Einschränken des Active Directory-RPC-Datenverkehrs auf einen bestimmten Port

  • Artikel

In diesem Artikel wird beschrieben, wie Sie den RPC-Datenverkehr (Remote Procedure Calls) der Active Directory-Replikation (ACTIVE Directory) an einen bestimmten Port in Windows Server einschränken.

Gilt für: alle unterstützten Versionen von Windows Server
Ursprüngliche KB-Nummer: 224196

Zusammenfassung

Standardmäßig erfolgen Remoteprozeduraufrufe (RPC) der Active Directory-Replikation dynamisch über einen verfügbaren Port über den RPC-Endpunktzuordnung (RPCSS) mithilfe von Port 135. Ein Administrator kann diese Funktionalität außer Kraft setzen und den Port angeben, den der gesamte Active Directory-RPC-Datenverkehr durchläuft. Durch diese Prozedur wird der Port gesperrt.

Wenn Sie die zu verwendenden Ports mithilfe der Registrierungseinträge in Weitere Informationen angeben, werden sowohl der serverseitige Active Directory-Replikationsdatenverkehr als auch der RPC-Clientdatenverkehr von der Endpunktzuordnung an diese Ports gesendet. Diese Konfiguration ist möglich, da alle von Active Directory unterstützten RPC-Schnittstellen an allen Ports ausgeführt werden, an denen es lauscht.

Hinweis

In diesem Artikel wird nicht beschrieben, wie die AD-Replikation für eine Firewall konfiguriert wird. Es müssen zusätzliche Ports geöffnet werden, damit die Replikation über eine Firewall funktioniert. Beispielsweise müssen Ports möglicherweise für das Kerberos-Protokoll geöffnet werden. Eine vollständige Liste der erforderlichen Ports für Dienste in einer Firewall finden Sie unter Dienstübersicht und Netzwerkportanforderungen für Windows.

Weitere Informationen

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Wenn Sie eine Verbindung mit einem RPC-Endpunkt herstellen, kontaktiert die RPC-Runtime auf dem Client die RPCSS auf dem Server an einem bekannten Port (135). Außerdem wird der Port abgerufen, mit dem eine Verbindung für den Dienst hergestellt werden soll, der die gewünschte RPC-Schnittstelle unterstützt. Es wird davon ausgegangen, dass der Client die vollständige Bindung nicht kennt. Dies ist die Situation mit allen AD RPC-Diensten.

Der Dienst registriert einen oder mehrere Endpunkte, wenn er gestartet wird, und hat die Wahl zwischen einem dynamisch zugewiesenen Port oder einem bestimmten Port.

Wenn Sie Active Directory und Netlogon so konfigurieren, dass sie wie im folgenden Eintrag an Port x ausgeführt werden, werden die Ports, die zusätzlich zum dynamischen Standardport bei der Endpunktzuordnung registriert sind.

Verwenden Sie Registry Editor, um die folgenden Werte auf jedem Domänencontroller zu ändern, auf dem die eingeschränkten Ports verwendet werden sollen. Mitgliedsserver werden nicht als Anmeldeserver betrachtet. Daher hat die statische Portzuweisung für NTDS keine Auswirkungen auf Mitgliedsserver.

Mitgliedsserver verfügen zwar über die RPC-Schnittstelle von Netlogon, werden aber selten verwendet. Einige Beispiele sind das Abrufen von Remotekonfigurationen, z nltest /server:member.contoso.com /sc_query:contoso.com. B. .

Registrierungsschlüssel 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Registrierungswert: TCP/IP-Port
Werttyp: REG_DWORD
Wertdaten: (verfügbarer Port)

Starten Sie den Computer neu, damit die neue Einstellung wirksam wird.

Registrierungsschlüssel 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Registrierungswert: DCTcpipPort
Werttyp: REG_DWORD
Wertdaten: (verfügbarer Port)

Starten Sie den Netlogon-Dienst neu, damit die neue Einstellung wirksam wird.

Hinweis

Wenn Sie den DCTcpipPort Registrierungseintrag verwenden und ihn auf denselben Port wie den TCP/IP Port Registrierungseintrag festlegen, erhalten Sie unter NTDS\Parametersdas Netlogon-Fehlerereignis 5809. Dies gibt an, dass der konfigurierte Port verwendet wird und Sie einen anderen Port auswählen sollten.

Sie erhalten das gleiche Ereignis, wenn Sie über einen eindeutigen Port verfügen, und Sie starten den Netlogon-Dienst auf dem Domänencontroller neu. Es handelt sich hierbei um ein beabsichtigtes Verhalten. Dies liegt an der Art und Weise, wie die RPC-Runtime ihre Serverports verwaltet. Der Port wird nach dem Neustart verwendet, und das Ereignis kann ignoriert werden.

Administratoren sollten bestätigen, dass die Kommunikation über den angegebenen Port aktiviert ist, wenn Zwischennetzwerkgeräte oder Software verwendet werden, um Pakete zwischen den Domänencontrollern zu filtern.

Häufig müssen Sie auch den RPC-Port des Dateireplikationsdiensts (File Replication Service, FRS) manuell festlegen, da die AD- und FRS-Replikation mit denselben Domänencontrollern repliziert werden. Der FRS-RPC-Port sollte einen anderen Port verwenden.

Gehen Sie nicht davon aus, dass Clients nur die Netlogon-RPC-Dienste verwenden und daher nur die Einstellung DCTcpipPort erforderlich ist. Clients verwenden auch andere RPC-Dienste wie SamRPC, LSARPC und die DRS-Schnittstelle (Directory Replication Services). Sie sollten immer beide Registrierungseinstellungen konfigurieren und beide Ports in der Firewall öffnen.

Bekannte Probleme

Nachdem Sie die Ports angegeben haben, können die folgenden Probleme auftreten:

Installieren Sie die in den Artikeln erwähnten Updates, um die Probleme zu beheben.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Active Directory-Replikationsprobleme beschriebenen Schritte ausführen.