Limitazione del traffico di replica di Active Directory e del traffico RPC dei client a una porta specifica

Traduzione articoli Traduzione articoli
Identificativo articolo: 224196 - Visualizza i prodotti a cui si riferisce l?articolo.
Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema. Prima di modificare il Registro di sistema, assicurarsi di eseguirne una copia di backup e di sapere come ripristinarlo in caso di problemi. Per informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986 Descrizione del Registro di sistema di Microsoft Windows
Espandi tutto | Chiudi tutto

Sommario

Per impostazione predefinita, le chiamate di procedura remota (RPC) per la replica di Active Directory su RPC vengono eseguite in modo dinamico su una porta disponibile tramite il mapper di endpoint RPC (RPCSS) utilizzando la porta 135. Questo processo è esattamente uguale in Microsoft Exchange. Analogamente a Microsoft Exchange, un amministratore può ignorare questa funzionalità e specificare la porta attraverso la quale deve passare tutto il traffico RPC di Active Directory, bloccando in tal modo la porta.

Se si specifica una porta da utilizzare mediante la voce del Registro di sistema menzionata nella sezione "Informazioni", sia il traffico di replica sul lato server di Active Directory sia il traffico RPC dei client verrà inviato a questa porta dal mapper di endpoint. Questa configurazione è possibile perché tutte le interfacce RPC supportate da Active Directory sono in esecuzione su tutte le porte su cui è in ascolto.

Nota In questo articolo si suppone che la replica non passi attraverso un firewall. Per il funzionamento della replica attraverso un firewall devono essere aperte porte aggiuntive. Ad esempio, il protocollo Kerberos richiede l'apertura di porte aggiuntive. Per ottenere un elenco completo delle porte richieste per i servizi attraverso un firewall, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
832017 Panoramica dei servizi e requisiti per le porte di rete per il sistema server Windows

Informazioni

Avviso L'errata modifica del Registro di sistema tramite l'editor o un altro metodo può causare seri problemi, che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la soluzione di problemi derivanti dall'errato utilizzo dell'editor del Registro di sistema. La modifica del Registro di sistema è a rischio e pericolo dell'utente.

Quando ci si connette a un endpoint RPC, se il client non conosce il binding completo, come nel caso della replica DS, il run-time RPC sul client contatta il mapper di endpoint RPC (RPCSS) sul server alla porta nota (135) e ottiene la porta a cui connettersi per il servizio che supporta l'interfaccia RPC desiderata.

Il servizio registra l'endpoint all'avvio e può scegliere tra una porta assegnata dinamicamente o una porta specifica.

Se Active Directory viene configurato per l'esecuzione sulla "porta x", secondo la voce seguente, tale porta viene registrata nel mapper di endpoint.

Modificare mediante l'editor del Registro di sistema il valore seguente in ciascun controller di dominio in cui la porta limitata deve essere utilizzata:

Chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Valore del Registro di sistema: TCP/IP Port
Tipo valore: REG_DWORD
Dati valore: (porta disponibile)

Gli amministratori devono verificare che, qualora vengano utilizzate periferiche di rete intermedie o software per filtrare i pacchetti tra i controller di dominio, tali comunicazioni sulla porta specificata siano abilitate.

Spesso è inoltre necessario impostare manualmente la porta RPC del servizio Replica file perché Active Directory e il servizio Replica file eseguono la replica con gli stessi controller di dominio. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
319553 Limitazione del traffico di replica del servizio Replica file a una porta statica specifica

Se la replica di Active Directory viene impostata su una porta fissa esterna all'intervallo consentito per le porte RPC per il controllo degli accessi attraverso un firewall, la porta della replica e le porte RPC dinamiche dovranno essere aperte sul firewall per consentire gli accessi. Ciò avviene perché gli accessi utilizzano la porta della replica per mappare gli utenti.

Sebbene sia possibile impostare la replica di Active Directory su una porta fissa esterna all'intervallo consentito per le porte RPC per controllare gli accessi attraverso un firewall, è necessario in questo caso che la porta della replica e le porte RPC dinamiche siano aperte sul firewall in quanto gli accessi utilizzano la porta della replica per mappare gli utenti.
Per ulteriori informazioni sul mapper di endpoint RPC, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
154596 Configurazione dell'allocazione delle porte dinamiche RPC perché funzionino con i firewall

Proprietà

Identificativo articolo: 224196 - Ultima modifica: lunedì 23 aprile 2007 - Revisione: 7.1
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Chiavi: 
kbinfo kbenv KB224196
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com