Jak ograniczyć ruch RPC usługi Active Directory do określonego portu

  • Artykuł

W tym artykule opisano sposób ograniczania ruchu zdalnego wywołań procedury replikacji usługi Active Directory (AD) do określonego portu w systemie Windows Server.

Dotyczy: wszystkie obsługiwane wersje systemu Windows Server
Oryginalny numer KB: 224196

Podsumowanie

Domyślnie zdalne wywołania procedury replikacji usługi Active Directory (RPC) są wykonywane dynamicznie przez dostępny port za pośrednictwem mapowania punktu końcowego RPC (RPCSS) przy użyciu portu 135. Administrator może zastąpić tę funkcję i określić port, przez który przechodzi cały ruch RPC usługi Active Directory. Ta procedura blokuje port.

Po określeniu portów do użycia przy użyciu wpisów rejestru w więcej informacji, zarówno ruchu replikacji po stronie serwera usługi Active Directory i ruchu RPC klienta są wysyłane do tych portów przez mapowanie punktu końcowego. Ta konfiguracja jest możliwa, ponieważ wszystkie interfejsy RPC obsługiwane przez usługę Active Directory są uruchomione na wszystkich portach, na których nasłuchuje.

Uwaga

W tym artykule nie opisano sposobu konfigurowania replikacji usługi AD dla zapory. Aby replikacja działała za pośrednictwem zapory, należy otworzyć dodatkowe porty. Na przykład może być konieczne otwarcie portów dla protokołu Kerberos. Aby uzyskać pełną listę wymaganych portów dla usług w zaporze, zobacz Omówienie usługi i wymagania dotyczące portów sieciowych dla systemu Windows.

Więcej informacji

Ważna

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.

Po nawiązaniu połączenia z punktem końcowym RPC środowisko uruchomieniowe RPC na kliencie kontaktuje się z usługą RPCSS na serwerze na dobrze znanym porcie (135). Uzyskuje również port umożliwiający nawiązanie połączenia z usługą obsługującą żądany interfejs RPC. Przyjęto założenie, że klient nie zna kompletnego powiązania. Jest to sytuacja ze wszystkimi usługami AD RPC.

Usługa rejestruje co najmniej jeden punkt końcowy podczas uruchamiania i ma wybór dynamicznie przypisanego portu lub określonego portu.

Jeśli skonfigurujesz usługę Active Directory i netlogon tak, aby działały na porcie x , tak jak w poniższym wpisie, stają się portami zarejestrowanymi w programie mapowania punktów końcowych oprócz standardowego portu dynamicznego.

Użyj Redaktor rejestru, aby zmodyfikować następujące wartości na każdym kontrolerze domeny, na którym mają być używane porty z ograniczeniami. Serwery członkowskie nie są uważane za serwery logowania. Tak więc statyczne przypisanie portów dla systemu NTDS nie ma wpływu na serwery członkowskie.

Serwery członkowskie mają interfejs RPC Netlogon, ale rzadko jest używany. Przykładami mogą być zdalne pobieranie konfiguracji, takie jak nltest /server:member.contoso.com /sc_query:contoso.com.

Klucz rejestru 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Wartość rejestru: Port TCP/IP
Typ wartości: REG_DWORD
Dane wartości: (dostępny port)

Uruchom ponownie komputer, aby nowe ustawienie stało się skuteczne.

Klucz rejestru 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Wartość rejestru: DCTcpipPort
Typ wartości: REG_DWORD
Dane wartości: (dostępny port)

Uruchom ponownie usługę Netlogon, aby nowe ustawienie stało się skuteczne.

Uwaga

Po użyciu wpisu DCTcpipPort rejestru i ustawieniu go na ten sam port TCP/IP Port , co wpis rejestru, zostanie wyświetlone zdarzenie błędu Netlogon 5809 w obszarze NTDS\Parameters. Oznacza to, że skonfigurowany port jest używany i należy wybrać inny port.

Otrzymasz to samo zdarzenie, gdy masz unikatowy port i ponownie uruchomisz usługę Netlogon na kontrolerze domeny. Takie działanie jest celowe. Dzieje się tak ze względu na sposób, w jaki środowisko uruchomieniowe RPC zarządza portami serwera. Port zostanie użyty po ponownym uruchomieniu, a zdarzenie może zostać zignorowane.

Administratorzy powinni potwierdzić, że komunikacja za pośrednictwem określonego portu jest włączona, jeśli do filtrowania pakietów między kontrolerami domeny są używane pośrednie urządzenia sieciowe lub oprogramowanie.

Często należy również ręcznie ustawić port RPC usługi replikacji plików (FRS), ponieważ replikacja usług AD i FRS jest replikowana przy użyciu tych samych kontrolerów domeny. Port RPC usługi FRS powinien używać innego portu.

Nie zakładaj, że klienci korzystają tylko z usług Netlogon RPC i dlatego wymagane jest tylko to ustawienie DCTcpipPort . Klienci korzystają również z innych usług RPC, takich jak SamRPC, LSARPC, a także interfejs usług replikacji katalogów (DRS). Zawsze należy skonfigurować ustawienia rejestru i otworzyć oba porty w zaporze.

Znane problemy

Po określeniu portów mogą wystąpić następujące problemy:

Aby rozwiązać problemy, zainstaluj aktualizacje wymienione w artykułach.

Zbieranie danych

Jeśli potrzebujesz pomocy ze strony pomocy technicznej firmy Microsoft, zalecamy zebranie informacji, wykonując kroki wymienione w temacie Zbieranie informacji przy użyciu usługi TSS w przypadku problemów z replikacją usługi Active Directory.