Active Directory RPC trafiğini belirli bir bağlantı noktasıyla kısıtlama

  • Makale

Bu makalede, Active Directory (AD) çoğaltma uzak yordam çağrıları (RPC) trafiğinin Windows Server'daki belirli bir bağlantı noktasıyla nasıl kısıtlandığı açıklanır.

Şunlar için geçerlidir: Windows Server'ın desteklenen tüm sürümleri
Özgün KB numarası: 224196

Özet

Varsayılan olarak, Active Directory çoğaltma uzak yordam çağrıları (RPC), 135 numaralı bağlantı noktası kullanılarak RPC Uç Nokta Eşleyicisi (RPCSS) aracılığıyla kullanılabilir bir bağlantı noktası üzerinden dinamik olarak gerçekleşir. Bir yönetici bu işlevselliği geçersiz kılabilir ve tüm Active Directory RPC trafiğinin geçtiği bağlantı noktasını belirtebilir. Bu yordam bağlantı noktasını kilitler.

Daha fazla bilgi'deki kayıt defteri girdilerini kullanarak kullanılacak bağlantı noktalarını belirttiğinizde, hem Active Directory sunucu tarafı çoğaltma trafiği hem de istemci RPC trafiği uç nokta eşleyicisi tarafından bu bağlantı noktalarına gönderilir. Active Directory tarafından desteklenen tüm RPC arabirimleri dinlediği tüm bağlantı noktalarında çalıştığından bu yapılandırma mümkündür.

Not

Bu makalede, güvenlik duvarı için AD çoğaltmanın nasıl yapılandırıldığı açıklanmaktadır. Çoğaltmanın bir güvenlik duvarı üzerinden çalışması için ek bağlantı noktaları açılmalıdır. Örneğin, Kerberos protokolü için bağlantı noktalarının açılması gerekebilir. Güvenlik duvarındaki hizmetler için gerekli bağlantı noktalarının tam listesini almak için bkz. Windows için hizmete genel bakış ve ağ bağlantı noktası gereksinimleri.

Daha fazla bilgi

Önemli

Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için bkz. Windows'ta kayıt defterini yedekleme ve geri yükleme.

Bir RPC uç noktasına bağlandığınızda, istemcideki RPC çalışma zamanı sunucudaki RPCSS ile iyi bilinen bir bağlantı noktasında (135) iletişim kurar. Ayrıca istenen RPC arabirimini destekleyen hizmet için bağlanacak bağlantı noktasını alır. İstemcinin bağlamanın tamamını bilmediği varsayılır. Tüm AD RPC hizmetlerinde durum böyledir.

Hizmet başlatıldığında bir veya daha fazla uç noktayı kaydeder ve dinamik olarak atanmış bir bağlantı noktası veya belirli bir bağlantı noktası seçme seçeneğine sahiptir.

Active Directory ve Netlogon'u aşağıdaki girişte olduğu gibi x bağlantı noktasında çalışacak şekilde yapılandırırsanız, standart dinamik bağlantı noktasına ek olarak uç nokta eşleyicisiyle kaydedilen bağlantı noktaları olur.

Kısıtlı bağlantı noktalarının kullanılacağı her etki alanı denetleyicisinde aşağıdaki değerleri değiştirmek için Kayıt Defteri Düzenleyici kullanın. Üye sunucular oturum açma sunucuları olarak kabul edilmez. Dolayısıyla NTDS için statik bağlantı noktası ataması üye sunucuları etkilemez.

Üye sunucularda Netlogon RPC Arabirimi vardır, ancak nadiren kullanılır. Bazı örnekler, gibi nltest /server:member.contoso.com /sc_query:contoso.comuzak yapılandırma alma işlemi olabilir.

Kayıt defteri anahtarı 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Kayıt defteri değeri: TCP/IP Bağlantı Noktası
Değer türü: REG_DWORD
Değer verileri: (kullanılabilir bağlantı noktası)

Yeni ayarın etkili olması için bilgisayarı yeniden başlatın.

Kayıt defteri anahtarı 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Kayıt defteri değeri: DCTcpipPort
Değer türü: REG_DWORD
Değer verileri: (kullanılabilir bağlantı noktası)

Yeni ayarın etkili olması için Netlogon hizmetini yeniden başlatın.

Not

Kayıt defteri girdisini DCTcpipPort kullandığınızda ve kayıt defteri girdisi ile aynı bağlantı noktasına ayarladığınızda TCP/IP Port , altında NTDS\ParametersNetlogon hata olayı 5809 alırsınız. Bu, yapılandırılan bağlantı noktasının kullanımda olduğunu ve farklı bir bağlantı noktası seçmeniz gerektiğini gösterir.

Benzersiz bir bağlantı noktanız olduğunda aynı olayı alırsınız ve etki alanı denetleyicisinde Netlogon hizmetini yeniden başlatırsınız. Bu davranış tasarımdan kaynaklanır. RPC çalışma zamanının sunucu bağlantı noktalarını yönetme biçimi nedeniyle oluşur. Bağlantı noktası yeniden başlatmadan sonra kullanılır ve olay yoksayılabilir.

Yöneticiler, etki alanı denetleyicileri arasındaki paketleri filtrelemek için herhangi bir ara ağ cihazı veya yazılım kullanılırsa, belirtilen bağlantı noktası üzerinden iletişimin etkinleştirildiğini onaylamalıdır.

Ad ve FRS çoğaltması aynı Etki Alanı Denetleyicileriyle çoğaltılırsa, sık sık Dosya Çoğaltma Hizmeti (FRS) RPC bağlantı noktasını da el ile ayarlamanız gerekir. FRS RPC bağlantı noktası farklı bir bağlantı noktası kullanmalıdır.

İstemcilerin yalnızca Netlogon RPC hizmetlerini kullandığını ve bu nedenle yalnızca ayarın DCTcpipPort gerekli olduğunu varsaymayın. İstemciler ayrıca SamRPC, LSARPC ve dizin çoğaltma hizmetleri (DRS) arabirimi gibi diğer RPC hizmetlerini de kullanır. Her zaman her iki kayıt defteri ayarlarını da yapılandırmalı ve güvenlik duvarında her iki bağlantı noktasını da açmalısınız.

Bilinen sorunlar

Bağlantı noktalarını belirttikten sonra aşağıdaki sorunlarla karşılaşabilirsiniz:

Sorunları çözmek için makalelerde bahsedilen güncelleştirmeleri yükleyin.

Veri toplama

Microsoft desteğinden yardıma ihtiyacınız varsa, Active Directory çoğaltma sorunları için TSS kullanarak bilgi toplama bölümünde belirtilen adımları izleyerek bilgileri toplamanızı öneririz.