文章編號: 224196 - 上次校閱: 2010年4月9日 - 版次: 12.0

限制對特定的連接埠的 Active Directory 複寫流量和用戶端 RPC 流量

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

在預設情況下,Active Directory 複寫遠端程序呼叫 (RPC) 動態地上發生可用的連接埠透過 RPC 端點對應程式 (RPCSS) 使用的連接埠 135。這個處理程序是 Microsoft Exchange 中相同的程序。為在 Microsoft Exchange 系統管理員可以覆寫這項功能,並指定所有的 Active Directory RPC 流量通過該連接埠。此程序向下鎖定連接埠。

當您指定要使用登錄項目所述的 < 其他相關資訊 > 一節中使用的連接埠時,Active Directory 伺服器端的複寫流量和用戶端 RPC 流量會對這些連接埠傳送由端點對應程式。這種組態是可能的因為 Active Directory 所支援的所有 RPC 介面所有它正在接聽的連接埠上都執行。

附註本文並不表示透過防火牆就會發生複寫。額外的連接埠必須開啟,讓複寫透過防火牆運作。比方說額外的連接埠必須開啟 Kerberos 通訊協定。若要取得必要的連接埠的服務的完整清單跨越防火牆,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項下列文件:
832017? (http://support.microsoft.com/kb/832017/ ) 適用於 Windows 伺服器系統服務概觀與網路連接埠需求
回此頁最上方

其他相關資訊

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756? (http://support.microsoft.com/kb/322756/ ) 如何備份和還原在 Windows 登錄
當您連線到 RPC 結束點時,RPC Runtime 在用戶端連絡人知名連接埠 (135) 在伺服器上的 RPC 端點對應程式 (RPCSS),並取得連接埠來連線到支援所需的 RPC 介面的服務。這是假設用戶端並不知道完整的繫結。這是與所有 AD RPC 服務的情況。

它啟動,和具有動態指派連接埠或特定的連接埠的選擇時,服務會註冊一或多個端點。

如果您在下列項目中設定 Active Directory 及 Netlogon 在 「 連接埠 x 」 執行,這就會變成已註冊要使用端點對應程式中,除了標準的動態連接埠的連接埠。

使用 「 登錄編輯程式 」 來修改每個網域控制站上下列的值?使用受限制的連接埠的所在。成員伺服器不會視為登入伺服器。因此,NTDS 和 Netlogon 靜態連接埠設定並不會影響它們。
回此頁最上方

登錄機碼 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

登錄值: TCP/IP 連接埠
實值型別: REG_DWORD
值的資料: (可用的連接埠)
回此頁最上方

登錄機碼 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

登錄值: DCTcpipPort
實值型別: REG_DWORD
值的資料: (可用的連接埠)
使用 「 TCP/IP 連接埠 」 時執行在 Lsass.exe 中的所有 RPC 伺服器會都使用這個連接埠。這包括 Netlogon RPC 介面。因此,DCTcpipPort 」 設定值就不需要針對大部分的部署。我們建議當您有迫切的需求,以使用不同的連接埠從其他在 Lsass.exe 中執行的 RPC 介面時,將只 DCTcpipPort 」 設定。

系統管理員應該確認已啟用透過指定的連接埠通訊,是否任何中繼網路裝置或軟體用來篩選封包的網域控制站之間。

附註 當您使用 DCTcpipPort 登錄項目,並將它設定為相同的連接埠為 TCP/IP 連接埠登錄項目時,您會收到 NTDS\Parameters] 下的 Netlogon 錯誤事件 5809。這表示連接埠設定是使用中。在這種情況下,您應該移除 DCTcpipPort 登錄項目。您會收到相同的事件 (如果有一個唯一的連接埠,且您重新啟動 Netlogon 服務在網域控制站上。這是經過設計規劃,並發生的原因,是因為 RPC Runtime 負責管理其伺服器連接埠的方式。為 Netlogon 連接埠仍被登錄與執行階段甚至當您停止 Netlogon 服務。連接埠會用重新啟動之後,事件可以被略過。

經常,您必須手動設定檔案複寫服務 (FRS) RPC 連接埠因為 AD 並具有相同的網域控制站的 FRS 複寫複寫。檔案複寫服務 (FRS) RPC 連接埠應該使用不同的連接埠。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
319553? (http://support.microsoft.com/kb/319553/ ) 如何限制 FRS 複寫流量到特定的靜態連接埠

如果您要設定 Active Directory 複寫到超過所允許之 RPC 連接埠進行控制存取和透過防火牆的登入的範圍固定連接埠,複寫連接埠和動態 RPC 連接埠必須允許存取] 和 [登入防火牆上開啟。 這是因為登入的使用者對應使用複寫連接埠。

若要將 Active Directory 複寫設定為固定的連接埠,超過所允許之 RPC 連接埠的範圍。若要這麼做來控制存取和透過防火牆的登入。不過,有鑑於此,複寫和 Netlogon 通訊埠必須開啟防火牆上。這是因為登入程序的使用者對應使用複寫連接埠。
回此頁最上方
如需有關 RPC 端點對應程式,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
154596? (http://support.microsoft.com/kb/154596/ ) 如何設定 RPC 動態連接埠配置以使用防火牆
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
回此頁最上方
關鍵字:?
kbmt kbenv kbinfo KB224196 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:224196? (http://support.microsoft.com/kb/224196/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。