Restringir o tráfego de replicação do Active Directory e o tráfego RPC do cliente para uma porta específica

Por padrão, chamadas de procedimento remoto de replicação do Active Directory (RPC) são ocorrer dinamicamente, por meio de uma porta disponível por meio de RPC Endpoint Mapper (RPCSS) usando a porta 135. Esse processo é o mesmo processo como no Microsoft Exchange. Como no Microsoft Exchange, um administrador pode substituir essa funcionalidade e especificar a porta que o Active Directory RPC todo o tráfego passa. Este procedimento bloqueia a porta.

Quando você especifica as portas para usar usando as entradas do Registro mencionadas na seção "Informações adicionais", do tráfego de replicação de servidor do Active Directory e o tráfego RPC do cliente são enviados a essas portas pelo mapeador de ponto de extremidade. Essa configuração é possível porque todas as interfaces RPC que são suportadas pelo Active Directory estão sendo executados em todas as portas nas quais está escutando.

Observação: Este artigo não implica que a replicação pode ocorrer por meio de um firewall. Portas adicionais devem ser abertas para fazer a replicação funcionar através de um firewall. Por exemplo, portas adicionais devem ser abertas para o protocolo Kerberos. Para obter uma lista completa das portas necessárias para os serviços em um firewall, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Importante Nesta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de seguir estas etapas cuidadosamente. Para obter mais proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Quando você se conecta a um ponto de extremidade RPC, o tempo de execução RPC no cliente contata o mapeador de ponto de extremidade RPC (RPCSS) no servidor em uma porta conhecida (135) e obtém a porta usada para conexão para o serviço com suporte à interface RPC desejado. Isso pressupõe que o cliente não sabe a vinculação concluída. Esse é o caso com todos os serviços de RPC do AD.

O serviço registra um ou mais pontos de extremidade quando ele inicia e tem a opção de uma porta dinamicamente atribuída ou uma porta específica.

Se você configurar o Active Directory e logon de rede para ser executada em "port x" como na seguinte entrada, isso se torna as portas que são registradas com o mapeador de ponto de extremidade em conjunto com a porta dinâmica padrão.

Use o Editor do registro para modificar os seguintes valores em cada controlador de domínio em que portas restritas devem ser usados. Servidores membros não são considerados servidores de logon. Portanto, atribuição de porta estática para NTDS e Netlogon não tem efeito sobre eles.

Chave do Registro 1

Chave de registro 2

Quando "TCP/IP Port" é usado, todos os servidores RPC que estão executando em Lsass.exe utilizam esta porta. Isso inclui a interface RPC de Netlogon. Portanto, a configuração "DCTcpipPort" não é necessária para a maioria das implantações. Recomendamos que você defina a configuração de "DCTcpipPort" quando você tem uma necessidade urgente para usar uma porta diferente das outras interfaces RPC que estão sendo executados no Lsass.exe.

Os administradores devem confirmar se a comunicação na porta especificada está ativada se algum software ou dispositivos de rede intermediário é usado para filtrar pacotes entre os controladores de domínio.

Observação: Ao usar a entrada de registro DCTcpipPort e defini-la como a mesma porta que a entrada do registro de porta TCP/IP, você recebe o evento de erro Netlogon 5809 em NTDS\Parameters. Isso indica que a porta configurada está em uso. Nesse caso, você deve remover a entrada de registro DCTcpipPort. Você receberá o mesmo evento quando você tem uma porta exclusiva e reiniciar o serviço Netlogon no controlador de domínio. Isso é próprio do projeto e ocorre devido a maneira como o tempo de execução RPC gerencia suas portas de servidor. A porta para logon de rede ainda está sendo registrada com o tempo de execução, mesmo quando você pára o serviço Netlogon. A porta será usada após a reinicialização e o evento pode ser ignorado.

Freqüentemente, você deve também definir manualmente a porta RPC do serviço de duplicação de arquivos (FRS) porque o AD e replicar de replicação FRS com os mesmos controladores de domínio. A porta RPC do serviço de duplicação de arquivos (FRS) deve usar uma porta diferente.Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
Se você estiver configurando a replicação do Active Directory para uma porta fixa fora do intervalo permitido para portas RPC para controlar o acesso e logons através de um firewall, a porta de replicação e as portas RPC dinâmicas terá que ser abertas no firewall para permitir o acesso e logons. Isso ocorre porque o logon usa a porta de replicação para mapeamento de usuário.

Convém definir a replicação do Active Directory para uma porta fixa fora do intervalo permitido para as portas RPC. Convém fazer isso para controle do acesso e logons através de um firewall. No entanto, assim, a replicação e a porta de logon de rede devem ser abertas no firewall. Isso ocorre porque o processo de logon usa a porta de replicação para mapeamento de usuário.