Restringir o tráfego de replicação do Active Directory e o tráfego RPC do cliente para uma porta específica

Traduções deste artigo Traduções deste artigo
ID do artigo: 224196 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Por padrão, chamadas de procedimento remoto de replicação do Active Directory (RPC) são ocorrer dinamicamente, por meio de uma porta disponível por meio de RPC Endpoint Mapper (RPCSS) usando a porta 135. Esse processo é o mesmo processo como no Microsoft Exchange. Como no Microsoft Exchange, um administrador pode substituir essa funcionalidade e especificar a porta que o Active Directory RPC todo o tráfego passa. Este procedimento bloqueia a porta.

Quando você especifica as portas para usar usando as entradas do Registro mencionadas na seção "Informações adicionais", do tráfego de replicação de servidor do Active Directory e o tráfego RPC do cliente são enviados a essas portas pelo mapeador de ponto de extremidade. Essa configuração é possível porque todas as interfaces RPC que são suportadas pelo Active Directory estão sendo executados em todas as portas nas quais está escutando.

Observação: Este artigo não implica que a replicação pode ocorrer por meio de um firewall. Portas adicionais devem ser abertas para fazer a replicação funcionar através de um firewall. Por exemplo, portas adicionais devem ser abertas para o protocolo Kerberos. Para obter uma lista completa das portas necessárias para os serviços em um firewall, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
832017Visão geral de serviço e requisitos de porta para o sistema do Windows Server de rede

Mais Informações

Importante Nesta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de seguir estas etapas cuidadosamente. Para obter mais proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer backup e restaurar o registro no Windows
Quando você se conecta a um ponto de extremidade RPC, o tempo de execução RPC no cliente contata o mapeador de ponto de extremidade RPC (RPCSS) no servidor em uma porta conhecida (135) e obtém a porta usada para conexão para o serviço com suporte à interface RPC desejado. Isso pressupõe que o cliente não sabe a vinculação concluída. Esse é o caso com todos os serviços de RPC do AD.

O serviço registra um ou mais pontos de extremidade quando ele inicia e tem a opção de uma porta dinamicamente atribuída ou uma porta específica.

Se você configurar o Active Directory e logon de rede para ser executada em "port x" como na seguinte entrada, isso se torna as portas que são registradas com o mapeador de ponto de extremidade em conjunto com a porta dinâmica padrão.

Use o Editor do registro para modificar os seguintes valores em cada controlador de domínio em que portas restritas devem ser usados. Servidores membros não são considerados servidores de logon. Portanto, atribuição de porta estática para NTDS e Netlogon não tem efeito sobre eles.

Chave do Registro 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Valor do registro: porta TCP/IP
Tipo de valor: REG_DWORD
Dados do valor: (porta disponível)

Chave de registro 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valor do registro: DCTcpipPort
Tipo de valor: REG_DWORD
Dados do valor: (porta disponível)
Quando "TCP/IP Port" é usado, todos os servidores RPC que estão executando em Lsass.exe utilizam esta porta. Isso inclui a interface RPC de Netlogon. Portanto, a configuração "DCTcpipPort" não é necessária para a maioria das implantações. Recomendamos que você defina a configuração de "DCTcpipPort" quando você tem uma necessidade urgente para usar uma porta diferente das outras interfaces RPC que estão sendo executados no Lsass.exe.

Os administradores devem confirmar se a comunicação na porta especificada está ativada se algum software ou dispositivos de rede intermediário é usado para filtrar pacotes entre os controladores de domínio.

Observação: Ao usar a entrada de registro DCTcpipPort e defini-la como a mesma porta que a entrada do registro de porta TCP/IP, você recebe o evento de erro Netlogon 5809 em NTDS\Parameters. Isso indica que a porta configurada está em uso. Nesse caso, você deve remover a entrada de registro DCTcpipPort. Você receberá o mesmo evento quando você tem uma porta exclusiva e reiniciar o serviço Netlogon no controlador de domínio. Isso é próprio do projeto e ocorre devido a maneira como o tempo de execução RPC gerencia suas portas de servidor. A porta para logon de rede ainda está sendo registrada com o tempo de execução, mesmo quando você pára o serviço Netlogon. A porta será usada após a reinicialização e o evento pode ser ignorado.

Freqüentemente, você deve também definir manualmente a porta RPC do serviço de duplicação de arquivos (FRS) porque o AD e replicar de replicação FRS com os mesmos controladores de domínio. A porta RPC do serviço de duplicação de arquivos (FRS) deve usar uma porta diferente.Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
319553Como restringir o tráfego de duplicação FRS a uma porta estática específica

Se você estiver configurando a replicação do Active Directory para uma porta fixa fora do intervalo permitido para portas RPC para controlar o acesso e logons através de um firewall, a porta de replicação e as portas RPC dinâmicas terá que ser abertas no firewall para permitir o acesso e logons. Isso ocorre porque o logon usa a porta de replicação para mapeamento de usuário.

Convém definir a replicação do Active Directory para uma porta fixa fora do intervalo permitido para as portas RPC. Convém fazer isso para controle do acesso e logons através de um firewall. No entanto, assim, a replicação e a porta de logon de rede devem ser abertas no firewall. Isso ocorre porque o processo de logon usa a porta de replicação para mapeamento de usuário.
Para obter mais informações sobre o mapeador de ponto de extremidade RPC, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
154596Como configurar a alocação de porta dinâmica da RPC para funcionar com os firewalls

Propriedades

ID do artigo: 224196 - Última revisão: sexta-feira, 9 de abril de 2010 - Revisão: 12.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palavras-chave: 
kbmt kbenv kbinfo KB224196 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 224196

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com