Begränsa Active Directory RPC-trafik till en specifik port
Den här artikeln beskriver hur du begränsar RPC-trafik (Active Directory) replikering av fjärrproceduranrop till en specifik port i Windows Server.
Gäller för: alla versioner av Windows Server som stöds
Ursprungligt KB-nummer: 224196
Sammanfattning
Som standard sker anrop för Active Directory-replikering av fjärrprocedurer (RPC) dynamiskt över en tillgänglig port via RPC Endpoint Mapper (RPCSS) med hjälp av port 135. En administratör kan åsidosätta den här funktionen och ange den port som all Active Directory RPC-trafik passerar genom. Den här proceduren låser porten.
När du anger portar som ska användas med hjälp av registerposterna i Mer information skickas både Replikeringstrafik på serversidan och klient-RPC-trafik till dessa portar av slutpunktsmapparen. Den här konfigurationen är möjlig eftersom alla RPC-gränssnitt som stöds av Active Directory körs på alla portar där den lyssnar.
Obs!
Den här artikeln beskriver inte hur du konfigurerar AD-replikering för en brandvägg. Ytterligare portar måste öppnas för att replikeringen ska fungera via en brandvägg. Portar kan till exempel behöva öppnas för Kerberos-protokollet. En fullständig lista över de portar som krävs för tjänster i en brandvägg finns i Tjänstöversikt och krav på nätverksportar för Windows.
Mer information
Viktigt
Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Mer information om hur du säkerhetskopierar och återställer registret finns i Hur du säkerhetskopierar och återställer registret i Windows.
När du ansluter till en RPC-slutpunkt kontaktar RPC-körningen på klienten RPCSS på servern på en välkänd port (135). Och den hämtar porten att ansluta till för tjänsten som stöder önskat RPC-gränssnitt. Det förutsätter att klienten inte känner till den fullständiga bindningen. Det är situationen med alla AD RPC-tjänster.
Tjänsten registrerar en eller flera slutpunkter när den startar och har valet av en dynamiskt tilldelad port eller en specifik port.
Om du konfigurerar Active Directory och Netlogon så att de körs på port x som i följande post blir det portarna som registreras med slutpunktsmapparen utöver den dynamiska standardporten.
Använd Registry Editor för att ändra följande värden på varje domänkontrollant där de begränsade portarna ska användas. Medlemsservrar anses inte vara inloggningsservrar. Så statisk porttilldelning för NTDS har ingen effekt på medlemsservrar.
Medlemsservrar har Netlogon RPC-gränssnittet, men används sällan. Vissa exempel kan vara fjärrkonfigurationshämtning, till exempel nltest /server:member.contoso.com /sc_query:contoso.com.
Registernyckel 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Registervärde: TCP/IP-port
Värdetyp: REG_DWORD
Värdedata: (tillgänglig port)
Starta om datorn för att den nya inställningen ska börja gälla.
Registernyckel 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Registervärde: DCTcpipPort
Värdetyp: REG_DWORD
Värdedata: (tillgänglig port)
Starta om Netlogon-tjänsten för att den nya inställningen ska börja gälla.
Obs!
När du använder DCTcpipPort registerposten och anger den till samma port som TCP/IP Port registerposten får du Netlogon-felhändelsen 5809 under NTDS\Parameters. Detta anger att den konfigurerade porten används och att du bör välja en annan port.
Du får samma händelse när du har en unik port och du startar om Netlogon-tjänsten på domänkontrollanten. Detta är avsiktligt. Det inträffar på grund av hur RPC-körningen hanterar sina serverportar. Porten används efter omstarten och händelsen kan ignoreras.
Administratörer bör bekräfta att kommunikationen via den angivna porten är aktiverad om några mellanliggande nätverksenheter eller programvara används för att filtrera paket mellan domänkontrollanterna.
Ofta måste du också manuellt ange RPC-porten (File Replication Service) eftersom AD- och FRS-replikering replikeras med samma domänkontrollanter. FRS RPC-porten bör använda en annan port.
Anta inte att klienterna bara använder Netlogon RPC-tjänsterna och därför krävs bara inställningen DCTcpipPort . Klienter använder också andra RPC-tjänster som SamRPC, LSARPC och även DRS-gränssnittet (Directory Replication Services). Du bör alltid konfigurera båda registerinställningarna och öppna båda portarna i brandväggen.
Kända problem
När du har angett portarna kan följande problem uppstå:
- Lång inloggningstid efter att du angett en specifik statisk port för NTDS och Netlogon i en Windows Server 2008 R2-baserad domänmiljö
- AD-replikering misslyckas med ett RPC-problem när du har angett en statisk port för NTDS i en Windows-baserad domänmiljö
- Inloggningen misslyckas när du begränsar klientens RPC till DC-trafik i Windows Server 2012 R2 eller Windows Server 2008 R2
Lös problemen genom att installera uppdateringarna som nämns i artiklarna.
Datainsamling
Om du behöver hjälp från Microsofts support rekommenderar vi att du samlar in informationen genom att följa stegen i Samla in information med hjälp av TSS för Active Directory-replikeringsproblem.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för