Cómo configurar la asignación dinámica de puertos RPC para trabajar con servidores de seguridad

Se aplica a: Microsoft Windows Server 2003 Service Pack 2Windows Server 2008 R2 Service Pack 1Windows Server 2008 Service Pack 2

Resumen


Asignación de puerto dinámico Procedure Call (RPC) remoto es utilizada por aplicaciones de servidor y aplicaciones de administración remota como administrador de protocolo de configuración dinámica de Host (DHCP), el administrador del servicio de nombres Internet de Windows (WINS) y así sucesivamente. Asignación dinámica de puertos RPC indicará el programa RPC para que utilice un puerto determinado al azar en el intervalo configurado para TCP y UDP, que se basa en la implementación del sistema operativo utilizado (consulte las referencias siguientes).

Los clientes que utilicen servidores de seguridad que desee controlar qué puertos usa RPC para que su router firewall puede configurarse para reenviar sólo estos puertos de protocolo de Control de transmisión (UDP y TCP).

Muchos servidores RPC en Windows le permiten especificar el puerto del servidor en los elementos de configuración personalizados como entradas del registro. Cuando se puede especificar un puerto de servidor dedicado, sabrá qué tráfico fluye entre los hosts a través del firewall y puede definir qué tráfico se permite de forma más dirigida.

Como un puerto de servidor, seleccione el puerto fuera del intervalo que desea especificar a continuación. Puede encontrar una lista completa de los puertos de servidor que se utilizan en Windows y los principales productos de Microsoft puede encontrarse en el artículo 832017 de Microsoft Knowledge Base.

Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: 832017Service overview y red requisitos de puerto para el sistema Windows Server.

El artículo también enumeran los servidores RPC y qué servidores RPC pueden configurarse para utilizar los puertos de servidor personalizado más allá de las facilidades que ofrece el tiempo de ejecución RPC.

Algunos servidores de seguridad también permiten UUID filtrado donde aprende de una solicitud de asignador de extremos RPC para una interfaz RPC UUID. La respuesta tiene el número de puerto del servidor, y un enlace RPC posteriores en este puerto, a continuación, puede pasar.

Importante -: utilice el método que se describe en este artículo sólo si el servidor RPC no ofrece una forma de definir el puerto del servidor.

Las siguientes entradas del registro se aplican a Windows NT 4.0 y superior. No se aplican a las versiones anteriores de Windows NT. Aunque puede configurar el puerto utilizado por el cliente para comunicarse con el servidor, el cliente debe ser capaz de conectar con el servidor por su dirección IP real. No puede usar DCOM a través de firewalls que abordan la traducción (por ejemplo, donde un cliente conecta a dirección virtual 198.252.145.1, el firewall transparente asigna a la dirección del servidor real, digamos, 192.100.81.101). Esto es porque DCOM almacena sin procesar direcciones IP en la interfaz de paquetes de cálculo de referencias y si el cliente no puede conectarse a la dirección especificada en el paquete, no funcionará.

Para obtener más información, consulte el documento de Microsoft Utilizando COM distribuido con servidores de seguridad. Para ello, visite el siguiente sitio web de Microsoft:

Más información


Los valores (y clave de Internet) que se describen a continuación no aparecen en el registro; se deben agregar manualmente mediante el Editor del registro.


Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows


Con el Editor del registro, puede modificar los siguientes parámetros para RPC. Los valores de clave de puerto RPC que se describen a continuación se encuentran en la siguiente clave del registro:

Nombre tipo de datos de entrada de HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\

Puertos REG_MULTI_SZ
Especifica un conjunto de intervalos de puertos IP que consta de todos los puertos disponibles en Internet o todos los puertos no disponibles desde Internet. Cada cadena representa un único puerto o un conjunto de puertos inclusive.

Por ejemplo, un único puerto puede estar representado por 5984, y un conjunto de puertos puede estar representado por 5000-5100. Si todas las entradas están fuera del intervalo de 0 a 65535, o si cualquier cadena no puede interpretarse, el tiempo de ejecución RPC tratará toda la configuración como no válida.
PortsInternetAvailable REG_SZ S o N (no distingue mayúsculas de minúsculas)
Si S, los puertos enumerados en la clave de puertos son todos los puertos de Internet disponibles en ese equipo. Si N, los puertos enumerados en la clave de puertos es todos aquellos puertos que no están disponibles de Internet.
UseInternetPorts REG_SZ) S o N (no distingue mayúsculas de minúsculas
Especifica la directiva predeterminada del sistema.
Si S, los procesos que utiliza el valor predeterminado se asignará puertos desde el conjunto de puertos de Internet disponible, como se definió anteriormente.
Si N, los procesos que utiliza el valor predeterminado se asignará puertos desde el conjunto de puertos exclusivo de la intranet.
Ejemplo:


En este ejemplo puertos 5000 a 6000 inclusive seleccionaron arbitrariamente para ayudar a ilustrar cómo se puede configurar la nueva clave del registro. No es una recomendación de un número mínimo de puertos necesarios para cualquier sistema en particular.
  1. Agregue la clave de Internet bajo: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
  2. Bajo la clave de Internet, agregue los valores "Ports" (MULTI_SZ), "PortsInternetAvailable" (REG_SZ) y "UseInternetPorts" (REG_SZ).


    Por ejemplo, la nueva clave del registro aparece como sigue:
    Puertos: REG_MULTI_SZ: 5000-6000
    PortsInternetAvailable: REG_SZ: Y
    UseInternetPorts: REG_SZ: Y
  3. Reinicie el servidor. Todas las aplicaciones que utilizan la asignación dinámica de puertos RPC utilizan puertos 5000 a 6000, ambos inclusive.
Debe abrir una gama de puertos por encima del puerto 5000. Números de puerto por debajo de 5000 pueden estar ya en uso por otras aplicaciones y esto podrían causar conflictos con las aplicaciones DCOM. Además, la experiencia anterior muestra que debe abrirse un mínimo de 100 puertos, debido a que varios servicios del sistema se basan en estos puertos RPC para comunicarse entre sí.



Nota: El número mínimo de puertos necesarios puede diferir de un equipo a otro. Equipos con mayor tráfico pueden ejecutarse en una situación de agotamiento de puerto si están restringidos los puertos dinámicos de RPC. Tener esto en cuenta al restringir el intervalo de puertos.

Advertencia: si hay un error en la configuración del puerto o hay puertos suficientes en el grupo, el servicio de asignador de extremos no podrá registrar los servidores RPC con extremos dinámicos. Cuando hay un error de configuración, el código de error será 87 ERROR_INVALID_PARAMETER (0x57). Esto puede afectar a los servidores RPC de Windows, como Netlogon. Evento 5820 se registrará en este caso:

Nombre de registro: sistema
Fuente: NETLOGON
Id. de suceso: 5820
Nivel: Error
Palabras clave: clásico

Descripción:
El servicio Netlogon no pudo agregar la interfaz RPC de AuthZ. El servicio finalizó. Ocurrió el siguiente error: "el parámetro es incorrecto".

Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

167128 puertos de red usados por funciones de asistencia remota

179442 cómo configurar un firewall para dominios y confianzas

263293 NAT de Windows 2000 no traducen el tráfico de Netlogon

319553 cómo restringir tráfico de replicación FRS a un puerto estático específico

Tráfico de replicación de Active Directory de restricción y el tráfico RPC de cliente a un puerto específico 224196

929851 el intervalo de puertos dinámicos predeterminado para TCP/IP ha cambiado en Windows Vista y Windows Server 2008