Şu anda çevrimdışısınız; İnternet'in yeniden bağlanması bekleniyor

Active Directory RPC trafiği belirli bir bağlantı noktasıyla sınırlama

Windows Server 2003 desteği 14 Temmuz 2015'te sona erdi

Microsoft, Windows Server 2003 desteğini 14 Temmuz 2015'te sona erdirdi. Bu değişiklik yazılım güncelleştirmelerinizi ve güvenlik seçeneklerinizi etkiledi. Bunun sizin için ne anlama geldiğini ve korunmaya nasıl devam edebileceğinizi öğrenin.

ÖNEMLİ: Bu makale, Microsoft Makine Çevirisi Düzenleme yazılımı tarafından tercüme edilmiş olup, yüksek olasılıkla profesyonel bir çevirmen yerine CTF teknolojisi kullanılarak, Microsoft Topluluğu tarafından düzenlenmiştir. Microsoft, Bilgi Bankamız içindeki tüm makaleleri kendi dilinizde okuyabilmeniz için size hem profesyonel çevirmenler tarafından tercüme edilen hem de makine tarafından tercüme edildikten sonra Topluluk tarafından kontrol edilen makaleler sunar. Bununla birlikte, makine tarafından tercüme edilen, hatta Topluluk tarafından kontrol edilen bir makale bile her zaman mükemmel dil kalitesinde olmayabilir. Makalede dilinizi konuşan yabancı birisinin yapabileceği türden sözcük, söz dizimi veya dilbilgisi hataları bulunabilir. Microsoft, içeriğin hatalı tercümesinin veya müşterilerimiz tarafından kullanımının doğurabileceği olası yanlış anlamalar, hatalar veya zararlardan sorumlu değildir. Öte yandan Microsoft, Makine Çevirisi Düzenleme işlemini geliştirmek amacıyla Makine Çevirisi Düzenleme yazılımını ve araçlarını sık sık güncelleştirmektedir.

Makalenin İngilizcesi aşağıdaki gibidir: 224196
Özet
Varsayılan olarak, Active Directory çoğaltma uzak yordam çağrıları (RPC) dinamik olarak üzerinden kullanılabilir bir bağlantı noktası üzerinden RPC Bitiş Noktası Eşleştiricisi (RPCSS) büyük OLASILIKLA 135 numaralı bağlantı noktasını kullanarak oluşur. Bir yönetici bu işlevi geçersiz kılmak ve tüm Active Directory RPC trafiğini geçtiği bağlantı noktasını belirtin. Bu yordam, bağlantı noktası aşağı kilitler.

"Ek bilgi" bölümünde anlatılan kayıt defteri girdileri kullanarak bağlantı noktalarını belirlemek, Active Directory sunucu tarafı çoğaltma trafiğini ve istemci RPC trafiği için bu bağlantı noktalarını son nokta eşleştiricisi tarafından gönderilir. Bu yapılandırma, Active Directory tarafından desteklenen tüm RPC Arabirimleri tüm bağlantı noktalarında dinleme yaptığı çalıştırdığınız için mümkündür.

NotBu makalede, AD çoğaltması için bir güvenlik duvarını yapılandırma konusunda açıklanmaz. Çoğaltmayı güvenlik duvarı üzerinden çalışmasını sağlamak için ek bağlantı noktalarının açık olması gerekir. Örneğin, bağlantı noktaları, Kerberos iletişim kuralı için açılması gerekebilir. Güvenlik Duvarı üzerinden hizmetler için gerekli bağlantı noktaları tam listesini edinmek için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
832017 Windows Server system hizmeti'ne genel bakış ve ağ bağlantı noktası gereksinimleri
Daha fazla bilgi

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımlar içermektedir. Ancak, kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Daha fazla koruma için değiştirmeden önce kayıt defterini yedekleyin. Daha sonra bir sorun çıktığında kayıt defterini geri yükleyebilirsiniz. Yedekleme ve geri yükleme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756 Windows kayıt defterini geri yükleme ve yedekleme
RPC bitiş noktası için bağlandığınızda, RPC çalıştırma zamanı istemci üzerindeki RPC Bitiş Noktası Eşleştiricisi (RPCSS büyük OLASILIKLA) iyi tanınan bağlantı noktası (135) sunucuda kurar ve istenen RPC arabirimini destekleyen hizmet için bağlanmak için bağlantı noktası alır. Bu, istemcinin tam bağlama bilmez varsayar. Tüm RPC AD hizmetleriyle böyledir.

Başlar ve dinamik olarak atanan bağlantı noktası veya belirli bir bağlantı noktası olan bir veya daha fazla bitiş noktası hizmet kaydeder.

Aşağıdaki girdiyi olduğu gibi Active Directory ve Netlogon "numaralı bağlantı noktasını x" çalıştırmak için yapılandırırsanız, bu bağlantı noktalarının yanı sıra standart dinamik bağlantı noktası Bitiş Noktası Eşleştiricisi ile kayıtlı olur.

Sınırlı bağlantı noktaları kullanılabilir olduğu her etki alanı denetleyicisinde aşağıdaki değerleri değiştirmek için Kayıt Defteri Düzenleyicisi'ni kullanın. Üye sunucularda oturum açma sunucusu kabul edilir değildir, bu nedenle statik bağlantı noktası ataması için NTDS onlar üzerinde bir etkisi yoktur.

Üye sunucularda Netlogon RPC arabirimine sahip, ancak nadiren kullanılır. Bazı örnekler, belki de uzak yapılandırmayı alma "nltest /server:member.contoso.com /sc_query:contoso.com" gibi olacaktır.

Kayıt defteri anahtarını 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Kayıt defteri değeri: TCP/IP bağlantı noktası
Değer türü: REG_DWORD
Değer verisi: (kullanılabilir bağlantı noktası)

Yeni ayarın etkinleşmesi bilgisayarı yeniden başlatmanız gerekir.

2 kayıt defteri anahtarı

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Kayıt defteri değeri: DCTcpipPort
Değer türü: REG_DWORD
Değer verisi: (kullanılabilir bağlantı noktası)

Yeni ayarının etkinleşmesi Netlogon hizmetini yeniden başlatmanız gerekir.

NotDCTcpipPort kayıt defteri girdisini kullanın ve "TCP/IP bağlantı noktası" kayıt defteri girdisi olarak aynı bağlantı noktasına ayarlanmış Netlogon hata olayı 5809 NTDS\Parameters altında alırsınız. Bu, yapılandırılan bağlantı noktası kullanılıyor ve farklı bir bağlantı noktası seçmeniz gereken gösterir.

Aynı olay bir benzersiz bağlantı noktası varsa ve etki alanı denetleyicisinde Netlogon hizmetini yeniden alırsınız. Bu, tasarım gereğidir ve RPC çalıştırma zamanı sunucu bağlantı noktalarını yöneten biçimi nedeniyle oluşur. Yeniden başlatma sonrasında kullanılacak bağlantı noktası ve olayı göz ardı edilebilir.

Yöneticiler, etki alanı denetleyicileri arasında paketleri süzmek için herhangi bir ara ağ aygıtlarını veya yazılımı kullanılırsa, belirtilen bağlantı noktası üzerinden iletişim etkinleştirildiğinden emin olmanız gerekir.

Sık sık, el ile de dosya çoğaltma hizmeti (FRS) RPC bağlantı noktası için ayarlamanız gerekir AD ve aynı etki alanı denetleyicileri ile FRS çoğaltma çoğaltılır. Dosya Çoğaltma Hizmeti (FRS) RPC bağlantı noktası başka bir bağlantı noktası kullanmanız gerekir. Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklayın:
319553 FRS çoğaltması trafiğini statik belirli bir bağlantı noktasıyla sınırlamak nasıl
İstemciler yalnızca Netlogon RPC hizmetlerini kullanır ve böylece yalnızca DCTcpipPort gereken ayardır varsayalım değil. İstemciler de SamRPC LSARPC ve ayrıca dizin çoğaltma Hizmetleri (DRS) arabirimi gibi diğer RPC hizmetlerini kullanıyor. Bu nedenle, her zaman her iki kayıt defteri ayarlarını yapılandırmak ve her iki güvenlik duvarı bağlantı noktalarını açın.

Bilinen sorunlar

Bağlantı noktalarını belirttikten sonra aşağıdaki sorunlarla karşılaşabilirsiniz:
2827870 Statik bir bağlantı NTDS ve Netlogon için Windows Server 2008 R2 tabanlı bir etki alanı ortamında ayarladıktan sonra uzun oturum açma saati
2912805 Windows tabanlı etki alanı ortamında NTDS için statik bir bağlantı noktasını ayarladıktan sonra bir RPC sorun AD çoğaltması başarısız oluyor
2987849 RPC istemci Windows Server 2012 R2 veya Windows Server 2008 R2 DC trafiği kısıtlamak sonra oturum açma başarısız oluyor
Sorunları gidermek için makalelerinde açıklanan güncelleştirmeleri yükleyin.

RPC Bitiş Noktası Eşleştiricisi hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
154596 RPC dinamik bağlantı noktası ayırmasını güvenlik duvarları ile çalışmak üzere yapılandırma

Uyarı: Bu makalenin çevirisi otomatik olarak yapılmıştır

Özellikler

Makale No: 224196 - Son İnceleme: 03/15/2015 09:33:00 - Düzeltme: 13.0

Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Standard x64 Edition, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Windows Server 2012 Standard, Windows Server 2012 R2 Standard

  • kbenv kbinfo kbmt KB224196 KbMttr
Geri bildirim
m=document.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">