你目前正处于脱机状态,正在等待 Internet 重新连接

将 Active Directory 复制流量限制在特定端口

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

重要说明:本文包含有关如何修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在出现问题时如何还原注册表。有关如何备份、还原和修改注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
概要
默认情况下,通过 RPC(远程过程调用)的 Active Directory 复制与 Microsoft Exchange 相同,都是经由使用端口 135 的 RPC 终结点映射器 (RPCSS),通过可用端口动态进行的。与 Microsoft Exchange 一样,管理员可以覆盖此功能,并指定所有复制流量通过的端口,从而锁定此端口。

在使用下文提及的注册表项指定用于复制的端口时,客户端还可以连接到所需的 RPC 接口,以进行身份验证和获取域信息。之所以能够这么做,是因为受 Active Directory 支持的所有 RPC 接口都在其监听的所有端口上运行。

注意:本文并不暗示可以通过防火墙进行复制。例如,必须开放多个端口,Kerberos 等才能工作。如果您需要这样做,请使用虚拟专用网络。
更多信息
警告:如果使用注册表编辑器或其他方法错误地修改了注册表,则可能导致严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。

连接到某个 RPC 终结点时,假定客户端不知道完整绑定(DS 复制就属于这种情况),客户端上的 RPC 运行时会在已知的端口 (135) 上联系服务器上的 RPC 终结点映射器 (RPCSS),并获得该端口以连接到支持所需 RPC 接口的服务。

服务启动时会注册终结点,并且可以选择是使用动态分配的端口还是使用特定端口。

如果您根据下面的条目将 Active Directory 配置为在“端口 x”上运行,此端口将成为注册终结点映射器的端口。

使用注册表编辑器,修改将使用受限端口的每个域控制器上的以下值:

注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
注册表值:TCP/IP Port
数值类型:REG_DWORD
数值数据:(可用端口)

管理员应确认,是否使用任何中间网络设备或软件来筛选域控制器之间的数据包,以及是否允许通过指定端口进行通信。

通常,还必须手动设置文件复制服务 (FRS) RPC 端口,因为 AD 和 FRS 复制使用相同的域控制器进行复制。有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
319553如何限制特定静态端口的 FRS 复制流量

如果将 Active Directory 复制设置为允许 RPC 使用的端口范围之外的固定端口,以便通过防火墙控制访问和登录,则必须在防火墙上打开复制端口和动态 RPC 端口,以允许访问和登录。这是因为登录过程使用复制端口进行用户映射。

您可能希望将 Active Directory 复制设置为允许 RPC 使用的端口范围之外的固定端口,以便通过防火墙控制访问和登录。不过,如果这样做,就必须在防火墙上打开复制端口和动态 RPC 端口。这是因为登录过程使用复制端口进行用户映射。
有关 RPC 终结点映射程序的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
154596如何配置与防火墙一起使用的 RPC 动态端口分配
属性

文章 ID:224196 - 上次审阅时间:05/25/2006 16:44:00 - 修订版本: 6.2

Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition

  • kbinfo kbenv KB224196
反馈