Come limitare il traffico RPC di Active Directory a una porta specifica

  • Articolo

Questo articolo descrive come limitare il traffico RPC (Remote Procedure Call) della replica di Active Directory (AD) a una porta specifica in Windows Server.

Si applica a: tutte le versioni supportate di Windows Server
Numero KB originale: 224196

Riepilogo

Per impostazione predefinita, le chiamate rpc (Remote Procedure Call) di replica di Active Directory vengono eseguite in modo dinamico su una porta disponibile tramite RPC Endpoint Mapper (RPCSS) usando la porta 135. Un amministratore può ignorare questa funzionalità e specificare la porta attraversata da tutto il traffico RPC di Active Directory. Questa procedura blocca la porta.

Quando si specificano le porte da utilizzare usando le voci del Registro di sistema in Altre informazioni, sia il traffico di replica sul lato server di Active Directory che il traffico RPC client vengono inviati a queste porte dal mapper degli endpoint. Questa configurazione è possibile perché tutte le interfacce RPC supportate da Active Directory sono in esecuzione su tutte le porte in cui è in ascolto.

Nota

Questo articolo non descrive come configurare la replica di Active Directory per un firewall. È necessario aprire porte aggiuntive per consentire il funzionamento della replica tramite un firewall. Ad esempio, potrebbe essere necessario aprire le porte per il protocollo Kerberos. Per ottenere un elenco completo delle porte necessarie per i servizi in un firewall, vedere Panoramica del servizio e requisiti delle porte di rete per Windows.

Ulteriori informazioni

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire backup e ripristino del Registro di sistema, vedere Backup e ripristino del Registro di sistema in Windows.

Quando ci si connette a un endpoint RPC, il runtime RPC nel client contatta il servizio RPCSS sul server su una porta nota (135). Ottiene inoltre la porta a cui connettersi per il servizio che supporta l'interfaccia RPC desiderata. Si presuppone che il client non conosca l'associazione completa. Si tratta della situazione con tutti i servizi RPC di Active Directory.

Il servizio registra uno o più endpoint all'avvio e può scegliere una porta assegnata dinamicamente o una porta specifica.

Se si configura Active Directory e Netlogon per l'esecuzione alla porta x come nella voce seguente, diventano le porte registrate con il mapper dell'endpoint oltre alla porta dinamica standard.

Usare Editor del Registro di sistema per modificare i valori seguenti in ogni controller di dominio in cui devono essere usate le porte con restrizioni. I server membri non sono considerati server di accesso. Pertanto, l'assegnazione di porte statiche per NTDS non ha alcun effetto sui server membri.

I server membri hanno l'interfaccia RPC Netlogon, ma viene usata raramente. Alcuni esempi possono essere il recupero della configurazione remota, ad nltest /server:member.contoso.com /sc_query:contoso.comesempio .

Chiave del Registro di sistema 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Valore del Registro di sistema: porta TCP/IP
Tipo di valore: REG_DWORD
Dati valore: (porta disponibile)

Riavviare il computer per rendere effettiva la nuova impostazione.

Chiave del Registro di sistema 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Valore del Registro di sistema: DCTcpipPort
Tipo di valore: REG_DWORD
Dati valore: (porta disponibile)

Riavviare il servizio Netlogon per rendere effettiva la nuova impostazione.

Nota

Quando si usa la voce del DCTcpipPort Registro di sistema e la si imposta sulla stessa porta della voce del Registro di sistema, viene visualizzato l'evento TCP/IP Port di errore Netlogon 5809 in NTDS\Parameters. Ciò indica che la porta configurata è in uso ed è necessario scegliere una porta diversa.

Si riceverà lo stesso evento quando si dispone di una porta univoca e si riavvia il servizio Netlogon nel controller di dominio. Si tratta di un comportamento legato alla progettazione del prodotto. Si verifica a causa del modo in cui il runtime RPC gestisce le porte del server. La porta verrà usata dopo il riavvio e l'evento può essere ignorato.

Gli amministratori devono verificare che la comunicazione sulla porta specificata sia abilitata se vengono usati dispositivi di rete o software intermedi per filtrare i pacchetti tra i controller di dominio.

Spesso, è anche necessario impostare manualmente la porta RPC del servizio replica file (FRS) perché la replica di AD e FRS viene replicata con gli stessi controller di dominio. La porta RPC frs deve usare una porta diversa.

Non presupporre che i client usno solo i servizi RPC Netlogon e quindi sia necessaria solo l'impostazione DCTcpipPort . I client usano anche altri servizi RPC, ad esempio SamRPC, LSARPC e anche l'interfaccia Servizi di replica directory. È consigliabile configurare sempre entrambe le impostazioni del Registro di sistema e aprire entrambe le porte nel firewall.

Problemi noti

Dopo aver specificato le porte, potrebbero verificarsi i problemi seguenti:

Per risolvere i problemi, installare gli aggiornamenti indicati negli articoli.

Raccolta dei dati

Se è necessaria l'assistenza del supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.