将 Active Directory 复制流量限制在特定端口

文章翻译 文章翻译
文章编号: 224196 - 查看本文应用于的产品
重要说明:本文包含有关如何修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在出现问题时如何还原注册表。有关如何备份、还原和修改注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
展开全部 | 关闭全部

概要

默认情况下,通过 RPC(远程过程调用)的 Active Directory 复制与 Microsoft Exchange 相同,都是经由使用端口 135 的 RPC 终结点映射器 (RPCSS),通过可用端口动态进行的。与 Microsoft Exchange 一样,管理员可以覆盖此功能,并指定所有复制流量通过的端口,从而锁定此端口。

在使用下文提及的注册表项指定用于复制的端口时,客户端还可以连接到所需的 RPC 接口,以进行身份验证和获取域信息。之所以能够这么做,是因为受 Active Directory 支持的所有 RPC 接口都在其监听的所有端口上运行。

注意:本文并不暗示可以通过防火墙进行复制。例如,必须开放多个端口,Kerberos 等才能工作。如果您需要这样做,请使用虚拟专用网络。

更多信息

警告:如果使用注册表编辑器或其他方法错误地修改了注册表,则可能导致严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。

连接到某个 RPC 终结点时,假定客户端不知道完整绑定(DS 复制就属于这种情况),客户端上的 RPC 运行时会在已知的端口 (135) 上联系服务器上的 RPC 终结点映射器 (RPCSS),并获得该端口以连接到支持所需 RPC 接口的服务。

服务启动时会注册终结点,并且可以选择是使用动态分配的端口还是使用特定端口。

如果您根据下面的条目将 Active Directory 配置为在“端口 x”上运行,此端口将成为注册终结点映射器的端口。

使用注册表编辑器,修改将使用受限端口的每个域控制器上的以下值:

注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
注册表值:TCP/IP Port
数值类型:REG_DWORD
数值数据:(可用端口)

管理员应确认,是否使用任何中间网络设备或软件来筛选域控制器之间的数据包,以及是否允许通过指定端口进行通信。

通常,还必须手动设置文件复制服务 (FRS) RPC 端口,因为 AD 和 FRS 复制使用相同的域控制器进行复制。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
319553 如何限制特定静态端口的 FRS 复制流量

如果将 Active Directory 复制设置为允许 RPC 使用的端口范围之外的固定端口,以便通过防火墙控制访问和登录,则必须在防火墙上打开复制端口和动态 RPC 端口,以允许访问和登录。这是因为登录过程使用复制端口进行用户映射。

您可能希望将 Active Directory 复制设置为允许 RPC 使用的端口范围之外的固定端口,以便通过防火墙控制访问和登录。不过,如果这样做,就必须在防火墙上打开复制端口和动态 RPC 端口。这是因为登录过程使用复制端口进行用户映射。
有关 RPC 终结点映射程序的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
154596 如何配置与防火墙一起使用的 RPC 动态端口分配

属性

文章编号: 224196 - 最后修改: 2006年5月25日 - 修订: 6.2
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
关键字:?
kbinfo kbenv KB224196
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com