Einschränken des Active Directory-RPC-Datenverkehrs auf einen bestimmten Port

In diesem Artikel wird beschrieben, wie Sie Remoteprozeduraufrufe (ACTIVE Directory, AD) für remoteprozeduren (RPC)-Datenverkehr auf einen bestimmten Port in Windows Server einschränken.

Gilt für: alle unterstützten Versionen von Windows Server
Ursprüngliche KB-Nummer: 224196

Zusammenfassung

Standardmäßig erfolgen Remoteprozeduraufrufe der Active Directory-Replikation (REMOTE Procedure Calls, RPC) dynamisch über einen verfügbaren Port über die RPC Endpoint Mapper (RPCSS) mithilfe von Port 135. Ein Administrator kann diese Funktionalität außer Kraft setzen und den Port angeben, über den der gesamte Active Directory-RPC-Datenverkehr durchläuft. Mit diesem Verfahren wird der Port gesperrt.

Wenn Sie Ports angeben, die mithilfe der Registrierungseinträge in "Weitere Informationen" verwendet werden sollen, werden sowohl der serverseitige Active Directory-Replikationsdatenverkehr als auch der Client-RPC-Datenverkehr vom Endpunktzuordnung an diese Ports gesendet. Diese Konfiguration ist möglich, da alle von Active Directory unterstützten RPC-Schnittstellen auf allen Ports ausgeführt werden, auf denen sie lauschen.

Notiz

In diesem Artikel wird nicht beschrieben, wie Sie die AD-Replikation für eine Firewall konfigurieren. Zusätzliche Ports müssen geöffnet werden, damit die Replikation über eine Firewall funktioniert. Beispielsweise müssen Ports für das Kerberos-Protokoll möglicherweise geöffnet werden. Eine vollständige Liste der erforderlichen Ports für Dienste in einer Firewall finden Sie unter Dienstübersicht und Netzwerkportanforderungen für Windows.

Weitere Informationen

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.

Wenn Sie eine Verbindung mit einem RPC-Endpunkt herstellen, kontaktiert die RPC-Laufzeit auf dem Client den RPCSS auf dem Server an einem bekannten Port (135). Außerdem erhält er den Port, mit dem eine Verbindung für den Dienst hergestellt werden soll, der die gewünschte RPC-Schnittstelle unterstützt. Es wird davon ausgegangen, dass der Client die vollständige Bindung nicht kennt. Dies ist die Situation mit allen AD-RPC-Diensten.

Der Dienst registriert einen oder mehrere Endpunkte beim Start und hat die Wahl eines dynamisch zugewiesenen Ports oder eines bestimmten Ports.

Wenn Sie Active Directory und Netlogon so konfigurieren, dass sie wie im folgenden Eintrag am Port x ausgeführt werden, wird es zu den Ports, die zusätzlich zum standardmäßigen dynamischen Port bei der Endpunktzuordnung registriert sind.

Verwenden Sie den Registrierungs-Editor, um die folgenden Werte auf jedem Domänencontroller zu ändern, in dem die eingeschränkten Ports verwendet werden sollen. Mitgliedsserver werden nicht als Anmeldeserver betrachtet. Die statische Portzuweisung für NTDS wirkt sich also nicht auf Memberserver aus.

Memberserver verfügen über die Netlogon RPC-Schnittstelle, werden jedoch selten verwendet. Einige Beispiele können das Abrufen von Remotekonfigurationen sein, z nltest /server:member.contoso.com /sc_query:contoso.com. B. .

Registrierungsschlüssel 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Registrierungswert: TCP/IP-Port
Werttyp: REG_DWORD
Wertdaten: (verfügbarer Port)

Starten Sie den Computer neu, damit die neue Einstellung wirksam wird.

Registrierungsschlüssel 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Registrierungswert: DCTcpipPort
Werttyp: REG_DWORD
Wertdaten: (verfügbarer Port)

Starten Sie den Netlogon-Dienst neu, damit die neue Einstellung wirksam wird.

Notiz

Wenn Sie den DCTcpipPort Registrierungseintrag verwenden und ihn auf denselben Port wie der TCP/IP Port Registrierungseintrag festlegen, erhalten Sie das Netlogon-Fehlerereignis 5809 unter NTDS\Parameters. Dies gibt an, dass der konfigurierte Port verwendet wird, und Sie sollten einen anderen Port auswählen.

Sie erhalten dasselbe Ereignis, wenn Sie über einen eindeutigen Port verfügen und den Netlogon-Dienst auf dem Domänencontroller neu starten. Dieses Verhalten ist beabsichtigt. Dies geschieht aufgrund der Art und Weise, wie die RPC-Laufzeit die Serverports verwaltet. Der Port wird nach dem Neustart verwendet, und das Ereignis kann ignoriert werden.

Administratoren sollten bestätigen, dass die Kommunikation über den angegebenen Port aktiviert ist, wenn zwischengeschaltete Netzwerkgeräte oder Software zum Filtern von Paketen zwischen den Domänencontrollern verwendet werden.

Häufig müssen Sie auch den RPC-Port des Dateireplikationsdiensts (FILE Replication Service, FRS) manuell festlegen, da AD und FRS-Replikation mit denselben Domänencontrollern repliziert werden. Der FRS-RPC-Port sollte einen anderen Port verwenden.

Gehen Sie nicht davon aus, dass Clients nur die Netlogon-RPC-Dienste verwenden und daher nur die Einstellung DCTcpipPort erforderlich ist. Clients verwenden auch andere RPC-Dienste wie SamRPC, LSARPC und auch die Directory Replication Services (DRS)-Schnittstelle. Sie sollten immer sowohl Registrierungseinstellungen konfigurieren als auch beide Ports in der Firewall öffnen.

Bekannte Probleme

Nachdem Sie die Ports angegeben haben, treten möglicherweise die folgenden Probleme auf:

• Lange Anmeldezeit nach dem Festlegen eines bestimmten statischen Ports für NTDS und Netlogon in einer Windows Server 2008 R2-basierten Domänenumgebung
• Die AD-Replikation schlägt mit einem RPC-Problem fehl, nachdem Sie einen statischen Port für NTDS in einer Windows-basierten Domänenumgebung festgelegt haben.
• Die Anmeldung schlägt fehl, nachdem Sie client-RPC auf DC-Datenverkehr in Windows Server 2012 R2 oder Windows Server 2008 R2 beschränkt haben.

Um die Probleme zu beheben, installieren Sie die in den Artikeln erwähnten Updates.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir, die Informationen zu sammeln, indem Sie die unter " Sammeln von Informationen" genannten Schritte ausführen, indem Sie TSS für Active Directory-Replikationsprobleme verwenden.