Restringindo o tráfego RPC do Active Directory para uma porta específica

O suporte para o Windows Server 2003 termina em 14 de julho de 2015.

A Microsoft terminou o suporte para o Windows Server 2003 em 14 de julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 224196
Sumário
Por padrão, chamadas de procedimento remoto de replicação do Active Directory (RPC) são ocorrer dinamicamente, através de uma porta disponível por meio do mapeador de ponto de extremidade RPC (RPCSS) usando a porta 135. Um administrador pode substituir essa funcionalidade e especificar a porta passa de todo o tráfego RPC do Active Directory. Este procedimento bloqueia a porta.

Quando você especificar as portas a serem usadas, usando as entradas do Registro mencionadas na seção "Mais informações", o tráfego de replicação do servidor do Active Directory e o tráfego RPC do cliente são enviados para essas portas pelo mapeador de ponto de extremidade. Essa configuração é possível porque todas as interfaces RPC que são suportadas pelo Active Directory estão em execução em todas as portas nas quais ele está escutando.

Observação: Este artigo não descreve como configurar a replicação do AD por um firewall. Portas adicionais devem ser abertas para fazer a replicação funcionar por um firewall. Por exemplo, as portas talvez precise ser aberto para o protocolo Kerberos. Para obter uma lista completa das portas necessárias para os serviços através de um firewall, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
832017 Visão geral de serviço e requisitos de porta para o sistema Windows Server de rede
Mais Informações

Importante: Essa seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o Registro incorretamente. Portanto, certifique-se de seguir estes passos cuidadosamente. Para obter mais proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número do artigo a seguir para visualizá-lo na Base de Conhecimento Microsoft:
322756 Como fazer backup e restaurar o registro no Windows
Quando você se conectar a um ponto de extremidade RPC, o tempo de execução RPC no cliente entra em contato com o mapeador de ponto de extremidade RPC (RPCSS) no servidor em uma porta conhecida (135) e obtém a porta para estabelecer conexão entre o serviço de suporte a interface RPC desejado. Isso pressupõe que o cliente não sabe a vinculação concluída. Esse é o caso com todos os serviços RPC do AD.

O serviço registra um ou mais pontos de extremidade quando ele for iniciado e tem a opção de uma porta dinamicamente atribuída ou uma porta específica.

Se você configurar o Active Directory e Netlogon para ser executada em "port x" como a entrada a seguir, isso se torna as portas que são registradas com o mapeador de ponto de extremidade além da porta dinâmica padrão.

Use o Editor do registro para modificar os seguintes valores em cada controlador de domínio onde as portas restritas devem ser usados. Servidores membro não são considerados servidores de logon, portanto a atribuição de porta estática para NTDS não tem efeito sobre eles.

Servidores membro tem a Interface do RPC Netlogon, mas raramente é usado. Alguns exemplos seriam talvez a recuperação de configuração remota, como "nltest /server:member.contoso.com /sc_query:contoso.com".

Chave do registro 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Valor do registro: porta TCP/IP
Tipo do valor: REG_DWORD
Dados do valor: (porta disponível)

Você precisa reiniciar o computador para que a nova configuração seja efetuada.

Chave de registro 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valor do registro: DCTcpipPort
Tipo do valor: REG_DWORD
Dados do valor: (porta disponível)

Você precisa reiniciar o serviço Netlogon para a nova configuração seja efetuada.

Observação: Quando você usar a entrada de registro DCTcpipPort e defini-la como a mesma porta que a entrada de registro do "TCP/IP Port", você recebe eventos de erro Netlogon 5809 em NTDS\Parameters. Isso indica que a porta configurada está em uso e você deve escolher uma porta diferente.

Você receberá o mesmo evento quando você tem uma porta exclusiva e reinicie o serviço Netlogon no controlador de domínio. Isso ocorre por design e ocorre devido ao modo como o tempo de execução RPC gerencia suas portas de servidor. A porta será usada após a reinicialização e o evento pode ser ignorado.

Os administradores de sistemas devem confirmar que a comunicação sobre a porta especificada está habilitada se algum software ou dispositivos de rede intermediários é usada para filtrar pacotes entre os controladores de domínio.

Com freqüência, você deve também definir manualmente a porta de RPC do serviço de replicação de arquivos (FRS) porque o AD e replicação de replicação FRS com os mesmos controladores de domínio. A porta de RPC do serviço de replicação de arquivos (FRS) deve usar uma porta diferente. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Conhecimento Microsoft:
319553 Como restringir o tráfego de replicação do FRS para uma porta estática específica
Não presuma que os clientes só usam os serviços RPC Netlogon e, portanto, somente a configuração DCTcpipPort é necessária. Os clientes também estão usando outros serviços RPC, como SamRPC, LSARPC e a interface de serviços de replicação de diretório (DRS). Portanto, você sempre deve definir ambas as configurações do registro e abrir duas portas no firewall.

Problemas conhecidos

Depois de especificar as portas, você pode encontrar os seguintes problemas:
2827870 Tempo de logon longo depois de definir uma porta estática específica para NTDS e logon de rede em um ambiente de domínio com base no Windows Server 2008 R2
2912805 A replicação do AD falha com um problema RPC após você definir uma porta estática para NTDS em um ambiente de domínio com base no Windows
2987849 Falha de logon depois de restringir o cliente RPC para tráfego de controlador de domínio no Windows Server 2012 R2 ou o Windows Server 2008 R2
Para resolver os problemas, instale as atualizações mencionadas nos artigos.

Para obter mais informações sobre o mapeador de ponto de extremidade RPC, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
154596 Como configurar a alocação de porta dinâmica da RPC para funcionar com os firewalls

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 224196 - Última Revisão: 03/15/2015 07:11:00 - Revisão: 13.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Standard x64 Edition, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Windows Server 2012 Standard, Windows Server 2012 R2 Standard

  • kbenv kbinfo kbmt KB224196 KbMtpt
Comentários