A távoli eljáráshívás szolgáltatás dinamikus porthozzárendelésének beállítása tűzfallal

Fontos: A cikk a rendszerleíró adatbázis módosításával is foglalkozik. A rendszerleíró adatbázisról módosítása előtt készítsen biztonsági másolatot, illetve győződjön meg arról, hogy szükség esetén helyre tudja állítani az adatbázist. A rendszerleíró adatbázis biztonsági mentéséről, visszaállításáról és módosításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
256986 A Microsoft Windows rendszerleíró adatbázisának ismertetése

Összefoglaló

A távoli eljáráshívás dinamikus porthozzárendelését olyan alkalmazások használják, mint például a Dynamic Host Configuration Protocol (DHCP) Manager vagy a Windows Internet Name Service (WINS) Manager. A távoli eljáráshívás dinamikus porthozzárendelése egy véletlenszerű, 1024 feletti port használatára utasítja az RPC programot.


A tűzfalat használó felhasználók számára fontos lehet a távoli eljáráshívás által használt portok egyéni megadása, hogy tűzfaluk útválasztóját úgy tudják konfigurálni, hogy csak ezeket a TCP portokat továbbítsa.


Az alábbi rendszerleíró bejegyzések a Windows NT 4.0 és annál újabb operációs rendszerekre vonatkoznak. Nem vonatkoznak ugyanakkor a Windows NT korábbi verzióira. Bár megadható az ügyfél által a kiszolgálóval folytatott kommunikációhoz használt port, az ügyfélnek saját IP címén keresztül kell elérnie a kiszolgálót. A DCOM nem használható olyan tűzfalak esetén, amelyek címfordítást végeznek (például amikor az ügyfél a 198.252.145.1 virtuális címhez csatlakozik, ám ezt a tűzfal megfelelteti a kiszolgáló valós címének, például a 192.100.81.101 címnek). Ennek oka, hogy a DCOM nyers IP címeket tárol az objektumrendező adatcsomagokban, és ha az ügyfél nem tud csatlakozni a csomagban megadott címhez, nem fog megfelelően működni.

További információkat a Microsoft következő tanulmányában talál: "Using Distributed COM with Firewalls” (A DCOM használata tűzfallal). Ehhez látogassa meg a Microsoft alábbi webhelyét:

További információ

Az alábbi értékek (és az Internet kulcs) nem jelennek meg a rendszerleíró adatbázisban, hanem manuálisan kell hozzáadni őket a Rendszerleíróadatbázis-szerkesztő segítségével. Fontos megjegyezni, hogy a REG_MULTI_SZ érték hozzáadásához nem a Regedit.exe, hanem a Regedt32.exe segédprogramot kell használni.

Figyelmeztetés: A Rendszerleíróadatbázis-szerkesztővel vagy más eszközzel helytelenül módosított rendszerleíró adatbázis komoly problémákat okozhat, amelyek akár az operációs rendszer újratelepítését is szükségessé tehetik. A Microsoft nem garantálja az ilyen jellegű problémák megoldhatóságát, ezért a rendszerleíró adatbázist csak saját felelősségére módosíthatja.

A Rendszerleíróadatbázis-szerkesztő segítségével a távoli eljáráshívási RPC protokoll alábbi paraméterei módosíthatók. Az RPC Port kulcs itt tárgyalt értékei a Rendszerleíró adatbázis következő kulcsában találhatók:

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\ Key Data Type


Ports REG_MULTI_SZ
Egy IP porttartományt ad meg, amely vagy az internetről elérhető összes portot vagy az internetről nem elérhető összes portot tartalmazza. Minden karakterlánc egy portot vagy portcsoportot jelöl. Egy önálló portot jelölhet például az 5984 számsor, míg egy portcsoportot az 5000-5100 karakterlánc. Ha egy bejegyzés értéke kívül esik a 0–65535 tartományon, vagy ha egy karakterlánc nem értelmezhető, a távoli eljáráshívási (RPC) protokoll az egész konfigurációt érvénytelenként kezeli.
PortsInternetAvailable REG_SZ Y vagy N (nem tesz különbséget a kis- és nagybetűk között)
Ha értéke Y, a Ports kulcsban a számítógép internetről elérhető portjai vannak felsorolva. Ha értéke N, a Ports kulcs a számítógép internetről nem elérhető portjait tartalmazza.
UseInternetPorts REG_SZ ) Y vagy N (nem tesz különbséget a kis- és nagybetűk között)
Megadja az alapértelmezett rendszerházirendet.
Ha értéke Y, az alapértelmezést használó folyamatokhoz a rendszer olyan portokat rendel hozzá, amelyek a fentiek alapján az internetről elérhető portok között szerepelnek.
Ha értéke N, az alapértelmezést használó folyamatokhoz a rendszer csak intranetes környezetben használható portokat rendel hozzá.
Példa:
 1. Hozza létre az Internet kulcsot a HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc rendszerleíró kulcsban.
 2. Adja hozzá az Internet kulcshoz a "Ports" (MULTI_SZ), "PortsInternetAvailable" (REG_SZ) és "UseInternetPorts" (REG_SZ) értékeket.


  A példában használja az 5000-től 5100-ig terjedő portokat, így az új rendszerleíró kulcs a következőképpen jelenik meg:
  Ports: REG_MULTI_SZ: 5000-5100
  PortsInternetAvailable: REG_SZ: Y
  UseInternetPorts: REG_SZ: Y
 3. Indítsa újra a kiszolgálót. Minden olyan alkalmazás, amely a távoli eljáráshívás szolgáltatás dinamikus porthozzárendelését használja, az 5000-től 5100-ig terjedő portokat fogja használni. A legtöbb környezetben legalább 100 portot meg kell nyitni, mivel számos rendszerszolgáltatás az RPC portok segítségével kommunikál egymással.
Mindenképpen az 5000-es port felett elhelyezkedő porttartományt kell megnyitni. Az 5000 alatti portokat más alkalmazások használhatják, amelyek konfliktusokat okozhatnak a DCOM alkalmazásokkal. Ezenkívül a korábbi tapasztalatok azt mutatják, hogy legalább 100 portot meg kell nyitni, mivel számos rendszerszolgáltatás az RPC portok segítségével kommunikál egymással.Megjegyzés A minimális portszám számítógépről számítógépre változhat, és függ a számítógép konfigurációjától.
A Microsoft Tudásbázis kapcsolódó cikkei:

167128 A távoli tanácsadási szolgáltatások által használt hálózati portok (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

179442 Tűzfal beállítása tartományokhoz és bizalmi kapcsolatokhoz

263293 A Windows 2000 hálózaticím-fordítója nem fordítja le a Netlogon forgalmat (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

172227 A hálózaticím-fordítók (Network Address Translator, NAT) akadályozhatják a Netlogon forgalmat (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

319553 A fájlreplikációs szolgáltatás replikációs forgalmának korlátozása adott statikus portra (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Ha a Windows Server 2003 rendszert futtatja, a Microsoft Windows Server 2003 Resource Kit RPC konfigurációs eszköze (RPC Configuration Tool, RPCCfg.exe) segítségével végezheti el az ebben a cikkben leírt műveleteket. Az RPC konfigurációs eszköz a Microsoft következő webhelyéről tölthető le:
Tulajdonságok

Cikkazonosító: 154596 - Utolsó ellenőrzés: 2008. jan. 13. - Verziószám: 1

Visszajelzés