukkan bahwa port dikonfigurasi digunakan. Dalam kasus ini, Anda harus menghapus entri registri DCTcpipPort. Anda akan menerima acara yang sama ketika Anda memiliki pelabuhan yang unik, dan Anda me-restart layanan Netlogon pada domain controller. Ini adalah oleh desain, dan terjadi karena cara RPC runtime mengelola port server. Port untuk Netlogon masih menjadi terdaftar dengan runtime, bahkan ketika Anda berhenti layanan Netlogon. Pelabuhan akan digunakan setelah restart, dan acara dapat diabaikan.

Sering, Anda harus juga secara manual mengatur port RPC Layanan Replikasi File (FRS) karena iklan dan FRS replikasi meniru dengan pengontrol Domain yang sama. Pelabuhan RPC Layanan Replikasi File (FRS) harus menggunakan port lain.Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
319553Cara untuk membatasi lalu lintas replikasi FRS statis port tertentu

Jika Anda menetapkan replikasi Active Directory ke port tetap di luar kisaran yang diizinkan untuk RPC port untuk kontrol akses dan login melalui firewall, replikasi port dan port RPC dinamis akan harus dibuka pada firewall untuk mengizinkan akses dan login. Hal ini karena masuk menggunakan Port replikasi untuk pengguna pemetaan.

Anda mungkin ingin mengatur replikasi Active Directory ke port tetap di luar kisaran yang diizinkan untuk RPC port. Anda mungkin ingin melakukan ini untuk mengontrol akses dan login melalui firewall. Namun, karena dari ini, replikasi dan Netlogon port harus dibuka pada firewall. Hal ini karena proses logon menggunakan Port replikasi untuk pengguna pemetaan.
Untuk informasi lebih lanjut tentang RPC Endpoint Mapper, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
154596Cara mengkonfigurasi RPC dinamis pelabuhan alokasi untuk bekerja dengan firewall

Properti

ID Artikel: 224196 - Kajian Terakhir: 19 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Kata kunci: 
kbenv kbinfo kbmt KB224196 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:224196

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com