Restringir o tráfego de replicação do Active Directory e tráfego RPC do cliente para uma porta específica

Por predefinição, chamadas de procedimento remoto de replicação do Active Directory (RPC) ocorrem dinamicamente através de uma porta disponível através de RPC Endpoint mapeador (RPCSS) utilizando a porta 135. Este processo é o mesmo processo tal como no Microsoft Exchange. Como no Microsoft Exchange, um administrador pode substituir esta funcionalidade e especificar a porta que atravessa a todo o tráfego de Active Directory RPC. Este procedimento bloqueia a porta para baixo.

Quando especificar portas para utilizar utilizando as entradas de registo que são mencionadas na secção "Mais informação", o tráfego de replicação do lado do servidor do Active Directory e o tráfego RPC do cliente são enviadas para estas portas pelo mapeador de ponto final. Esta configuração é possível porque todas as interfaces RPC que são suportadas pelo Active Directory estão a ser executado em todas as portas em que está à escuta.

Nota Este artigo não implica que a replicação poderá ocorrer através de um firewall. Portas adicionais têm de ser abertas para efectuar a replicação funcionar através de um firewall. Por exemplo, portas adicionais têm de ser abertas para o protocolo Kerberos. Para obter uma lista completa das portas necessárias para os serviços através de uma firewall, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:

Importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft: Quando liga a um ponto final RPC, o tempo de execução RPC no cliente contacta o mapeador de ponto final RPC (RPCSS) no servidor num porto bem conhecidos (135) e obtém a porta para ligar a para o serviço de suporte pretendido interface RPC. Este comando assume que o cliente não sabe o enlace completo. Isto acontece com todos os serviços AD RPC.

O serviço regista um ou mais pontos finais quando é iniciado e tem a opção de uma porta atribuída dinamicamente ou uma porta específica.

Se configurar o Active Directory e Netlogon executar porto"x" como na seguinte entrada, torna-se as portas que são registadas com o mapeador de para além a porta dinâmica padrão.

Utilize o Editor de registo para modificar os seguintes valores em cada controlador de domínio em que as portas restritas devem ser utilizados. Os servidores membros não são considerados como servidores de início de sessão. Por conseguinte, atribui portas estáticas para NTDS e Netlogon não tem qualquer efeito sobre os mesmos.

Chave de registo 1

Chave de registo 2

Quando é utilizada "Porta TCP/IP", todos os servidores RPC que estão em execução no Lsass.exe utilizam esta porta. Isto inclui a interface RPC do Netlogon. Por conseguinte, a definição de "DCTcpipPort" não é necessário para a maioria das implementações. Recomendamos que defina apenas a definição de "DCTcpipPort" quando tiver um requisito urgente para utilizar uma porta diferente de outras interfaces RPC que executem o Lsass.exe.

Os administradores devem confirmar que a comunicação através da porta especificada é activada se todos os dispositivos de rede intermédio ou software é utilizado para filtrar pacotes entre os controladores de domínio.

Nota Quando utilizar a entrada de registo DCTcpipPort e defina-o para a mesma porta como entrada de registo a porta de TCP/IP, recebe eventos de erro Netlogon 5809 em NTDS\Parameters. Isto indica que a porta configurada está em utilização. Neste caso, deverá remover a entrada de registo DCTcpipPort. Recebe o mesmo evento, quando tem uma porta exclusiva e reiniciar o serviço Netlogon no controlador de domínio. Este comportamento ocorre por predefinição e ocorre devido à forma como o tempo de execução RPC gere respectivas portas do servidor. A porta para Netlogon ainda está a ser registada com o tempo de execução, mesmo quando pára o serviço Netlogon. A porta será utilizada após o reinício, e o evento pode ser ignorado.

Frequentemente, tem também de definir manualmente a porta RPC do serviço de replicação de ficheiros (FRS) porque AD e replicação de FRS replicam com os controladores de domínio do mesmo. A porta RPC do serviço de replicação de ficheiros (FRS) deve utilizar uma porta diferente.Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
Se estiver a definir a replicação do Active Directory para uma porta fixa fora do intervalo permitido para portas RPC para controlar o acesso e inícios de sessão através de um firewall, a porta de replicação e as portas RPC dinâmicas terão a ser aberto no firewall para permitir o acesso e inícios de sessão. Isto deve-se ao facto de início de sessão utiliza a porta de replicação para o mapeamento de utilizador.

Pode pretender definir a replicação do Active Directory a uma porta fixa fora do intervalo permitido para portas RPC. Poderá fazê-lo para controlar o acesso e inícios de sessão através de um firewall. No entanto, deste modo, a replicação e Netlogon porta têm de ser abertas no firewall. Isto acontece porque o processo de início de sessão utiliza a porta de replicação para o mapeamento de utilizador.