Comment faire pour restreindre le trafic de réplication FRS sur un port statique spécifique

Résumé

Cet article décrit comment configurer un port statique pour le trafic de réplication de fichiers (FRS) de service.

Remarque: la fonctionnalité qui est décrit dans cet article est postérieurs à Windows 2000 Service Pack 2 (SP2). Par conséquent, les informations contenues dans cet article s’applique uniquement aux serveurs Windows 2000 qui exécutent SP2 et le correctif QFE post-SP2 décrit dans l’article suivant de la Base de connaissances Microsoft :
Mise à jour 321557 améliorations dans le post-SP2 de Ntfrs.exe qui est assemblée avec un pilote Ntfs.sys mis à jour

Plus d'informations

Le service FRS est un moteur de réplication multithread, multimaître qui remplace le service de réplication de répertoire LANMan (LMRepl) dans Microsoft Windows NT versions 3.x et 4.0. Les serveurs et les contrôleurs de domaine Windows 2000 utilisent FRS pour répliquer les scripts d’ouverture de session et de stratégie du système pour les ordinateurs clients qui exécutent Windows 2000 et versions antérieures. FRS peut également répliquer le contenu entre des serveurs Windows 2000 hébergeant les mêmes racines de système de fichiers distribués (DFS, Distributed File System) à tolérance de pannes ou réplicas de nœud enfant.

Réplication FRS

Par défaut, la réplication FRS sur les appels de procédure distante (RPC) se produit dynamiquement sur un port disponible à l’aide du mappeur de point final RPC (également connu sous le nom RPCSS) sur le port 135 ; le processus est le même pour la réplication Active Directory ou Microsoft Exchange Server. Vous pouvez remplacer cette fonctionnalité par défaut et spécifier que tout le trafic de réplication FRS passe par le port (vous pouvez configurer Active Directory de la même façon). Lorsque vous procédez ainsi, vous pouvez limiter la réplication sur un port statique. Pour plus d’informations sur la façon de l’actif de limiter la réplication d’annuaire du trafic à un port, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

Le trafic de réplication de restriction de Active Directory et le trafic RPC client sur un port spécifique de 224196

Remarque: avant de modifier les paramètres de port par défaut dans votre environnement de production, configurer un laboratoire pour simuler l’utilisation de FRS et pour tester les performances. Certains administrateurs de conservent uniquement les stratégies et les scripts dans SYSVOL, mais les autres administrateurs peuvent rassembler de grandes quantités de données. Étant donné que chaque environnement est différent, assurez-vous que vous aussi près que possible la configuration de votre test à l’environnement de production.

Dans la réplication du FRS, le client ne connaît pas la liaison complète. Par conséquent, lorsque le client se connecte à un point de terminaison RPC, l’exécution RPC sur les contacts client mappeur de point final RPC sur le serveur à un port bien connu (le port 135) et obtient le port de connexion pour le service qui prend en charge l’interface RPC. Le service enregistre le point de terminaison lorsqu’elle démarre, et il a le choix d’un à l’aide d’un port affecté de façon dynamique ou un port spécifique.

Vous pouvez utiliser la procédure suivante pour configurer le service FRS sur un port spécifique. Lorsque vous procédez ainsi, le port est enregistré avec le mappeur de point final RPC.


Remarque: cet article ne décrit pas la solution complète pour un serveur d’utiliser FRS à travers un pare-feu. Si vous utilisez la réplication FRS avec un pare-feu, vous devrez peut-être ouvrir plusieurs ports supplémentaires tels que les ports pour Kerberos et pour le LDAP Lightweight Directory Access Protocol (). L’ensemble de ports peut dépendre du rôle du domaine du serveur. Par exemple, supposons que le rôle de domaine du serveur est un contrôleur de domaine. Dans ce scénario, FRS peut obtenir les tickets Kerberos et les informations de configuration à partir des Services de domaine Active Directory (AD DS) localement.

Comment faire pour restreindre le trafic de FRS sur un Port statique spécifique

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 comment sauvegarder et restaurer le Registre dans Windows

Modifiez la valeur suivante sur chaque contrôleur de domaine où le port restreint doit être utilisé :
  1. Démarrez l'Éditeur du Registre (Regedt32.exe).
  2. Recherchez, puis cliquez sur la clé suivante dans le Registre :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters
  3. Dans le menu Edition, cliquez sur Ajouter une valeur, puis ajoutez la valeur de Registre suivante :
    Nom de la valeur : RPC TCP/IP Port Assignment
    Type de données : REG_DWORD

    Données de la valeur : tapez un port disponible. Cette valeur doit être spécifié au format décimal.
    Remarque: Si vous ne tapez pas une valeur, ce paramètre utilise toujours une valeur de zéro et une affectation de port TCP/IP dynamique de Registre est utilisé.
  4. Quittez l’Éditeur du Registre.
IMPORTANT: vous devez voir s’il existe un périphérique réseau intermédiaire ou un logiciel qui est utilisé pour filtrer des paquets entre les contrôleurs de domaine. Si tel est le cas, vérifiez que le périphérique ou le logiciel permet la communication sur le port spécifié. En outre, assurez-vous que la destination que vous définissez le port TCP est ouverte sur le pare-feu.

Pour plus d’informations sur le correctif post-SP2 pour FRS, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

321557 des améliorations dans la version postérieure de Ntfrs.exe qui est assemblée avec un pilote Ntfs.sys mis à jour

Pour plus d’informations sur le mappeur de point final RPC, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

154596 comment configurer l’allocation de port dynamique RPC avec un pare-feu

Propriétés

ID d'article : 319553 - Dernière mise à jour : 27 janv. 2017 - Révision : 1

Commentaires