كيفية تكوين تخصيص المنفذ الحيوي لـ "استدعاء إجراء عن بُعد" للعمل مع جُدر الحماية

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

هام تتضمن هذه المقالة معلومات حول كيفية تعديل السجل. تأكد من عمل نسخة احتياطية من السجل قبل تعديله. وتأكد أيضًا من معرفة كيفية استعادته في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته وتعديله، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
256986 معلومات سجل Windows للمستخدمين المتقدمين
الموجز
يتم استخدام تخصيص المنفذ الحيوي لبروتوكول استدعاء الإجراء عن بُعد (RPC) بواسطة تطبيقات الإدارة عن بُعد مثل إدارة بروتوكول تكوين المضيف الحيوي (DHCP) وإدارة خدمة تحليل أسماء إنترنت لـ Windows‏ (WINS) وخلافه. يقوم تخصيص المنفذ الحيوي لـ "استدعاء إجراء عن بُعد" بتوجيه تعليمات إلى برنامج "استدعاء إجراء عن بُعد" لاستخدام منفذ عشوائي معين أعلى من 1024.

قد يرغب العملاء الذين يستخدمون جُدر الحماية في التحكم في المنافذ التي يستخدمها "استدعاء إجراء عن بُعد" حتى يمكن تكوين جهاز توجيه جدار الحماية الخاص بهم لإعادة توجيه منافذ بروتوكول التحكم بالإرسال (TCP) هذه فقط.

تسمح العديد من الملقمات من نوع "استدعاء إجراء عن بُعد" في أنظمة التشغيل Windows بتحديد منفذ الملقم. عندما تتمكن من تحديد منفذ ملقم مخصص، ستتمكن من معرفة البيانات التي تتدفق بين المضيفين عبر جدار الحماية، وتحديد أي نوع من أنواع نقل البيانات مسموح به أكثر من غيره. يمكن العثور على قائمة شاملة بمنافذ "الملقمات" المستخدمة في أنظمة تشغيل Windows وأهم منتجات Microsoft في مقالة "قاعدة معارف Microsoft" رقم ٨٣٢٠١٧. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
832017 نظرة عامة على الخدمة ومتطلبات منفذ الشبكة الخاص بنظام Windows Server
تسرد هذه المقالة أيضًا ملقمات "استدعاء إجراء عن بُعد" وأي من هذه الملقمات يمكن تكوينها لاستخدام منافذ ملقمات مخصصَّة بعد التسهيلات التي يقدمها بروتوكول "استدعاء إجراء عن بُعد". لا تستخدم الطريقة الموضحة في هذه المقالة ما لم يعرض ملقم "استدعاء إجراء عن بُعد" طريقة لتحديد منفذ الملقم.

تنطبق إدخالات التسجيل التالية على نظام التشغيل Windows NT 4.0 والإصدارات التالية. لكنها لا تنطبق على الإصدارات السابقة من نظام التشغيل Windows NT. وعلى الرغم من إمكانية تكوين المنفذ المستخدَّم بواسطة الجهاز العميل للاتصال بالملقم، يجب أن يتمكن الجهاز العميل من الوصول إلى الملقم من خلال عنوان IP الفعلي الخاص به. لا يمكن استخدام DCOM عبر جدر الحماية التي تقوم بترجمة العناوين (على سبيل المثال، عند اتصال الجهاز العميل بالعنوان الظاهري 198.252.145.1، الذي يربطه جدار الحماية بالعنوان الفعلي للملقم مثل 192.100.81.101 بسهولة). وذلك لأن DCOM يقوم بتخزين عناوين IP الأولية في حزم التعبئة الخاصة بالواجهة وإذا لم يتمكن الجهاز العميل من الاتصال بالعنوان المحدد في الحزمة، فسوف يتوقف عن العمل.

لمزيد من المعلومات، راجع المستند التقني لـ Microsoft Using Distributed COM with Firewalls (استخدام وحدة نمطية للمكونات الموزعة مع جُدر الحماية). للقيام بذلك، قم بزيارة موقع Microsoft التالي على الويب:
معلومات أخرى
لا تظهر القيم (ومفتاح الإنترنت) الموضحة أدناه في التسجيل؛ ويجب إضافتها يدويًا باستخدام "محرر التسجيل". لاحظ أيضًا أنه يجب استخدام الأمر Regedt32.exe بدلاً من Regedit.exe لإضافة قيمة REG_MULTI_SZ.

تحذير قد تحدث مشكلات خطيرة في حالة تعديل السجل بطريقة غير صحيحة باستخدام "محرر التسجيل" أو باستخدام طريقة أخرى. وقد تتطلب منك هذه المشكلات إعادة تثبيت نظام التشغيل. لا تضمن Microsoft إمكانية حل تلك المشكلات. يمكنك تعديل السجل ولكن على مسؤوليتك الشخصية.

باستخدام "محرر التسجيل" يمكنك تعديل المعلمات التالية الخاصة ببروتوكول "استدعاء إجراء عن بُعد". وتقع كافة قيم مفتاح منفذ "استدعاء إجراء عن بُعد" الموضحة أدناه في المفتاح التالي بالتسجيل:
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\Key Data Type


Ports REG_MULTI_SZ
تحدد قيمة هذا المفتاح مجموعة نطاقات منفذ IP التي تتألف من كافة المنافذ المتاحة من خلال الإنترنت أو كافة المنافذ غير المتاحة من خلال الإنترنت. وتمثل كل سلسلة منفذ واحد أو مجموعة شاملة من المنافذ. على سبيل المثال، يمكن تمثيل منفذ واحد بالرقم 5984، ويمكن تمثيل مجموعة من المنافذ بالأرقام 5000-5100. وفي حالة وجود أية إدخالات خارج النطاق من 0 إلى 65535، أو إذا تعذرت ترجمة أية سلسلة، فإن وقت تشغيل RPC سيتعامل مع التكوين بأكمله على أنه غير صالح.
PortsInternetAvailable REG_SZ ‏ Y أو N (غير متحسس لحالة الحرف)
في حالة تعيين قيمة هذا المفتاح على Y، فإن كافة المنافذ المسردة في مفتاح المنافذ تكون هي المنافذ المتوفرة من خلال الإنترنت على هذا الكمبيوتر. أما في حالة تعيين قيمة هذا المفتاح على N، فإن كافة المنافذ المسردة في مفتاح المنافذ تكون هي المنافذ التي لا تم توفيرها من خلال الإنترنت.
UseInternetPorts REG_SZ )‏ Y أو N (غير متحسس لحالة الحرف)
يحدد هذا المفتاح النهج الافتراضي للنظام.
في حالة تعيين قيمة هذا المفتاح على Y، فإن العمليات التي تستخدم الإعداد الافتراضي سوف يتم تعيين منافذ إليها من مجموعة المنافذ المتوفرة من خلال الإنترنت، كما هو محدد مسبقًا.
وفي حالة تعيين قيمة المفتاح على N، فإن العمليات التي تستخدم الإعداد الافتراضي سوف يتم تعيين منافذ إليها من مجموعة المنافذ التي يتم توفيرها من خلال الإنترنت فقط.
مثال:
  1. قم بإضافة المفتاح Internet key تحت:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
  2. تحت Internet key، قم بإضافة القيم "Ports"‏ (MULTI_SZ)، و"PortsInternetAvailable"‏ (REG_SZ)، و"UseInternetPorts"‏ (REG_SZ).

    في هذا المثال تم تحديد المنافذ من 5000 إلى 5100 بالكامل بشكل عشوائي للمساعدة على توضيح كيفية تكوين مفتاح التسجيل الجديد. على سبيل المثال، يظهر مفتاح التسجيل الجديد كما يلي:
    المنافذ: REG_MULTI_SZ: 5000-5100
    PortsInternetAvailable: REG_SZ: Y
    UseInternetPorts: REG_SZ: Y
  3. قم بإعادة تشغيل الملقم. تستخدم كافة التطبيقات، التي تعمل من خلال تخصيص المنفذ الحيوي لبروتوكول "استدعاء إجراء عن بُعد"، المنافذ من 5000 إلى 5100 بالكامل. وفي معظم البيئات، يجب فتح 100 منفذ بحد أدنى، نظرًا لأن العديد من خدمات النظام تعتمد على منافذ "استدعاء إجراء عن بُعد" هذه للاتصال ببعضها البعض.
يجب فتح نطاق من المنافذ بأرقام أعلى من 5000. إذ يمكن أن تكون المنافذ بأرقام أقل من 5000 قيد الاستخدام بالفعل بواسطة تطبيقات أخرى ويمكن أن تسبب تعارضًا مع تطبيق (تطبيقات) DCOM الخاصة بك. علاوة على ذلك، أظهرت التجارب السابقة أنه يجب فتح 100 منفذ بحد أدنى، نظرًا لأن العديد من خدمات النظام تعتمد على منافذ "استدعاء إجراء عن بُعد" هذه للاتصال ببعضها البعض.

ملاحظة قد يختلف الحد الأدنى لعدد المنافذ من جهاز كمبيوتر لآخر كما يعتمد ذلك أيضًا على تكوين جهاز الكمبيوتر.
لمزيد من المعلومات، انقر فوق أرقام المقالات التالية لعرضها في "قاعدة معارف Microsoft" (قد تحتوي هذه المقالات على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
167128 ‏SMS: منافذ الشبكة مستخدمة بواسطة وظائف مكتب المساعدة عن بُعد
179442 كيفية تكوين جدار حماية للمجالات وعلاقات الثقة
263293 عدم ترجمة NAT لنقل بيانات Netlogon، عند استخدام نظام التشغيل Windows 2000
319553 كيفية تقييد نقل بيانات النسخ المماثل لـ FRS على منفذ ثابت محدد
224196 تقييد نقل بيانات النسخ المماثل لـ Active Directory ونقل بيانات استدعاء إجراء عن بُعد العميل على منفذ محدد
إذا كنت تستخدم نظام التشغيل Windows Server 2003، يمكنك استخدام أداة تكوين "استدعاء إجراء عن بُعد" ‏(RPCCfg.exe) من أداة موارد Windows Server 2003 Resource Kit لاستكمال العملية الموضحة في هذه المقالة. للحصول على أداة تكوين "استدعاء إجراء عن بُعد"، قم بزيارة موقع Microsoft التالي على الويب:
ephemeral com dcom com+ msmq enterprise
خصائص

رقم الموضوع: 154596 - آخر مراجعة: 02/08/2008 12:29:00 - المراجعة: 14.2

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server, Microsoft Windows NT Server 4.0 Standard Edition

  • kbhowto kbnetwork kbdcom kbproductlink KB154596
تعليقات