Så här konfigurerar du dynamisk RPC-portallokering för att fungera med brandväggar

Den här artikeln hjälper dig att ändra RPC-parametrarna (Remote Procedure Call) i registret för att se till att dynamisk RPC-portallokering kan fungera med brandväggar.

Gäller för: Windows Server 2012 R2
Ursprungligt KB-nummer: 154596

Sammanfattning

Dynamisk RPC-portallokering används av serverprogram och fjärradministrationsprogram, till exempel DHCP-hanteraren (Dynamic Host Configuration Protocol), hanteraren för Windows Internet Name Service (WINS) och så vidare. Dynamisk RPC-portallokering instruerar RPC-programmet att använda en viss slumpmässig port i intervallet som konfigurerats för TCP och UDP, baserat på implementeringen av det operativsystem som används. Mer information finns i referenser nedan.

Kunder som använder brandväggar kanske vill styra vilka portar som RPC använder så att deras brandväggsrouter kan konfigureras för att vidarebefordra endast dessa UDP- och TCP-portar (Transmission Control Protocol).

Med många RPC-servrar i Windows kan du ange serverporten i anpassade konfigurationsobjekt, till exempel registerposter. När du kan ange en dedikerad serverport vet du vilken trafik som flödar mellan värdarna i brandväggen. Och du kan definiera vilken trafik som tillåts på ett mer riktat sätt.

Som serverport väljer du en port utanför det intervall som du kanske vill ange nedan. Du hittar en omfattande lista över serverportar som används i Windows och viktiga Microsoft-produkter i Tjänstöversikt och krav på nätverksportar för Windows.

Artikeln innehåller även RPC-servrar och vilka RPC-servrar som kan konfigureras för att använda anpassade serverportar utöver de anläggningar som RPC-körningen erbjuder.

Vissa brandväggar tillåter även UUID-filtrering där den lär sig från en RPC Endpoint Mapper-begäran för ett RPC-gränssnitts-UUID. Svaret har serverportnumret och en efterföljande RPC-bindning på den här porten tillåts sedan att skickas.

Följande registerposter gäller för Windows NT 4.0 och senare. De gäller inte för tidigare versioner av Windows NT. Även om du kan konfigurera den port som används av klienten för att kommunicera med servern måste klienten kunna nå servern med dess faktiska IP-adress. Du kan inte använda DCOM via brandväggar som hanterar översättning. En klient ansluter till exempel till den virtuella adressen 198.252.145.1, som brandväggen mappar transparent till serverns faktiska adress, t.ex. 192.100.81.101. DCOM lagrar råa IP-adresser i gränssnittshanteringspaketen. Om klienten inte kan ansluta till den adress som anges i paketet fungerar det inte.

Mer information

Värdena (och Internetnyckeln) som beskrivs nedan visas inte i registret. De måste läggas till manuellt med hjälp av registry-Editor.

Med Registry Editor kan du ändra följande parametrar för RPC. Värdena för RPC-portnyckeln som beskrivs nedan finns alla i följande nyckel i registret:

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\Entry name Data Type

• Portar REG_MULTI_SZ

  Anger en uppsättning IP-portintervall som består av antingen alla portar som är tillgängliga från Internet eller alla portar som inte är tillgängliga från Internet. Varje sträng representerar en enskild port eller en inkluderande uppsättning portar.

  En enskild port kan till exempel representeras av 5984 och en uppsättning portar kan representeras av 5000–5100. Om några poster ligger utanför intervallet 0 till 65535, eller om någon sträng inte kan tolkas, behandlar RPC-körningen hela konfigurationen som ogiltig.

• PortsInternetAvailable REG_SZ Y eller N (inte skiftlägeskänslig)

  Om Y är portarna som anges i portnyckeln alla Internettillgängliga portar på datorn. Om N är portarna som anges i portnyckeln alla de portar som inte är internettillgängliga.

• UseInternetPorts REG_SZ Y eller N (inte skiftlägeskänsligt

  Anger systemets standardprincip.

  Om Y, kommer processerna som använder standardvärdet att tilldelas portar från uppsättningen internettillgängliga portar, enligt vad som definierats tidigare. Om N, tilldelas processerna som använder standardportarna från uppsättningen med portar endast för intranät.

Exempel

I det här exemplet har portarna 5000 till och med 6 000 valts godtyckligt för att illustrera hur den nya registernyckeln kan konfigureras. Det är inte en rekommendation om ett minsta antal portar som behövs för ett visst system.

1. Lägg till Internetnyckeln under HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc

2. Under Internetnyckeln lägger du till värdena Portar (MULTI_SZ), PortsInternetAvailable (REG_SZ) och UseInternetPorts (REG_SZ).

   Den nya registernyckeln visas till exempel på följande sätt:

   Portar: REG_MULTI_SZ: 5000-6000
   PortsInternetAvailable: REG_SZ: Y
   UseInternetPorts: REG_SZ: Y

3. Starta om servern. Alla program som använder dynamisk RPC-portallokering använder portarna 5000 till och med 6 000, inklusive.

Du bör öppna ett intervall med portar ovanför port 5000. Portnummer under 5000 kanske redan används av andra program och kan orsaka konflikter med dina DCOM-program. Tidigare erfarenheter visar dessutom att minst 100 portar bör öppnas, eftersom flera systemtjänster förlitar sig på dessa RPC-portar för att kommunicera med varandra.

Log Name: System  
Source: NETLOGON  
Event ID: 5820  
Level: Error  
Keywords: Classic  
Description:  
The Netlogon service could not add the AuthZ RPC interface. The service was terminated. The following error occurred: The parameter is incorrect.

Mer information finns i:

• Tjänsteöversikt och krav på nätverksport för Windows
• Så här konfigurerar du en brandvägg för domäner och förtroenden i Active Directory
• Begränsa Active Directory RPC-trafik till en specifik port
• Standardintervallet för dynamisk port för TCP/IP har ändrats sedan Windows Vista och Windows Server 2008