Dynamische RPC-poorttoewijzing configureren voor gebruik met firewalls
Dit artikel helpt u bij het wijzigen van de RPC-parameters (Remote Procedure Call) in het register om ervoor te zorgen dat de toewijzing van dynamische RPC-poorten kan werken met firewalls.
Van toepassing op: Windows Server 2012 R2
Origineel KB-nummer: 154596
Samenvatting
Dynamische RPC-poorttoewijzing wordt gebruikt door servertoepassingen en toepassingen voor extern beheer, zoals DHCP-beheer (Dynamic Host Configuration Protocol), Windows Internet Name Service (WINS) Manager, enzovoort. Dynamische RPC-poorttoewijzing geeft het RPC-programma de opdracht om een bepaalde willekeurige poort te gebruiken in het bereik dat is geconfigureerd voor TCP en UDP, op basis van de implementatie van het gebruikte besturingssysteem. Zie de onderstaande verwijzingen voor meer informatie.
Klanten die firewalls gebruiken, willen mogelijk bepalen welke poorten RPC gebruikt, zodat hun firewallrouter kan worden geconfigureerd om alleen deze UDP- en TCP-poorten (Transmission Control Protocol) door te sturen.
Op veel RPC-servers in Windows kunt u de serverpoort opgeven in aangepaste configuratie-items, zoals registervermeldingen. Wanneer u een toegewezen serverpoort kunt opgeven, weet u welk verkeer tussen de hosts door de firewall stroomt. En u kunt op een meer gerichte manier definiëren welk verkeer is toegestaan.
Als serverpoort kiest u een poort buiten het bereik dat u mogelijk hieronder wilt opgeven. U vindt een uitgebreide lijst met serverpoorten die worden gebruikt in Windows en de belangrijkste Microsoft-producten in Serviceoverzicht en netwerkpoortvereisten voor Windows.
In het artikel worden ook de RPC-servers vermeld en welke RPC-servers kunnen worden geconfigureerd voor het gebruik van aangepaste serverpoorten buiten de faciliteiten die de RPC-runtime biedt.
Sommige firewalls staan ook UUID-filtering toe waar het leert van een RPC Endpoint Mapper-aanvraag voor een RPC-interface-UUID. Het antwoord heeft het poortnummer van de server en een volgende RPC-binding op deze poort mag vervolgens worden doorgegeven.
Belangrijk
Gebruik de methode die in dit artikel wordt beschreven alleen als de RPC-server geen manier biedt om de serverpoort te definiëren.
De volgende registervermeldingen zijn van toepassing op Windows NT 4.0 en hoger. Ze zijn niet van toepassing op eerdere versies van Windows NT. Hoewel u de poort kunt configureren die door de client wordt gebruikt om met de server te communiceren, moet de client de server kunnen bereiken via het werkelijke IP-adres. U kunt DCOM niet gebruiken via firewalls die wel adresomzetting uitvoeren. Een client maakt bijvoorbeeld verbinding met het virtuele adres 198.252.145.1, dat door de firewall transparant wordt toegewezen aan het werkelijke adres van de server, bijvoorbeeld 192.100.81.101. DCOM slaat onbewerkte IP-adressen op in de marshaling-pakketten van de interface. Als de client geen verbinding kan maken met het adres dat is opgegeven in het pakket, werkt deze niet.
Meer informatie
De waarden (en internetsleutel) die hieronder worden besproken, worden niet weergegeven in het register. Ze moeten handmatig worden toegevoegd met behulp van de register-Editor.
Belangrijk
Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Zie Een back-up maken van het register en het herstellen van het register in Windows voor meer informatie.
Met Register Editor kunt u de volgende parameters voor RPC wijzigen. De waarden van de RPC-poortsleutel die hieronder worden besproken, bevinden zich allemaal in de volgende sleutel in het register:
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\Entry name Data Type
Poorten REG_MULTI_SZ
Hiermee geeft u een set IP-poortbereiken op die bestaat uit alle poorten die beschikbaar zijn via internet of alle poorten die niet beschikbaar zijn via internet. Elke tekenreeks vertegenwoordigt één poort of een inclusieve set poorten.
Een enkele poort kan bijvoorbeeld worden vertegenwoordigd door 5984 en een set poorten kan worden vertegenwoordigd door 5000-5100. Als vermeldingen zich buiten het bereik van 0 tot en met 65535 bevinden of als een tekenreeks niet kan worden geïnterpreteerd, behandelt de RPC-runtime de volledige configuratie als ongeldig.
PortsInternetAvailable REG_SZ Y of N (niet hoofdlettergevoelig)
Als Y, zijn de poorten die worden vermeld in de sleutel Poorten alle internetverbinding poorten op die computer. Als N, zijn de poorten die worden vermeld in de poortsleutel alle poorten die niet beschikbaar zijn voor internet.
UseInternetPorts REG_SZ Y of N (niet hoofdlettergevoelig)
Hiermee geeft u het standaardbeleid voor het systeem op.
Als Y wordt gebruikt, worden aan de processen die gebruikmaken van de standaardpoorten poorten toegewezen uit de set poorten die via internet beschikbaar zijn, zoals eerder is gedefinieerd. Als N, worden de processen die gebruikmaken van de standaardpoorten toegewezen vanuit de set intranetpoorten.
Voorbeeld
In dit voorbeeld zijn de poorten 5000 tot en met 6000 willekeurig geselecteerd om te laten zien hoe de nieuwe registersleutel kan worden geconfigureerd. Het is geen aanbeveling voor een minimaal aantal poorten dat nodig is voor een bepaald systeem.
Voeg de internetsleutel toe onder
HKEY_LOCAL_MACHINE\Software\Microsoft\RpcVoeg onder de internetsleutel de waarden Poorten (MULTI_SZ), PortsInternetAvailable (REG_SZ) en UseInternetPorts (REG_SZ) toe.
De nieuwe registersleutel wordt bijvoorbeeld als volgt weergegeven:
Poorten: REG_MULTI_SZ: 5000-6000
PortsInternetAvailable: REG_SZ: Y
UseInternetPorts: REG_SZ: YStart de server opnieuw. Alle toepassingen die gebruikmaken van dynamische RPC-poorttoewijzing gebruiken de poorten 5000 tot en met 6000, inclusief.
Open een aantal poorten boven poort 5000. Poortnummers lager dan 5000 zijn mogelijk al in gebruik door andere toepassingen en kunnen conflicten met uw DCOM-toepassing(en) veroorzaken. Bovendien blijkt uit eerdere ervaring dat er minimaal 100 poorten moeten worden geopend, omdat verschillende systeemservices afhankelijk zijn van deze RPC-poorten om met elkaar te communiceren.
Opmerking
Het minimale aantal vereiste poorten kan per computer verschillen. Computers met meer verkeer kunnen in een poortuitputtingssituatie komen als de dynamische RPC-poorten zijn beperkt. Houd hiermee rekening bij het beperken van het poortbereik.
Waarschuwing
Als er een fout optreedt in de poortconfiguratie of als er onvoldoende poorten in de groep zijn, kan de Endpoint Mapper-service geen RPC-servers registreren met dynamische eindpunten. Wanneer er een configuratiefout optreedt, is de foutcode 87 (0x57) ERROR_INVALID_PARAMETER. Dit kan ook van invloed zijn op Windows RPC-servers, zoals Netlogon. In dit geval wordt gebeurtenis 5820 geregistreerd:
Log Name: System
Source: NETLOGON
Event ID: 5820
Level: Error
Keywords: Classic
Description:
The Netlogon service could not add the AuthZ RPC interface. The service was terminated. The following error occurred: The parameter is incorrect.
Zie voor meer informatie:
- Overzicht van service en vereisten voor netwerkpoorten voor Windows
- Een firewall configureren voor Active Directory-domeinen en vertrouwensrelaties
- RPC-verkeer van Active Directory beperken tot een specifieke poort
- Het standaard dynamische poortbereik voor TCP/IP is gewijzigd sinds Windows Vista en in Windows Server 2008
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor