您目前已離線,請等候您的網際網路重新連線

使用中目錄 RPC 流量限制到特定的連接埠

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:224196
結論
根據預設,Active Directory 複寫遠端程序呼叫 (RPC) 發生動態透過可用的連接埠透過 RPC 端點對應程式 (RPCSS) 使用的連接埠 135。系統管理員可以覆寫這項功能,並指定所有作用中的目錄 RPC 資料傳輸通過的連接埠。此程序鎖定連接埠。

當您指定使用中的 〈 其他資訊 〉 一節所述的登錄項目使用的連接埠時,Active Directory 伺服器端的複寫流量和用戶端的 RPC 流量會傳送到這些連接埠,端點對應程式。這項設定可能是因為它正在接聽的所有連接埠上執行 Active Directory 所支援的所有 RPC 介面。

附註本文不說明如何設定防火牆的 AD 複寫。額外的連接埠必須開啟以進行複寫透過防火牆運作。例如,可能需要開啟 Kerberos 通訊協定連接埠。若要透過防火牆取得必要的通訊埠,服務的完整清單,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
832017 Windows 伺服器系統的服務概觀和網路連接埠需求
其他相關資訊

重要這個章節、 方法或工作包含修改登錄的步驟。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強保護,請在修改前備份登錄。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756 如何備份及還原 Windows 中的登錄
當您連線到 RPC 結束點時,RPC 執行階段在用戶端連絡熟知的連接埠 (135) 上的伺服器上的 RPC 端點對應程式 」 (RPCSS),並取得要連接到支援所要的 RPC 介面的服務的連接埠。這是假設用戶端不知道完整的繫結。這是與所有 AD RPC 服務的情況。

服務註冊一或多個端點時它會啟動,並且選擇是要動態指派連接埠或特定的連接埠。

如果您設定 Active Directory,並在 [連接埠 x] 執行的 Netlogon 與下列項目時,這就成為註冊使用端點對應程式,除了標準的動態連接埠的連接埠。

使用登錄編輯器來修改每個網域控制站上的下列值的使用限制的連接埠的位置。成員伺服器不會被視為是登入伺服器,因此 NTDS 的靜態通訊埠指派對它們沒有影響。

成員伺服器沒有 Netlogon RPC 介面,但很少使用。一些範例可能是遠端組態擷取,例如"nltest /server:member.contoso.com /sc_query:contoso.com 」。

登錄機碼 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

登錄值: TCP/IP 連接埠
實值型別: REG_DWORD
數值資料: (可用的連接埠)

您必須重新啟動電腦,新的設定才會生效。

登錄機碼 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

登錄值: DCTcpipPort
實值型別: REG_DWORD
數值資料: (可用的連接埠)

您必須重新啟動 Netlogon 服務,新設定才會生效。

附註當您使用 DCTcpipPort 登錄項目,並設為 「 TCP/IP 連接埠 」 登錄項目相同的連接埠時,您會收到下 NTDS\Parameters 的 Netlogon 錯誤事件 5809。這表示設定的連接埠正在使用中,而且您應該選擇不同的連接埠。

您會收到相同的事件時有唯一的連接埠,並重新啟動網域控制站上的 Netlogon 服務。這是根據設計,而且因為 RPC 執行階段管理其伺服器連接埠的方式,就會發生時。將重新啟動之後,使用連接埠,您可以忽略該事件。

系統管理員應該確認已啟用指定的連接埠上進行通訊,是否任何中繼網路裝置或軟體用來篩選網域控制站之間的封包。

通常,您必須手動設定,檔案複寫服務 (FRS) RPC 連接埠因為 AD 和 FRS 複寫複寫與相同的網域控制站。檔案複寫服務 (FRS) RPC 連接埠應該使用不同的連接埠。 如需詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
319553 如何限制 FRS 複寫流量至特定的靜態連接埠
請勿假設用戶端只使用 Netlogon RPC 服務,因此只設定 DCTcpipPort 是必要的。用戶端也使用其他的 RPC 服務,例如 SamRPC、 LSARPC,以及目錄複寫服務 (DRS) 介面。因此,您應該永遠設定這兩個登錄設定,並開啟防火牆上的兩個連接埠。

已知的問題

您指定的連接埠之後,您可能會遇到下列問題:
2827870 之後您為特定的靜態連接埠 NTDS 和 Netlogon 在 Windows Server 2008 R2 網域環境中的長登入時間
2912805 AD 複寫失敗的 RPC 問題之後的 NTDS 設定 windows 網域環境中的靜態連接埠
2987849 登入失敗之後您在 Windows Server 2012 R2 或 Windows Server 2008 R2 的 DC 流量限制用戶端 RPC
若要解決問題,請安裝文件中所提到的更新。

如需有關 RPC 端點對應程式的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
154596 如何設定 RPC 動態連接埠配置以使用防火牆

警告:本文為自動翻譯

內容

文章識別碼:224196 - 最後檢閱時間:05/23/2015 18:24:00 - 修訂: 13.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Standard x64 Edition, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Windows Server 2012 Standard, Windows Server 2012 R2 Standard

  • kbenv kbinfo kbmt KB224196 KbMtzh
意見反應