Ограничение трафика RPC Active Directory для определенного порта

В этой статье описывается, как ограничить трафик удаленных вызовов процедур (RPC) репликации Active Directory (AD) к определенному порту в Windows Server.

Область применения: все поддерживаемые версии Windows Server
Исходный номер базы знаний: 224196

Сводка

По умолчанию удаленные вызовы процедур репликации Active Directory (RPC) выполняются динамически через доступный порт через диспетчер сопоставления конечных точек RPC (RPCSS) с помощью порта 135. Администратор может переопределить эту функцию и указать порт, через который проходит весь трафик RPC Active Directory. Эта процедура блокирует порт.

При указании портов для использования с помощью записей реестра в разделе Дополнительные сведения поставщиком сопоставления конечных точек на эти порты отправляются как трафик репликации на стороне сервера Active Directory, так и трафик RPC клиента. Такая конфигурация возможна, так как все интерфейсы RPC, поддерживаемые Active Directory, выполняются на всех портах, на которых он прослушивает.

Примечание.

В этой статье не описывается настройка репликации AD для брандмауэра. Чтобы репликация работала через брандмауэр, необходимо открыть дополнительные порты. Например, для протокола Kerberos может потребоваться открыть порты. Полный список необходимых портов для служб в брандмауэре см. в статье Общие сведения о службах и требования к сетевым портам для Windows.

Дополнительная информация

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

При подключении к конечной точке RPC среда выполнения RPC на клиенте связывается с RPCSS на сервере через известный порт (135). И он получает порт для подключения для службы, поддерживающей нужный интерфейс RPC. Предполагается, что клиент не знает полную привязку. Это ситуация со всеми службами AD RPC.

Служба регистрирует одну или несколько конечных точек при запуске и имеет выбор динамически назначаемого порта или определенного порта.

Если настроить Active Directory и Netlogon для запуска через порт x , как показано в следующей записи, они становятся портами, зарегистрированными в сопоставителя конечных точек в дополнение к стандартному динамическому порту.

Используйте Редактор реестра, чтобы изменить следующие значения на каждом контроллере домена, где будут использоваться ограниченные порты. Рядовые серверы не считаются серверами входа. Таким образом, назначение статического порта для NTDS не влияет на рядовые серверы.

Рядовые серверы имеют интерфейс RPC Netlogon, но он используется редко. Некоторые примеры могут быть удаленным получением конфигурации, например nltest /server:member.contoso.com /sc_query:contoso.com.

Раздел реестра 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Значение реестра: порт TCP/IP
Тип значения: REG_DWORD
Данные о значении: (доступный порт)

Перезагрузите компьютер, чтобы новый параметр вступил в силу.

Раздел реестра 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Значение реестра: DCTcpipPort
Тип значения: REG_DWORD
Данные о значении: (доступный порт)

Перезапустите службу Netlogon, чтобы новый параметр вступил в силу.

Примечание.

Если вы используете DCTcpipPort запись реестра и задаете для нее тот же порт, что TCP/IP Port и запись реестра, вы получаете событие ошибки Netlogon 5809 в разделе NTDS\Parameters. Это означает, что настроенный порт используется, и следует выбрать другой порт.

Это же событие будет получено при наличии уникального порта и перезапуске службы Netlogon на контроллере домена. Такое поведение является особенностью данного продукта. Это происходит из-за того, как среда выполнения RPC управляет своими серверными портами. Порт будет использоваться после перезапуска, и событие можно игнорировать.

Администраторы должны убедиться, что связь через указанный порт включена, если какие-либо промежуточные сетевые устройства или программное обеспечение используются для фильтрации пакетов между контроллерами домена.

Часто необходимо также вручную задать порт RPC службы репликации файлов (FRS), так как репликация AD и FRS реплицируется с теми же контроллерами домена. Порт RPC FRS должен использовать другой порт.

Не предполагайте, что клиенты используют только службы Netlogon RPC и поэтому требуется только параметр DCTcpipPort . Клиенты также используют другие службы RPC, такие как SamRPC, LSARPC, а также интерфейс служб репликации каталогов (DRS). Всегда следует настраивать оба параметра реестра и открывать оба порта в брандмауэре.

Известные проблемы

После указания портов могут возникнуть следующие проблемы:

Чтобы устранить проблемы, установите обновления, упомянутые в статьях.

Сбор данных

Если вам нужна помощь со стороны службы поддержки Майкрософт, рекомендуем собрать сведения, выполнив действия, описанные в разделе Сбор информации с помощью TSS для проблем с репликацией Active Directory.