你目前正处于脱机状态,正在等待 Internet 重新连接

将 Active Directory 复制流量限制在特定端口

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

重要说明:本文包含有关如何修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在出现问题时如何还原注册表。有关如何备份、还原和修改注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
概要
默认情况下,通过 RPC(远程过程调用)的 Active Directory 复制与 Microsoft Exchange 相同,都是经由使用端口 135 的 RPC 终结点映射器 (RPCSS),通过可用端口动态进行的。与 Microsoft Exchange 一样,管理员可以覆盖此功能,并指定所有复制流量通过的端口,从而锁定此端口。

在使用下文提及的注册表项指定用于复制的端口时,客户端还可以连接到所需的 RPC 接口,以进行身份验证和获取域信息。之所以能够这么做,是因为受 Active Directory 支持的所有 RPC 接口都在其监听的所有端口上运行。

注意:本文并不暗示可以通过防火墙进行复制。例如,必须开放多个端口,Kerberos 等才能工作。如果您需要这样做,请使用虚拟专用网络。
更多信息
警告:如果使用注册表编辑器或其他方法错误地修改了注册表,则可能导致严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。

连接到某个 RPC 终结点时,假定客户端不知道完整绑定(DS 复制就属于这种情况),客户端上的 RPC 运行时会在已知的端口 (135) 上联系服务器上的 RPC 终结点映射器 (RPCSS),并获得该端口以连接到支持所需 RPC 接口的服务。

服务启动时会注册终结点,并且可以选择是使用动态分配的端口还是使用特定端口。

如果您根据下面的条目将 Active Directory 配置为在“端口 x”上运行,此端口将成为注册终结点映射器的端口。

使用注册表编辑器,修改将使用受限端口的每个域控制器上的以下值:

注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
注册表值:TCP/IP Port
数值类型:REG_DWORD
数值数据:(可用端口)

管理员应确认,是否使用任何中间网络设备或软件来筛选域控制器之间的数据包,以及是否允许通过指定端口进行通信。

通常,还必须手动设置文件复制服务 (FRS) RPC 端口,因为 AD 和 FRS 复制使用相同的域控制器进行复制。有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
319553如何限制特定静态端口的 FRS 复制流量

如果将 Active Directory 复制设置为允许 RPC 使用的端口范围之外的固定端口,以便通过防火墙控制访问和登录,则必须在防火墙上打开复制端口和动态 RPC 端口,以允许访问和登录。这是因为登录过程使用复制端口进行用户映射。

您可能希望将 Active Directory 复制设置为允许 RPC 使用的端口范围之外的固定端口,以便通过防火墙控制访问和登录。不过,如果这样做,就必须在防火墙上打开复制端口和动态 RPC 端口。这是因为登录过程使用复制端口进行用户映射。
有关 RPC 终结点映射程序的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
154596如何配置与防火墙一起使用的 RPC 动态端口分配
属性

文章 ID:224196 - 上次审阅时间:05/25/2006 16:44:00 - 修订版本: 6.2

  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • kbinfo kbenv KB224196
反馈
.js">