Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

Restringir el tráfico de RPC de Active Directory a un puerto específico

El soporte técnico para Windows Server 2003 finalizó el 14 de julio de 2015

Microsoft finalizó el soporte técnico para Windows Server 2003 el 14 de julio de 2015. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

224196
Resumen
De manera predeterminada, llamadas a procedimientos remotos la replicación de Active Directory (RPC) se producen dinámicamente sobre un puerto disponible a través de asignador de extremos de RPC (RPCSS) mediante el puerto 135. Un administrador puede anular esta funcionalidad y especificar el puerto que atraviesa todo el tráfico RPC de Active Directory. Este procedimiento para bloquear el puerto.

Al especificar puertos para utilizar mediante el uso de las entradas del registro que se mencionan en la sección "Más información", el tráfico de replicación en el servidor de Active Directory y el tráfico RPC de cliente se envían a estos puertos por el asignador de extremos. Esta configuración es posible porque todas las interfaces RPC que son compatibles con Active Directory se ejecutan en todos los puertos en el que está escuchando.

Nota:Este artículo describe cómo configurar la replicación de Active Directory para un servidor de seguridad. Puertos adicionales deben estar abiertos para que la replicación funcione a través de un servidor de seguridad. Por ejemplo, puertos deberá abrirse para el protocolo Kerberos. Para obtener una lista completa de los puertos necesarios para los servicios a través de un servidor de seguridad, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
832017 Introducción a los servicios y a los requisitos de puertos de red para el sistema Windows Server
Más información

Importante Esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo hacer copia de seguridad y restaurar el registro de Windows
Cuando se conecta a un extremo RPC, el tiempo de ejecución en el cliente se pone en contacto con el asignador de extremos RPC (RPCSS) en el servidor en un puerto conocido (135) y obtiene el puerto para conectarse al servicio compatible con la interfaz RPC deseada de. Se supone que el cliente no conoce el enlace completo. Esto ocurre con todos los servicios RPC de AD.

El servicio registra uno o más extremos cuando inicia y tiene la opción de un puerto asignado dinámicamente o un puerto específico.

Si configura Active Directory y Netlogon para ejecutarse a "x"puerto como en la siguiente entrada, esto se convierte en los puertos que están registrados con el asignador de extremos además el puerto dinámico estándar.

Utilice el Editor del registro para modificar los valores siguientes en cada controlador de dominio donde se van a utilizar los puertos restringidos. Los servidores miembros no se consideran servidores de inicio de sesión, por lo tanto, la asignación de puertos estáticos de NTDS no tiene ningún efecto sobre ellos.

Los servidores miembro tienen la interfaz RPC de Netlogon, pero raramente se utiliza. Algunos ejemplos serían tal vez recuperación de configuración remota como "nltest /server:member.contoso.com /sc_query:contoso.com".

Clave de registro 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Valor del registro: puerto TCP/IP
Tipo de valor: REG_DWORD
Datos del valor: (puerto disponible)

Deberá reiniciar el equipo para que la nueva configuración surta efecto.

Clave del registro 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valor del registro: DCTcpipPort
Tipo de valor: REG_DWORD
Datos del valor: (puerto disponible)

Deberá reiniciar el servicio Netlogon para que la nueva configuración surta efecto.

Nota:Cuando se utiliza la entrada de registro DCTcpipPort y lo establece en el mismo puerto que la entrada de registro "TCP/IP Port", recibirá el evento de error de Netlogon 5809 en NTDS\Parameters. Esto indica que el puerto configurado está en uso, y debe elegir un puerto diferente.

Recibirá el mismo evento cuando dispone de un único puerto y reinicie el servicio Netlogon del controlador de dominio. Esto es así por diseño y se produce debido a la forma en que el tiempo de ejecución RPC administra sus puertos de servidor. Se utilizará el puerto después del reinicio, y puede omitirse el evento.

Los administradores deben confirmar que está habilitada la comunicación sobre el puerto especificado si los dispositivos de red intermedio o software que se utiliza para filtrar los paquetes entre los controladores de dominio.

Con frecuencia, debe establecer manualmente el puerto RPC del servicio de replicación de archivos (FRS) ya que AD y replicar la replicación de FRS con los mismos controladores de dominio. El puerto RPC del servicio de replicación de archivos (FRS) debe utilizar un puerto diferente. Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
319553 Cómo restringir el tráfico de replicación FRS a un puerto estático específico
No suponga que los clientes sólo utilizan los servicios RPC de Netlogon y, por tanto, se requiere el valor DCTcpipPort. Los clientes también están utilizando otros servicios RPC como SamRPC, LSARPC y también la interfaz de servicios de replicación de directorios (DRS). Por lo tanto, siempre debe configurar ambos valores del registro y abrir los dos puertos en el firewall.

Problemas conocidos

Después de especificar los puertos, pueden surgir los siguientes problemas:
2827870 Tiempo de inicio de sesión larga después de establecer un puerto estático específico de NTDS y Netlogon en un entorno de dominio basado en Windows Server 2008 R2
2912805 Replicación de AD falla con un problema RPC después de establecer un puerto estático para NTDS en un entorno de dominio de Windows
2987849 Inicio de sesión falla después de restringir el cliente RPC al tráfico de controlador de dominio en Windows Server 2012 R2 o Windows Server 2008 R2
Para resolver los problemas, instale las actualizaciones mencionadas en los artículos.

Para obtener más información sobre el asignador de extremos de RPC, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
154596 Cómo configurar la asignación dinámica de puertos RPC para trabajar con servidores de seguridad

Advertencia: este artículo se ha traducido automáticamente

Propiedades

Id. de artículo: 224196 - Última revisión: 03/15/2015 04:44:00 - Revisión: 13.0

  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard
  • Windows Server 2012 Standard
  • Windows Server 2012 R2 Standard
  • kbenv kbinfo kbmt KB224196 KbMtes
Comentarios