Cómo restringir el tráfico de replicación FRS a un puerto estático específico

Resumen

En este artículo se describe cómo configurar un puerto estático para el tráfico de replicación de archivos (FRS) de servicio.

Nota: la funcionalidad que se describe en este artículo es una característica del Service Pack 2 (SP2) de Windows 2000. Por lo tanto, la información de este artículo sólo se aplica a servidores basados en Windows 2000 que ejecutan SP2 y la revisión de QFE posterior al SP2 que se describe en el siguiente artículo de Microsoft Knowledge Base:
321557 mejoras en post-Service Pack 2 versión de Ntfrs.exe que viene con un controlador Ntfs.sys actualizado

Más información

FRS es un motor de replicación multiproceso y múltiples maestros que reemplaza al servicio de replicación de directorios LANMan (LMRepl) en las versiones de Microsoft Windows NT 3.x y 4.0. Servidores y controladores de dominio basados en Windows 2000 utilizan FRS para replicar secuencias de inicio de sesión y directivas del sistema para equipos cliente que ejecutan Windows 2000 y versiones anteriores. Además, FRS puede replicar contenido entre servidores basados en Windows 2000 que alojan las mismas raíces del sistema de archivos distribuido (DFS) tolerante a fallas o réplicas de nodo secundario.

Replicación de FRS

De forma predeterminada, la replicación de FRS a través de llamadas a procedimiento remoto (RPC) se produce dinámicamente sobre un puerto disponible utilizando el asignador de extremos de RPC (también conocido como RPCSS) en el puerto 135; el proceso es el mismo para la replicación de Active Directory o Microsoft Exchange Server. Puede invalidar esta funcionalidad predeterminada y especificar el puerto que atraviesa todo el tráfico de replicación FRS (puede configurar Active Directory de la misma manera). Al hacerlo, puede limitar la replicación a un puerto estático. Para obtener más información sobre cómo restringir Active el tráfico de replicación de directorios a un puerto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Tráfico de replicación de Active Directory de restricción y el tráfico RPC de cliente a un puerto específico 224196

Nota: antes de cambiar la configuración de puerto predeterminada en el entorno de producción, configurar un laboratorio para simular el uso de FRS y probar el rendimiento. Algunos administradores mantengan sólo las directivas y scripts en SYSVOL, pero otros pueden conservar cantidades grandes de datos. Dado que cada entorno es diferente, asegúrese de que realice la configuración de prueba lo más cerca posible en el entorno de producción.

En la replicación de FRS, el cliente no conoce el enlace completo. Por lo tanto, cuando el cliente se conecta a un extremo RPC, el tiempo de ejecución RPC en los contactos de cliente asignador de extremos de RPC en el servidor en un puerto conocido (puerto 135) y obtiene el puerto para conectar con el servicio que es compatible con la interfaz RPC. El servicio registra el extremo cuando se inicia y tiene la opción de utilizar un puerto asignado dinámicamente o un puerto específico.

Puede utilizar el siguiente procedimiento para configurar FRS para ejecutarse en un puerto específico. Al hacerlo, el puerto se registra con el asignador de extremos de RPC.


Nota: este artículo no describe la solución completa para un servidor utilizar FRS a través de un servidor de seguridad. Si utiliza la replicación de FRS junto con un servidor de seguridad, tendrá que abrir varios puertos adicionales tales como los puertos para Kerberos y para el protocolo ligero de acceso a directorios (LDAP). El conjunto de puertos puede depender de la función de dominio del servidor. Por ejemplo, supongamos que la función de dominio del servidor es un controlador de dominio. En este escenario, FRS puede obtener vales de Kerberos y la información de configuración de servicios de dominio de Active Directory (AD DS) localmente.

Cómo restringir el tráfico de FRS a un puerto estático específico

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows

Modifique el valor siguiente en cada controlador de dominio que debe utilizarse el puerto restringido:
  1. Inicie el Editor del registro (Regedt32.exe).
  2. Busque y, a continuación, haga clic en la siguiente clave del registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters
  3. En el menú Edición , haga clic en Agregar valory, a continuación, agregue el siguiente valor del registro:
    Nombre de valor: Asignación de puerto TCP/IP de RPC
    Tipo de datos: REG_DWORD

    Datos del valor: escriba un puerto disponible. Este valor debe especificarse en formato decimal.
    Nota: si no escribe un valor, se utiliza este valor siempre utiliza un valor de cero y una asignación de puerto dinámica de TCP/IP del registro.
  4. Salga del Editor del registro.
Importante: debe consultar si hay un dispositivo de red intermedio o software que se utiliza para filtrar los paquetes entre los controladores de dominio. Si es así, compruebe que el dispositivo o el software permite la comunicación sobre el puerto especificado. Además, asegúrese de que el puerto TCP que configure de destino está abierto en el firewall.

Para obtener información adicional acerca de la revisión posterior al SP2 para FRS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

321557 mejoras en la versión post-S de Ntfrs.exe que viene con un controlador Ntfs.sys actualizado

Para obtener información adicional acerca del asignador de extremos de RPC, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

154596 cómo configurar asignación dinámica de puertos RPC para trabajar con servidores de seguridad

Propiedades

Id. de artículo: 319553 - Última revisión: 17 ene. 2017 - Revisión: 2

Comentarios