Como restringir o tráfego do RPC do Active Directory a uma porta específica

  • Artigo

Este artigo descreve como restringir o tráfego de chamadas de procedimento remoto de replicação (RPC) do Active Directory para uma porta específica no Windows Server.

Aplica-se a: todas as versões com suporte do Windows Server
Número de KB original: 224196

Resumo

Por padrão, as chamadas de procedimento remoto de replicação do Active Directory (RPC) ocorrem dinamicamente em uma porta disponível por meio do RPC Endpoint Mapper (RPCSS) usando a porta 135. Um administrador pode substituir essa funcionalidade e especificar a porta pela qual todo o tráfego RPC do Active Directory passa. Esse procedimento bloqueia a porta.

Quando você especifica as portas a serem usadas usando as entradas do registro em Mais informações, tanto o tráfego de replicação do servidor do Active Directory quanto o tráfego RPC do cliente são enviados para essas portas pelo mapeador do ponto de extremidade. Essa configuração é possível porque todas as interfaces RPC compatíveis com o Active Directory estão sendo executadas em todas as portas nas quais ela está escutando.

Observação

Este artigo não descreve como configurar a replicação do AD para um firewall. Portas adicionais devem ser abertas para fazer a replicação funcionar por meio de um firewall. Por exemplo, as portas podem precisar ser abertas para o protocolo Kerberos. Para obter uma lista completa das portas necessárias para serviços em um firewall, consulte Visão geral do serviço e requisitos de porta de rede para Windows.

Mais informações

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para saber mais sobre como fazer o backup e restaurar o registro, consulte Como fazer o backup e restaurar o registro no Windows.

Quando você se conecta a um ponto de extremidade RPC, o runtime do RPC no cliente entra em contato com o RPCSS no servidor em uma porta conhecida (135). E obtém a porta para se conectar para o serviço que dá suporte à interface RPC desejada. Ele pressupõe que o cliente não saiba a associação completa. É a situação com todos os serviços do AD RPC.

O serviço registra um ou mais pontos de extremidade quando é iniciado e tem a opção de uma porta atribuída dinamicamente ou de uma porta específica.

Se você configurar o Active Directory e o Netlogon para serem executados na porta x como na entrada a seguir, ele se tornará as portas registradas com o mapeador do ponto de extremidade, além da porta dinâmica padrão.

Use o Registro Editor para modificar os valores a seguir em cada controlador de domínio em que as portas restritas devem ser usadas. Os servidores membro não são considerados servidores de logon. Portanto, a atribuição de porta estática para NTDS não tem efeito nos servidores membros.

Os servidores membros têm a Interface RPC do Netlogon, mas raramente é usada. Alguns exemplos podem ser recuperação de configuração remota, como nltest /server:member.contoso.com /sc_query:contoso.com.

Chave do Registro 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Valor do registro: porta TCP/IP
Tipo de valor: REG_DWORD
Dados de valor: (porta disponível)

Reinicie o computador para que a nova configuração se torne eficaz.

Chave do Registro 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Valor do registro: DCTcpipPort
Tipo de valor: REG_DWORD
Dados de valor: (porta disponível)

Reinicie o serviço Netlogon para que a nova configuração entre em vigor.

Observação

Ao usar a entrada do DCTcpipPort registro e defini-la como a mesma porta da entrada do registro, você receberá o TCP/IP Port evento de erro netlogon 5809 em NTDS\Parameters. Isso indica que a porta configurada está em uso e você deve escolher uma porta diferente.

Você receberá o mesmo evento quando tiver uma porta exclusiva e reiniciará o serviço Netlogon no controlador de domínio. Este é o comportamento padrão. Isso ocorre devido à maneira como o runtime do RPC gerencia suas portas de servidor. A porta será usada após a reinicialização e o evento pode ser ignorado.

Os administradores devem confirmar se a comunicação pela porta especificada está habilitada se algum dispositivo de rede intermediário ou software for usado para filtrar pacotes entre os controladores de domínio.

Com frequência, você também deve definir manualmente a porta RPC do Serviço de Replicação de Arquivos (FRS) porque a replicação do AD e do FRS é replicada com os mesmos Controladores de Domínio. A porta RPC do FRS deve usar uma porta diferente.

Não suponha que os clientes usem apenas os serviços RPC do Netlogon e, portanto, apenas a configuração DCTcpipPort é necessária. Os clientes também estão usando outros serviços RPC, como SamRPC, LSARPC e também a interface DRS (Directory Replication Services). Você sempre deve configurar as configurações do registro e abrir as duas portas no firewall.

Problemas conhecidos

Depois de especificar as portas, você poderá encontrar os seguintes problemas:

Para resolve os problemas, instale as atualizações mencionadas nos artigos.

Coleta de dados

Se você precisar de ajuda do suporte da Microsoft, recomendamos coletar as informações seguindo as etapas mencionadas em Coletar informações usando problemas de replicação do TSS para Active Directory.