您目前已離線,請等候您的網際網路重新連線

如何設定 RPC 動態連接埠配置以使用防火牆

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

重要 本文包含有關修改登錄的相關資訊。修改登錄之前,請務必將它備份起來,並瞭解如何在發生問題時還原登錄。如需有關如何備份、還原和修改登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986 Microsoft Windows 登錄說明
結論
遠端系統管理應用程式 (像是 Dynamic Host Configuration Protocol (DHCP) 管理員、Windows Internet Name Service (WINS) 管理員,以此類推) 會使用遠端程序呼叫 (RPC,Remote Procedure Call) 動態連接埠配置。RPC 動態連接埠配置將指示 RPC 程式使用大於 1024 的特定隨機連接埠。

使用防火牆的客戶可能想要控制 RPC 所使用的連接埠,以便設定防火牆路由器只轉寄這些「傳輸控制通訊協定」(TCP,Transmission Control Protocol) 連接埠。

下列登錄項目可以套用至 Windows NT 4.0 和更新的版本。其並不適用於舊版的 Windows NT。雖然您可以設定用戶端用來與伺服器進行通訊的連接埠,但是用戶端必須能夠透過實際的 IP 位址連接至伺服器。您無法透過處理位址轉譯的防火牆 (例如,用戶端連線至虛擬位址 198.252.145.1,而防火牆會透通性地對應至伺服器的實際位址,像是 192.100.81.101) 使用 DCOM。這是因為 DCOM 會儲存介面封送處理封包中未經處理的 IP 位址,而如果用戶端無法連線至封包中指定的位址時,其便無法正常運作。

如需詳細資訊,請參閱 Microsoft《搭配防火牆使用 DCOM》白皮書 (英文)。如果要執行這項操作,請造訪下列 Microsoft 網站:
其他相關資訊
下列討論的值 (和網際網路機碼) 並不會出現在登錄中;其必須使用「登錄編輯程式」手動加入。同時請注意,您必須使用 Regedt32.exe 取代 Regedit.exe 來新增 REG_MULTI_SZ 值。

警告 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。這些問題可能會需要您重新安裝作業系統才能解決。Microsoft 不保證可以解決這些問題。請自行承擔修改登錄的一切風險。

您可以使用「登錄編輯程式」修改下列 RPC 的參數。下列討論的 RPC 連接埠機碼值都位於登錄的下列機碼中:
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\ Key Data Type


連接埠 REG_MULTI_SZ
指定一組 IP 連接埠範圍,由所有網際網路可用的連接埠,或所有網際網路無法使用的連接埠所組成。每個字串代表單一連接埠或一組連接埠間隔。單一連接埠可以由 5984 代表,而一組連接埠間隔則可以由 5000-5100 代表。如果任何項目在 0 到 65535 的範圍之外,或是有任何字串無法解譯,RPC Runtime 會將整個設定視為無效。
PortsInternetAvailable REG_SZ Y 或 N (沒有區分大小寫)
如果是 Y,「連接埠」機碼中所列出的連接埠,都是電腦上可以使用的網際網路連接埠。如果是 N,「連接埠」機碼中所列出的連接埠,都是無法使用的網際網路連接埠。
UseInternetPorts REG_SZ ) Y 或 N (沒有區分大小寫)
指定系統預設原則。
如果是 Y,將會如同之前的定義,從可以使用的一組網際網路連接埠中,指定連接埠給使用預設值的處理程序。
如果是 N,便會從一組僅供內部網路使用的連接埠中,指定連接埠給使用預設值的處理程序。
範例:
  1. 新增網際網路機碼於:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
  2. 在網際網路機碼中,新增值 "Ports" (MULTI_SZ)、"PortsInternetAvailable" (REG_SZ) 和 "UseInternetPorts" (REG_SZ)。

    在此範例中,其使用介於 5000 到 5100 的連接埠,因此新增的登錄機碼會顯示如下:
    連接埠:REG_MULTI_SZ: 5000-5100
    PortsInternetAvailable:REG_SZ:Y
    UseInternetPorts:REG_SZ:Y
  3. 重新啟動伺服器。所有使用 RPC 動態連接埠配置的應用程式,會使用介於 5000 到 5100 的連接埠。在大部分的環境中,最少應該打開 100 個連接埠,因為有些系統服務依靠這些 RPC 連接埠相互進行通訊。
您應該開啟大於 5000 的連接埠範圍。其他應用程式可能已經使用小於 5000 的連接埠,並且會與您的 DCOM 應用程式發生衝突。此外,之前的經驗顯示最少應該打開 100 個連接埠,因為有些系統服務依靠這些 RPC 連接埠相互進行通訊。

注意 每台電腦的最小連接埠數量各有不同,且視電腦設定而異。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
167128SMS: Network ports used by remote Helpdesk functions
179442 如何設定網域和信任的防火牆
263293 Windows 2000 NAT Does Not Translate Netlogon Traffic
172227 Network Address Translators (NATs) can block Netlogon traffic
319553 How to restrict FRS replication traffic to a specific static port
如果您使用 Windows Server 2003,可以使用 Windows Server 2003 Resource Kit 的 RPC 設定工具 (RPCCfg.exe) 來完成本文告訴您的程序。如果要取得 RPC 設定工具,請造訪下列 Microsoft 網站:
ephemeral com dcom com+ msmq enterprise
內容

文章識別碼:154596 - 最後檢閱時間:10/26/2007 15:39:00 - 修訂: 11.4

Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server, Microsoft Windows NT Server 4.0 Standard Edition

  • kbhowto kbnetwork kbdcom kbproductlink KB154596
意見反應
ute = "76500"; var Ctrl = ""; document.write("