Περιορισμός της κίνησης αναπαραγωγής της υπηρεσίας καταλόγου Active Directory και της κίνησης RPC προγράμματος-πελάτη σε συγκεκριμένη θύρα

Η υποστήριξη για τα Windows Server 2003 έληξε στις 14 Ιουλίου 2015

Η υποστήριξη της Microsoft για τα Windows Server 2003 έληξε στις 14 Ιουλίου 2015. Αυτή η αλλαγή επηρέασε τις ενημερώσεις λογισμικού και τις επιλογές ασφαλείας σας. Μάθετε τι σημαίνει αυτό για εσάς και το πώς θα προστατευτείτε.

ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.

Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:224196
Περίληψη
Από προεπιλογή, κλήσεις απομακρυσμένης διαδικασίας αναπαραγωγής της υπηρεσίας Active Directory (RPC) παρουσιάζονται δυναμικά μέσω μιας θύρας που είναι διαθέσιμες μέσω το RPC Endpoint Mapper (RPCSS), χρησιμοποιώντας τη θύρα 135. Αυτή η διαδικασία είναι η ίδια διαδικασία όπως στο Microsoft Exchange. Όπως στο Microsoft Exchange, ο διαχειριστής να παρακάμψετε αυτήν τη λειτουργικότητα και να καθορίσετε τη θύρα στην οποία όλη την κυκλοφορία Active Directory RPC που διέρχεται από. Αυτή η διαδικασία κλειδώνει τη θύρα.

Όταν καθορίσετε θύρες για χρήση με τις καταχωρήσεις μητρώου που αναφέρονται στην ενότητα "Περισσότερες πληροφορίες", τόσο κυκλοφορία αναπαραγωγής του διακομιστή υπηρεσίας καταλόγου Active Directory και της κίνησης RPC προγράμματος-πελάτη αποστέλλονται σε αυτές τις θύρες από τον πίνακα αντιστοίχισης απολήξεων. Αυτή η ρύθμιση παραμέτρων είναι δυνατή, επειδή όλες οι διασυνδέσεις RPC που υποστηρίζονται από την υπηρεσία καταλόγου Active Directory εκτελούνται σε όλες τις θύρες, στην οποία εκτελεί ακρόαση.

ΣΗΜΕΙΩΣΗΑυτό το άρθρο δεν σημαίνει ότι η αναπαραγωγή μπορεί να προκύψει μέσω ενός τείχους προστασίας. Πρόσθετες θύρες πρέπει να ανοιχτεί για να κάνετε αναπαραγωγή λειτουργεί μέσω ενός τείχους προστασίας. Για παράδειγμα, πρόσθετες θύρες πρέπει να ανοιχτεί για το πρωτόκολλο Kerberos. Για να αποκτήσετε μια πλήρη λίστα των απαιτούμενων θυρών για υπηρεσίες μέσω ενός τείχους προστασίας, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
832017Επισκόπηση υπηρεσιών και απαιτήσεις θύρας δικτύου για το σύστημα του Windows Server
Περισσότερες πληροφορίες
ΣημαντικόΑυτή ενότητα, μέθοδο ή εργασία περιέχει βήματα που θα σας πληροφορήσει πώς να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Κατά συνέπεια, βεβαιωθείτε ότι ακολουθείτε προσεκτικά τα εξής βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου προτού το τροποποιήσετε. Με αυτόν τον τρόπο, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής βάσης της Microsoft:
322756Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows
Όταν συνδέεστε σε ένα σημείο κατάληξης RPC, του χρόνου εκτέλεσης RPC, ο υπολογιστής-πελάτης επικοινωνεί με απολήξεων RPC (RPCSS) στο διακομιστή σε μια γνωστή θύρα (135) και αποκτά τη θύρα για σύνδεση με την υπηρεσία υποστήριξης διασύνδεσης RPC που θέλετε. Αυτό προϋποθέτει ότι ο υπολογιστής-πελάτης δεν γνωρίζει την πλήρη σύνδεση. Αυτό συμβαίνει με όλες τις υπηρεσίες AD RPC.

Η υπηρεσία καταγράφει ένα ή περισσότερα σημεία κατάληξης κατά την εκκίνηση και έχει την επιλογή μιας θύρας που έχουν εκχωρηθεί δυναμικά ή μια συγκεκριμένη θύρα.

Εάν ρυθμίζετε την υπηρεσία καταλόγου Active Directory και σύνδεση στο δίκτυο, ώστε να εκτελείται σε "θύρα x" όπως στο ακόλουθο κλειδί, αυτό γίνεται τις θύρες που έχουν καταχωρηθεί με τον πίνακα αντιστοίχισης απολήξεων μαζί με την τυπική δυναμική θύρα.

Χρησιμοποιήστε τον Επεξεργαστή μητρώου για να τροποποιήσετε τις ακόλουθες τιμές σε κάθε ελεγκτή τομέα όπου οι περιορισμένες θύρες είναι να χρησιμοποιηθεί. Διακομιστές-μέλη δεν θεωρούνται ως διακομιστές σύνδεσης. Επομένως, στατική θύρα assigment NTDS και Netlogon δεν επηρεάζει τους.

Το κλειδί μητρώου 1

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

Η τιμή μητρώου: θύρας TCP/IP
Τύπος τιμής: REG_DWORD
Η τιμή δεδομένων: (διαθέσιμη θύρα)

Το κλειδί μητρώου 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Η τιμή μητρώου: DCTcpipPort
Τύπος τιμής: REG_DWORD
Η τιμή δεδομένων: (διαθέσιμη θύρα)

Οι διαχειριστές πρέπει να επιβεβαιώσετε ότι η επικοινωνία μέσω της καθορισμένης θύρας είναι ενεργοποιημένη, εάν οποιοδήποτε δίκτυο ενδιάμεσες συσκευές ή λογισμικό που χρησιμοποιείται για να φιλτράρετε πακέτα μεταξύ των ελεγκτών τομέα.

ΣΗΜΕΙΩΣΗΌταν χρησιμοποιείτε την καταχώρηση μητρώου DCTcpipPort και ορίζετε την ίδια θύρα με την καταχώρηση μητρώου θύρας TCP/IP, λαμβάνετε συμβάν λάθους Netlogon 5809 στην περιοχή NTDS\Parameters. Αυτό υποδεικνύει ότι η θύρα έχει ρυθμιστεί είναι σε χρήση. Στην περίπτωση αυτή, θα πρέπει να καταργήσετε την καταχώρηση μητρώου DCTcpipPort. Θα λάβετε το ίδιο συμβάν, όταν έχετε μια μοναδική θύρα και κάνετε επανεκκίνηση της υπηρεσίας Netlogon στον ελεγκτή τομέα. Αυτό οφείλεται στη σχεδίαση και προκύπτει εξαιτίας του τρόπου χρόνου εκτέλεσης RPC διαχειρίζεται το διακομιστή θυρών. The port for Netlogon is still being registered with the runtime, even when you stop the Netlogon service. The port will be used after the restart, and the event can be ignored.

Frequently, you must also manually set the File Replication Service (FRS) RPC port because AD and FRS replication replicate with the same Domain Controllers. The File Replication Service (FRS) RPC port should use a different port.Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
319553How to restrict FRS replication traffic to a specific static port

If you are setting the Active Directory replication to a fixed port outside the range that is allowed for RPC ports to control access and logons through a firewall, the replication port and the dynamic RPC ports will have to be opened on the firewall to allow access and logons. This is because logon uses the Replication Port for user mapping.

You may want to set the Active Directory replication to a fixed port outside the range that is allowed for RPC ports. You may want to do this to control access and logons through a firewall. However, because of this, the replication and Netlogon port must be opened on the firewall. This is because the logon process uses the Replication Port for user mapping.
For more information about the RPC Endpoint Mapper, click the following article number to view the article in the Microsoft Knowledge Base:
154596How to configure RPC dynamic port allocation to work with firewalls

Προειδοποίηση: Αυτό το άρθρο έχει μεταφραστεί αυτόματα

Ιδιότητες

Αναγνωριστικό άρθρου: 224196 - Τελευταία αναθεώρηση: 09/11/2011 18:38:00 - Αναθεώρηση: 3.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbenv kbinfo kbmt KB224196 KbMtel
Σχόλια