Restringir o tráfego de replicação do Active Directory e tráfego RPC do cliente para uma porta específica

Traduções de Artigos Traduções de Artigos
Artigo: 224196 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Por predefinição, chamadas de procedimento remoto de replicação do Active Directory (RPC) ocorrem dinamicamente através de uma porta disponível através de RPC Endpoint mapeador (RPCSS) utilizando a porta 135. Este processo é o mesmo processo tal como no Microsoft Exchange. Como no Microsoft Exchange, um administrador pode substituir esta funcionalidade e especificar a porta que atravessa a todo o tráfego de Active Directory RPC. Este procedimento bloqueia a porta para baixo.

Quando especificar portas para utilizar utilizando as entradas de registo que são mencionadas na secção "Mais informação", o tráfego de replicação do lado do servidor do Active Directory e o tráfego RPC do cliente são enviadas para estas portas pelo mapeador de ponto final. Esta configuração é possível porque todas as interfaces RPC que são suportadas pelo Active Directory estão a ser executado em todas as portas em que está à escuta.

Nota Este artigo não implica que a replicação poderá ocorrer através de um firewall. Portas adicionais têm de ser abertas para efectuar a replicação funcionar através de um firewall. Por exemplo, portas adicionais têm de ser abertas para o protocolo Kerberos. Para obter uma lista completa das portas necessárias para os serviços através de uma firewall, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
832017Descrição geral do serviço e requisitos de portas para o Windows Server system de rede

Mais Informação

Importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows
Quando liga a um ponto final RPC, o tempo de execução RPC no cliente contacta o mapeador de ponto final RPC (RPCSS) no servidor num porto bem conhecidos (135) e obtém a porta para ligar a para o serviço de suporte pretendido interface RPC. Este comando assume que o cliente não sabe o enlace completo. Isto acontece com todos os serviços AD RPC.

O serviço regista um ou mais pontos finais quando é iniciado e tem a opção de uma porta atribuída dinamicamente ou uma porta específica.

Se configurar o Active Directory e Netlogon executar porto"x" como na seguinte entrada, torna-se as portas que são registadas com o mapeador de para além a porta dinâmica padrão.

Utilize o Editor de registo para modificar os seguintes valores em cada controlador de domínio em que as portas restritas devem ser utilizados. Os servidores membros não são considerados como servidores de início de sessão. Por conseguinte, atribui portas estáticas para NTDS e Netlogon não tem qualquer efeito sobre os mesmos.

Chave de registo 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Valor de registo: porta de TCP/IP
Tipo de valor: REG_DWORD
Dados do valor: (porta disponível)

Chave de registo 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valor de registo: DCTcpipPort
Tipo de valor: REG_DWORD
Dados do valor: (porta disponível)
Quando é utilizada "Porta TCP/IP", todos os servidores RPC que estão em execução no Lsass.exe utilizam esta porta. Isto inclui a interface RPC do Netlogon. Por conseguinte, a definição de "DCTcpipPort" não é necessário para a maioria das implementações. Recomendamos que defina apenas a definição de "DCTcpipPort" quando tiver um requisito urgente para utilizar uma porta diferente de outras interfaces RPC que executem o Lsass.exe.

Os administradores devem confirmar que a comunicação através da porta especificada é activada se todos os dispositivos de rede intermédio ou software é utilizado para filtrar pacotes entre os controladores de domínio.

Nota Quando utilizar a entrada de registo DCTcpipPort e defina-o para a mesma porta como entrada de registo a porta de TCP/IP, recebe eventos de erro Netlogon 5809 em NTDS\Parameters. Isto indica que a porta configurada está em utilização. Neste caso, deverá remover a entrada de registo DCTcpipPort. Recebe o mesmo evento, quando tem uma porta exclusiva e reiniciar o serviço Netlogon no controlador de domínio. Este comportamento ocorre por predefinição e ocorre devido à forma como o tempo de execução RPC gere respectivas portas do servidor. A porta para Netlogon ainda está a ser registada com o tempo de execução, mesmo quando pára o serviço Netlogon. A porta será utilizada após o reinício, e o evento pode ser ignorado.

Frequentemente, tem também de definir manualmente a porta RPC do serviço de replicação de ficheiros (FRS) porque AD e replicação de FRS replicam com os controladores de domínio do mesmo. A porta RPC do serviço de replicação de ficheiros (FRS) deve utilizar uma porta diferente.Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
319553Como restringir o tráfego de replicação de FRS para uma porta estática específica

Se estiver a definir a replicação do Active Directory para uma porta fixa fora do intervalo permitido para portas RPC para controlar o acesso e inícios de sessão através de um firewall, a porta de replicação e as portas RPC dinâmicas terão a ser aberto no firewall para permitir o acesso e inícios de sessão. Isto deve-se ao facto de início de sessão utiliza a porta de replicação para o mapeamento de utilizador.

Pode pretender definir a replicação do Active Directory a uma porta fixa fora do intervalo permitido para portas RPC. Poderá fazê-lo para controlar o acesso e inícios de sessão através de um firewall. No entanto, deste modo, a replicação e Netlogon porta têm de ser abertas no firewall. Isto acontece porque o processo de início de sessão utiliza a porta de replicação para o mapeamento de utilizador.
Para obter mais informações sobre o mapeador de pontos finais RPC, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
154596Como configurar a atribuição dinâmica de portas RPC para trabalhar com firewalls

Propriedades

Artigo: 224196 - Última revisão: 9 de abril de 2010 - Revisão: 12.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palavras-chave: 
kbmt kbenv kbinfo KB224196 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 224196

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com