Konfigurieren der dynamischen RPC-Portzuweisung für Firewall-Einsatz

In diesem Artikel können Sie die Remoteprozeduraufrufparameter (RPC) in der Registrierung ändern, um sicherzustellen, dass die dynamische RPC-Portzuweisung mit Firewalls funktionieren kann.

Ursprüngliche KB-Nummer: 154596

Übersicht

Die dynamische RPC-Portzuweisung wird von Serveranwendungen und Remoteverwaltungsanwendungen verwendet, z. B. DHCP-Manager (Dynamic Host Configuration Protocol), Windows Internet Name Service (WINS)-Manager usw. Die dynamische RPC-Portzuordnung weist das RPC-Programm an, basierend auf der Implementierung des verwendeten Betriebssystems einen bestimmten zufälligen Port im für TCP und UDP konfigurierten Bereich zu verwenden. Weitere Informationen finden Sie weiter unten in den Referenzen.

Kunden, die Firewalls verwenden, möchten möglicherweise steuern, welche Ports RPC verwendet, damit ihr Firewallrouter so konfiguriert werden kann, dass nur diese UDP- und TCP-Ports (Transmission Control Protocol) weitergeleitet werden.

Mit vielen RPC-Servern in Windows können Sie den Serverport in benutzerdefinierten Konfigurationselementen wie Registrierungseinträgen angeben. Wenn Sie einen dedizierten Serverport angeben können, wissen Sie, welcher Datenverkehr zwischen den Hosts über die Firewall fließt. Und Sie können definieren, welcher Datenverkehr auf eine gezieltere Weise zulässig ist.

Wählen Sie als Serverport einen Port außerhalb des Bereichs aus, den Sie unten angeben möchten. Sie finden eine umfassende Liste der Serverports, die in Windows und wichtigen Microsoft-Produkten in Serviceübersicht und Netzwerkportanforderungen für Windows verwendet werden.

Der Artikel enthält außerdem die RPC-Server und welche RPC-Server so konfiguriert werden können, dass benutzerdefinierte Serverports verwendet werden können, die über die Von der RPC-Laufzeit bereitgestellten Einrichtungen hinausgehen.

Einige Firewalls ermöglichen auch die UUID-Filterung, in der sie von einer RPC Endpoint Mapper-Anforderung für eine RPC-Schnittstelle UUID lernt. Die Antwort hat die Serverportnummer, und eine nachfolgende RPC-Bindung für diesen Port kann dann übergeben werden.

Wichtig

Verwenden Sie die in diesem Artikel beschriebene Methode nur, wenn der RPC-Server keine Möglichkeit zum Definieren des Serverports bietet.

Die folgenden Registrierungseinträge gelten für Windows NT 4.0 und höher. Sie gelten nicht für frühere Versionen von Windows NT. Obwohl Sie den vom Client verwendeten Port für die Kommunikation mit dem Server konfigurieren können, muss der Client den Server über seine tatsächliche IP-Adresse erreichen können. Sie können DCOM nicht über Firewalls verwenden, die die Adressübersetzung ausführen. Beispielsweise stellt ein Client eine Verbindung mit der virtuellen Adresse 192.168.1.2, die die Firewall transparent der tatsächlichen Adresse des Servers zuordnet, z. B. 192.168.1.3. DCOM speichert unformatierte IP-Adressen in den Schnittstellenmarsingpaketen. Wenn der Client keine Verbindung mit der im Paket angegebenen Adresse herstellen kann, funktioniert dies nicht.

Weitere Informationen

Die unten beschriebenen Werte (und Internetschlüssel) werden in der Registrierung nicht angezeigt. Sie müssen manuell mithilfe des Registrierungs-Editors hinzugefügt werden.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Mit dem Registrierungs-Editor können Sie die folgenden Parameter für RPC ändern. Die unten beschriebenen Werte des RPC-Portschlüssels befinden sich alle im folgenden Schlüssel in der Registrierung:

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\Entry name Data Type

• Ports REG_MULTI_SZ

  Gibt eine Reihe von IP-Portbereichen an, die entweder aus allen ports bestehen, die über das Internet verfügbar sind, oder aus allen Ports, die nicht über das Internet verfügbar sind. Jede Zeichenfolge stellt einen einzelnen Port oder einen inklusiven Satz von Ports dar.

  Beispielsweise kann ein einzelner Port durch 5984 dargestellt werden, und eine Gruppe von Ports kann durch 5000-5100 dargestellt werden. Wenn sich Einträge außerhalb des Bereichs von 0 bis 65535 befinden oder eine Zeichenfolge nicht interpretiert werden kann, behandelt die RPC-Laufzeit die gesamte Konfiguration als ungültig.

• PortsInternetAvailable REG_SZ Y oder N (ohne Groß-/Kleinschreibung)

  Wenn Y, sind die im Ports-Schlüssel aufgeführten Ports alle internet verfügbaren Ports auf diesem Computer. Wenn N, sind die im Ports-Schlüssel aufgeführten Ports alle Ports, die nicht im Internet verfügbar sind.

• UseInternetPorts REG_SZ Y oder N (keine Groß-/Kleinschreibung beachten

  Gibt die Systemstandardrichtlinie an.

  Wenn Y, werden den Prozessen, die den Standard verwenden, Ports aus der Gruppe der internetverwendigen Ports zugewiesen, wie zuvor definiert. Wenn N, werden den Prozessen, die die Standardeinstellung verwenden, Ports aus der Gruppe der reinen Intranetports zugewiesen.

Beispiel

In diesem Beispiel wurden die Ports 5000 bis einschließlich 6000 willkürlich ausgewählt, um zu veranschaulichen, wie der neue Registrierungsschlüssel konfiguriert werden kann. Es wird nicht empfohlen, dass für ein bestimmtes System mindestens eine Anzahl von Ports erforderlich ist.

1. Hinzufügen des Internetschlüssels unter HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc

2. Fügen Sie unter dem Internetschlüssel die Werte Ports (MULTI_SZ), PortsInternetAvailable (REG_SZ) und UseInternetPorts (REG_SZ) hinzu.

   Der neue Registrierungsschlüssel wird z. B. wie folgt angezeigt:

   Ports: REG_MULTI_SZ: 5000-6000
   PortsInternetAvailable: REG_SZ: Y
   UseInternetPorts: REG_SZ: Y

3. Starten Sie den Server neu. Alle Anwendungen, die die dynamische RPC-Portzuweisung verwenden, verwenden Ports 5000 bis einschließlich 6000.

Sie sollten eine Reihe von Ports über Port 5000 öffnen. Portnummern unter 5000 werden möglicherweise bereits von anderen Anwendungen verwendet und können Konflikte mit Ihren DCOM-Anwendungen verursachen. Darüber hinaus zeigt die vorherige Erfahrung, dass mindestens 100 Ports geöffnet werden sollten, da mehrere Systemdienste von diesen RPC-Ports abhängig sind, um miteinander zu kommunizieren.

Notiz

Die mindestanzahl der erforderlichen Ports kann sich von Computer zu Computer unterscheiden. Computer mit höherem Datenverkehr können in einer Portausschöpfungssituation auftreten, wenn die dynamischen RPC-Ports eingeschränkt sind. Berücksichtigen Sie dies beim Einschränken des Portbereichs.

Warnung

Wenn in der Portkonfiguration ein Fehler auftritt oder nicht genügend Ports im Pool vorhanden sind, kann der Endpunktzuordnungsdienst KEINE RPC-Server mit dynamischen Endpunkten registrieren. Wenn ein Konfigurationsfehler auftritt, ist der Fehlercode 87 (0x57) ERROR_INVALID_PARAMETER. Dies kann sich auch auf Windows-RPC-Server auswirken, z. B. Netlogon. In diesem Fall wird das Ereignis 5820 protokolliert:

Log Name: System  
Source: NETLOGON  
Event ID: 5820  
Level: Error  
Keywords: Classic  
Description:  
The Netlogon service could not add the AuthZ RPC interface. The service was terminated. The following error occurred: The parameter is incorrect.

Weitere Informationen finden Sie unter:

• Dienstübersicht und Netzwerkportanforderungen für Windows
• Konfigurieren einer Firewall für Active Directory-Domänen und Vertrauensstellungen
• Einschränken des Active Directory-RPC-Datenverkehrs auf einen bestimmten Port
• Der standardmäßige dynamische Portbereich für TCP/IP hat sich seit Windows Vista und in Windows Server 2008 geändert.