Microsoft Dağıtılmış İşlem Düzenleyicisi'nin (DTC) güvenlik duvarı üzerinden çalışacak şekilde yapılandırılması

Bu makalede, Microsoft Dağıtılmış İşlem Düzenleyicisi'nin (DTC) güvenlik duvarları üzerinden çalışacak şekilde nasıl yapılandırıldığı açıklanır.

Şunlar için geçerlidir: Windows 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
Özgün KB numarası: 250367

Daha fazla bilgi

DTC'yi ağ adresi çevirisi güvenlik duvarları da dahil olmak üzere güvenlik duvarları üzerinden iletişim kuracak şekilde yapılandırabilirsiniz.

DTC, varsayılan olarak Uzak Yordam Çağrısı (RPC) dinamik bağlantı noktası ayırmayı kullanır. RPC dinamik bağlantı noktası ayırma, 49152-65535 aralığındaki bağlantı noktası numaralarını rastgele seçer. Kayıt defterini değiştirerek RPC'nin gelen iletişim için dinamik olarak ayırdığı bağlantı noktalarını denetleyebilirsiniz. Daha sonra güvenlik duvarınızı gelen dış iletişimi yalnızca bu bağlantı noktaları ve 135 numaralı bağlantı noktasıyla (RPC Uç Nokta Eşleştiricisi bağlantı noktası) sınırlandıracak şekilde yapılandırabilirsiniz. Bağlantı noktasının tükenmesini önlemek ve yalnızca güvenlik duvarları bilgisayarda veya IP'lerde filtrelenemediğinde özel RPC bağlantı noktalarına geçmek için DTC hizmetleri için sabit bağlantı noktası veya güvenlik duvarlarında varsayılan dinamik 49152-65535 aralığının kullanılması önerilir.

Bir yerel DTC örneğiniz ve birden çok kümelenmiş DTC örneğiniz olabilir. RPC kullanan diğer alt sistemler için daha fazla gelen dinamik bağlantı noktası sağlamanız gerekebilir, bu nedenle DTC hizmetleri için sabit bağlantı noktası kullansanız bile varsayılan RPC aralığını korumanız önerilir.

Bu makalede açıklanan kayıt defteri anahtarları ve değerleri varsayılan olarak kayıt defterinde görünmez; bunları Kayıt Defteri Düzenleyici kullanarak eklemeniz gerekir.

DTC'yi tek bir sabit bağlantı noktası kullanacak şekilde yapılandırma

DTC için sabit bağlantı noktası ayarlamak üzere DTC işlemlerine katılan bilgisayarlarda bu adımları izleyin. Güvenlik duvarı, sabit bağlantı noktası ve 135 numaralı bağlantı noktası (RPC Uç Nokta Eşleyici bağlantı noktası) için her iki yönde açık olmalıdır:

1. Kayıt defteri Düzenleyici başlatmak için Başlat'ı seçin, Çalıştır'ı seçin, regedt32 yazın ve ardından Tamam'ı seçin.
2. Kayıt Defteri Düzenleyici Yerel Makine penceresinde HKEY_LOCAL_MACHINE seçin.
3. Yolda adlı HKEY_LOCAL_MACHINE\Software\Microsoft\MSDTC klasörleri çift seçerek ağacı genişletin.
4. MSDTC klasörünü seçin ve ardından Düzenle menüsünde Yeni > DWORD (32 bit) Değeri'ni seçin.
5. Ad değerini ServerTcpPort olarak değiştirin.
6. Sağ tıklayın ve yeni değerde Değiştir'i seçin.
7. Değer Düzenleyici iletişim kutusunda Ondalık'ı seçin ve sabit bağlantı noktası numaranızı (örneğin, 40001) Değer verileri alanına yazın ve ardından Tamam'ı seçin.

Kümelenmiş DTC örnekleri için sabit bağlantı noktasını yapılandırmak için küme kaynağı GUID'sini bulmanız ve bu konumun altına ServerTcpPort değerini eklemeniz gerekir. Her DTC örneği için farklı bağlantı noktası numarası kullanın. Örneğin, DTC kaynak GUID'niz 012345678-9abc-def0-1234-56789abcdef0 ise, şu yolda olur: HKEY_LOCAL_MACHINE\Cluster\Resources\012345678-9abc-def0-1234-56789abcdef0\MSDTCPRIVATE\MSDTC. Ek DTC kümelenmiş kaynakları için adımları yineleyin.

Alternatif olarak, bu işlemi yapmak için yönetici ayrıcalıklarına sahip betiklerdeki komutları kullanabilirsiniz reg add . Kümelenmiş DTC örneği kullanılıyorsa aşağıdaki örneği belirli küme GUID'nize ayarlayın:

reg add HKLM\SOFTWARE\Microsoft\MSDTC /v ServerTcpPort /t REG_DWORD /d 40001 /f
reg add HKLM\Cluster\Resources\012345678-9abc-def0-1234-56789abcdef0\MSDTCPRIVATE\MSDTC /v ServerTcpPort /t REG_DWORD /d 40002 /f

RPC'yi müşteri bağlantı noktası aralığını kullanacak şekilde yapılandırma

Güvenlik duvarlarının RPC dinamik bağlantı noktası ayırmayı denetlemek için tam iletişimi önlediği DTC işlemlerine katılan bilgisayarlarda bu adımları izleyin. Güvenlik duvarı belirtilen bağlantı noktaları ve 135 numaralı bağlantı noktası (RPC Uç Noktası Eşleyici bağlantı noktası) için her iki yönde açık olmalıdır:

1. Kayıt defteri Düzenleyici başlatmak için Başlat'ı seçin, Çalıştır'ı seçin, regedt32 yazın ve ardından Tamam'ı seçin.

   Regedit.exe yerine Regedt32.exe kullanın. Regedit.exe, Bağlantı Noktaları değeri için gereken REG_MULTI_SZ veri türünü desteklemez.

2. Kayıt Defteri Düzenleyici Yerel Makine penceresinde HKEY_LOCAL_MACHINE seçin.

3. Yolda adlı HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc klasörleri çift seçerek ağacı genişletin.

4. RPC klasörünü seçin ve ardından Düzenle menüsünde Anahtar Ekle'yi seçin.

5. Anahtar Ekle iletişim kutusundaki Anahtar Adı kutusuna İnternet yazın ve Tamam'ı seçin.

6. İnternet klasörünü seçin ve ardından Düzenle menüsünde Değer Ekle'yi seçin.

7. Değer Ekle iletişim kutusundaki Değer Adı kutusuna Bağlantı Noktaları yazın.

8. Veri Türü kutusunda REG_MULTI_SZ ve ardından Tamam'ı seçin.

9. Çok Dizeli Düzenleyici iletişim kutusundaki Veri kutusunda, RPC'nin dinamik bağlantı noktası ayırması için kullanmasını istediğiniz bağlantı noktasını veya bağlantı noktalarını belirtin ve ardından Tamam'ı seçin.

   Yazdığınız her dize değeri tek bir bağlantı noktasını veya kapsayıcı bir bağlantı noktası aralığını belirtir. Örneğin, 40000 numaralı bağlantı noktasını açmak için tırnak işaretleri olmadan 40000 belirtin. 40000 ile 42000 (dahil) bağlantı noktalarını açmak için tırnak işaretleri olmadan 40000-42000 belirtin. Satır başına bir bağlantı noktası veya bağlantı noktası aralığı belirterek birden çok bağlantı noktası veya bağlantı noktası aralığı belirtebilirsiniz. Tüm bağlantı noktaları 1024 ile 65535 arasında olmalıdır. Herhangi bir bağlantı noktası bu aralığın dışındaysa veya herhangi bir dize geçersizse, RPC tüm yapılandırmayı geçersiz olarak ele alır.

   Daha düşük bağlantı noktaları genellikle diğer uygulamalar tarafından kullanılabildiğinden ve bağlantı noktası tükenmesini önlemek için en az 1000 bağlantı noktası açtığınızdan, Microsoft 20000 ve üstü bağlantı noktalarını açmanızı önerir. Yüksek yük sistemlerinde daha fazla bağlantı noktası gerekebilir. Varsayılan aralık olan 1024-5000, bağlantı noktası tükenmesini önlemek için Windows 2008 ve üzerinde 49152-65535 aralığına taşındı.

10. Şu değerleri kullanarak İnternet için başka bir anahtar eklemek için 6 ile 9 arası adımları izleyin:

    Değer: PortsInternetAvailable
    Veri Türü: REG_SZ
    Veri: Y

    Bu değer, Bağlantı Noktaları değeri altında listelenen bağlantı noktalarının İnternet'e uygun hale getirileceğine işaret ediyor.

11. Şu değerleri kullanarak İnternet için başka bir anahtar eklemek için 6 ile 9 arası adımları izleyin:

    Değer: UseInternetPorts
    Veri Türü: REG_SZ
    Veri: Y

    Bu değer, RPC'nin İnternet bağlantı noktaları listesinden bağlantı noktalarını dinamik olarak ataması gerektiğini gösterir.

12. Güvenlik duvarınızı belirtilen dinamik bağlantı noktalarına ve 135 numaralı bağlantı noktasına (RPC Endpoint Mapper bağlantı noktası) gelen erişime izin verecek şekilde yapılandırın.

13. Bilgisayarınızı yeniden başlatın. RPC yeniden başlatıldığında, belirttiğiniz kayıt defteri değerlerine göre gelen bağlantı noktalarını dinamik olarak atar. Örneğin, 40000 ile 42000 (dahil) arasında bağlantı noktalarını açmak için şu adlandırılmış değerleri oluşturun:

    Bağlantı noktaları : REG_MULTI-SZ : 40000-42000
    PortsInternetAvailable : REG_SZ : Y
    UseInternetPorts : REG_SZ : Y

DTC ayrıca bilgisayar adlarını NetBIOS veya DNS yoluyla çözümleyebilmenizi gerektirir. NIC özelliklerinde NetBIOS'un etkinleştirilip etkinleştirilmediğini denetleyin ve NetBIOS'un ping ve sunucu adını kullanarak adları çözümleyip çözümleyemediğini test edin. İstemci bilgisayarın sunucunun adını çözümleyebilmesi gerekir. Sunucunun istemcinin adını çözümleyebilmesi gerekir. NetBIOS adları çözümleyemiyorsa, bilgisayarlardaki LMHOSTS dosyalarına girdiler ekleyin.