Active Directory RPC trafiğini belirli bir bağlantı noktasıyla kısıtlama
Bu makalede, Active Directory (AD) çoğaltma uzak yordam çağrıları (RPC) trafiğinin Windows Server'daki belirli bir bağlantı noktasıyla nasıl kısıtlandığı açıklanır.
Şunlar için geçerlidir: Windows Server'ın desteklenen tüm sürümleri
Özgün KB numarası: 224196
Özet
Varsayılan olarak, Active Directory çoğaltma uzak yordam çağrıları (RPC), 135 numaralı bağlantı noktası kullanılarak RPC Uç Nokta Eşleyicisi (RPCSS) aracılığıyla kullanılabilir bir bağlantı noktası üzerinden dinamik olarak gerçekleşir. Bir yönetici bu işlevselliği geçersiz kılabilir ve tüm Active Directory RPC trafiğinin geçtiği bağlantı noktasını belirtebilir. Bu yordam bağlantı noktasını kilitler.
Daha fazla bilgi'deki kayıt defteri girdilerini kullanarak kullanılacak bağlantı noktalarını belirttiğinizde, hem Active Directory sunucu tarafı çoğaltma trafiği hem de istemci RPC trafiği uç nokta eşleyicisi tarafından bu bağlantı noktalarına gönderilir. Active Directory tarafından desteklenen tüm RPC arabirimleri dinlediği tüm bağlantı noktalarında çalıştığından bu yapılandırma mümkündür.
Not
Bu makalede, güvenlik duvarı için AD çoğaltmanın nasıl yapılandırıldığı açıklanmaktadır. Çoğaltmanın bir güvenlik duvarı üzerinden çalışması için ek bağlantı noktaları açılmalıdır. Örneğin, Kerberos protokolü için bağlantı noktalarının açılması gerekebilir. Güvenlik duvarındaki hizmetler için gerekli bağlantı noktalarının tam listesini almak için bkz. Windows için hizmete genel bakış ve ağ bağlantı noktası gereksinimleri.
Daha fazla bilgi
Önemli
Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için bkz. Windows'ta kayıt defterini yedekleme ve geri yükleme.
Bir RPC uç noktasına bağlandığınızda, istemcideki RPC çalışma zamanı sunucudaki RPCSS ile iyi bilinen bir bağlantı noktasında (135) iletişim kurar. Ayrıca istenen RPC arabirimini destekleyen hizmet için bağlanacak bağlantı noktasını alır. İstemcinin bağlamanın tamamını bilmediği varsayılır. Tüm AD RPC hizmetlerinde durum böyledir.
Hizmet başlatıldığında bir veya daha fazla uç noktayı kaydeder ve dinamik olarak atanmış bir bağlantı noktası veya belirli bir bağlantı noktası seçme seçeneğine sahiptir.
Active Directory ve Netlogon'u aşağıdaki girişte olduğu gibi x bağlantı noktasında çalışacak şekilde yapılandırırsanız, standart dinamik bağlantı noktasına ek olarak uç nokta eşleyicisiyle kaydedilen bağlantı noktaları olur.
Kısıtlı bağlantı noktalarının kullanılacağı her etki alanı denetleyicisinde aşağıdaki değerleri değiştirmek için Kayıt Defteri Düzenleyici kullanın. Üye sunucular oturum açma sunucuları olarak kabul edilmez. Dolayısıyla NTDS için statik bağlantı noktası ataması üye sunucuları etkilemez.
Üye sunucularda Netlogon RPC Arabirimi vardır, ancak nadiren kullanılır. Bazı örnekler, gibi nltest /server:member.contoso.com /sc_query:contoso.com
uzak yapılandırma alma işlemi olabilir.
Kayıt defteri anahtarı 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Kayıt defteri değeri: TCP/IP Bağlantı Noktası
Değer türü: REG_DWORD
Değer verileri: (kullanılabilir bağlantı noktası)
Yeni ayarın etkili olması için bilgisayarı yeniden başlatın.
Kayıt defteri anahtarı 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Kayıt defteri değeri: DCTcpipPort
Değer türü: REG_DWORD
Değer verileri: (kullanılabilir bağlantı noktası)
Yeni ayarın etkili olması için Netlogon hizmetini yeniden başlatın.
Not
Kayıt defteri girdisini DCTcpipPort
kullandığınızda ve kayıt defteri girdisi ile aynı bağlantı noktasına ayarladığınızda TCP/IP Port
, altında NTDS\Parameters
Netlogon hata olayı 5809 alırsınız. Bu, yapılandırılan bağlantı noktasının kullanımda olduğunu ve farklı bir bağlantı noktası seçmeniz gerektiğini gösterir.
Benzersiz bir bağlantı noktanız olduğunda aynı olayı alırsınız ve etki alanı denetleyicisinde Netlogon hizmetini yeniden başlatırsınız. Bu davranış tasarımdan kaynaklanır. RPC çalışma zamanının sunucu bağlantı noktalarını yönetme biçimi nedeniyle oluşur. Bağlantı noktası yeniden başlatmadan sonra kullanılır ve olay yoksayılabilir.
Yöneticiler, etki alanı denetleyicileri arasındaki paketleri filtrelemek için herhangi bir ara ağ cihazı veya yazılım kullanılırsa, belirtilen bağlantı noktası üzerinden iletişimin etkinleştirildiğini onaylamalıdır.
Ad ve FRS çoğaltması aynı Etki Alanı Denetleyicileriyle çoğaltılırsa, sık sık Dosya Çoğaltma Hizmeti (FRS) RPC bağlantı noktasını da el ile ayarlamanız gerekir. FRS RPC bağlantı noktası farklı bir bağlantı noktası kullanmalıdır.
İstemcilerin yalnızca Netlogon RPC hizmetlerini kullandığını ve bu nedenle yalnızca ayarın DCTcpipPort
gerekli olduğunu varsaymayın. İstemciler ayrıca SamRPC, LSARPC ve dizin çoğaltma hizmetleri (DRS) arabirimi gibi diğer RPC hizmetlerini de kullanır. Her zaman her iki kayıt defteri ayarlarını da yapılandırmalı ve güvenlik duvarında her iki bağlantı noktasını da açmalısınız.
Bilinen sorunlar
Bağlantı noktalarını belirttikten sonra aşağıdaki sorunlarla karşılaşabilirsiniz:
- Windows Server 2008 R2 tabanlı etki alanı ortamında NTDS ve Netlogon için belirli bir statik bağlantı noktası ayarladıktan sonra uzun oturum açma süresi
- Windows tabanlı bir etki alanı ortamında NTDS için statik bağlantı noktası ayarladıktan sonra AD çoğaltması RPC sorunuyla başarısız oluyor
- Windows Server 2012 R2 veya Windows Server 2008 R2'de istemci RPC'sini DC trafiğine kısıtladıktan sonra oturum açma başarısız oluyor
Sorunları çözmek için makalelerde bahsedilen güncelleştirmeleri yükleyin.
Veri toplama
Microsoft desteğinden yardıma ihtiyacınız varsa, Active Directory çoğaltma sorunları için TSS kullanarak bilgi toplama bölümünde belirtilen adımları izleyerek bilgileri toplamanızı öneririz.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin