Al momento sei offline in attesa che la connessione Internet venga ristabilita

Limitazione del traffico di replica di Active Directory e del traffico RPC dei client a una porta specifica

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema. Prima di modificare il Registro di sistema, assicurarsi di eseguirne una copia di backup e di sapere come ripristinarlo in caso di problemi. Per informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986 Descrizione del Registro di sistema di Microsoft Windows
Sommario
Per impostazione predefinita, le chiamate di procedura remota (RPC) per la replica di Active Directory su RPC vengono eseguite in modo dinamico su una porta disponibile tramite il mapper di endpoint RPC (RPCSS) utilizzando la porta 135. Questo processo è esattamente uguale in Microsoft Exchange. Analogamente a Microsoft Exchange, un amministratore può ignorare questa funzionalità e specificare la porta attraverso la quale deve passare tutto il traffico RPC di Active Directory, bloccando in tal modo la porta.

Se si specifica una porta da utilizzare mediante la voce del Registro di sistema menzionata nella sezione "Informazioni", sia il traffico di replica sul lato server di Active Directory sia il traffico RPC dei client verrà inviato a questa porta dal mapper di endpoint. Questa configurazione è possibile perché tutte le interfacce RPC supportate da Active Directory sono in esecuzione su tutte le porte su cui è in ascolto.

Nota In questo articolo si suppone che la replica non passi attraverso un firewall. Per il funzionamento della replica attraverso un firewall devono essere aperte porte aggiuntive. Ad esempio, il protocollo Kerberos richiede l'apertura di porte aggiuntive. Per ottenere un elenco completo delle porte richieste per i servizi attraverso un firewall, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
832017 Panoramica dei servizi e requisiti per le porte di rete per il sistema server Windows
Informazioni
Avviso L'errata modifica del Registro di sistema tramite l'editor o un altro metodo può causare seri problemi, che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la soluzione di problemi derivanti dall'errato utilizzo dell'editor del Registro di sistema. La modifica del Registro di sistema è a rischio e pericolo dell'utente.

Quando ci si connette a un endpoint RPC, se il client non conosce il binding completo, come nel caso della replica DS, il run-time RPC sul client contatta il mapper di endpoint RPC (RPCSS) sul server alla porta nota (135) e ottiene la porta a cui connettersi per il servizio che supporta l'interfaccia RPC desiderata.

Il servizio registra l'endpoint all'avvio e può scegliere tra una porta assegnata dinamicamente o una porta specifica.

Se Active Directory viene configurato per l'esecuzione sulla "porta x", secondo la voce seguente, tale porta viene registrata nel mapper di endpoint.

Modificare mediante l'editor del Registro di sistema il valore seguente in ciascun controller di dominio in cui la porta limitata deve essere utilizzata:

Chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Valore del Registro di sistema: TCP/IP Port
Tipo valore: REG_DWORD
Dati valore: (porta disponibile)

Gli amministratori devono verificare che, qualora vengano utilizzate periferiche di rete intermedie o software per filtrare i pacchetti tra i controller di dominio, tali comunicazioni sulla porta specificata siano abilitate.

Spesso è inoltre necessario impostare manualmente la porta RPC del servizio Replica file perché Active Directory e il servizio Replica file eseguono la replica con gli stessi controller di dominio. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
319553 Limitazione del traffico di replica del servizio Replica file a una porta statica specifica

Se la replica di Active Directory viene impostata su una porta fissa esterna all'intervallo consentito per le porte RPC per il controllo degli accessi attraverso un firewall, la porta della replica e le porte RPC dinamiche dovranno essere aperte sul firewall per consentire gli accessi. Ciò avviene perché gli accessi utilizzano la porta della replica per mappare gli utenti.

Sebbene sia possibile impostare la replica di Active Directory su una porta fissa esterna all'intervallo consentito per le porte RPC per controllare gli accessi attraverso un firewall, è necessario in questo caso che la porta della replica e le porte RPC dinamiche siano aperte sul firewall in quanto gli accessi utilizzano la porta della replica per mappare gli utenti.
Per ulteriori informazioni sul mapper di endpoint RPC, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
154596 Configurazione dell'allocazione delle porte dinamiche RPC perché funzionino con i firewall
Proprietà

ID articolo: 224196 - Ultima revisione: 04/23/2007 17:47:00 - Revisione: 7.1

  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • kbinfo kbenv KB224196
Feedback
script>