Konfigurieren der dynamischen RPC-Portzuordnung für die Verwendung mit Firewalls

In diesem Artikel erfahren Sie, wie Sie die RPC-Parameter (Remote Procedure Call) in der Registrierung ändern, um sicherzustellen, dass die dynamische RPC-Portzuordnung mit Firewalls funktioniert.

Ursprüngliche KB-Nummer: 154596

Zusammenfassung

Die dynamische RPC-Portzuordnung wird von Serveranwendungen und Remoteverwaltungsanwendungen wie DHCP-Manager (Dynamic Host Configuration Protocol), WINS-Manager (Windows Internet Name Service) usw. verwendet. Die dynamische RPC-Portzuordnung weist das RPC-Programm an, basierend auf der Implementierung des verwendeten Betriebssystems einen bestimmten zufälligen Port in dem für TCP und UDP konfigurierten Bereich zu verwenden. Weitere Informationen finden Sie unter Referenzen weiter unten.

Kunden, die Firewalls verwenden, möchten möglicherweise steuern, welche Ports RPC verwendet, damit ihr Firewallrouter so konfiguriert werden kann, dass nur diese UDP- und TCP-Ports (Transmission Control Protocol) weitergeleitet werden.

Auf vielen RPC-Servern unter Windows können Sie den Serverport in benutzerdefinierten Konfigurationselementen wie Registrierungseinträgen angeben. Wenn Sie einen dedizierten Serverport angeben können, wissen Sie, welcher Datenverkehr zwischen den Hosts über die Firewall fließt. Und Sie können den zulässigen Datenverkehr gezielter definieren.

Wählen Sie als Serverport einen Port außerhalb des Bereichs aus, den Sie unten angeben möchten. Eine umfassende Liste der Serverports, die in Windows und wichtigen Microsoft-Produkten verwendet werden, finden Sie unter Dienstübersicht und Netzwerkportanforderungen für Windows.

In diesem Artikel werden auch die RPC-Server und die RPC-Server so konfiguriert, dass sie benutzerdefinierte Serverports verwenden, die über die von der RPC-Runtime bereitgestellten Funktionen hinausgehen.

Einige Firewalls ermöglichen auch die UUID-Filterung, wenn sie aus einer RPC-Endpunktzuordnungsanforderung für eine RPC-Schnittstellen-UUID lernt. Die Antwort hat die Serverportnummer, und eine nachfolgende RPC-Bindung an diesem Port kann dann übergeben werden.

Wichtig

Verwenden Sie die in diesem Artikel beschriebene Methode nur, wenn der RPC-Server keine Möglichkeit zum Definieren des Serverports bietet.

Die folgenden Registrierungseinträge gelten für Windows NT 4.0 und höher. Sie gelten nicht für frühere Versionen von Windows NT. Obwohl Sie den port konfigurieren können, der vom Client für die Kommunikation mit dem Server verwendet wird, muss der Client den Server über seine tatsächliche IP-Adresse erreichen können. DCOM kann nicht über Firewalls verwendet werden, die die Adressübersetzung durchführen. Beispielsweise stellt ein Client eine Verbindung mit der virtuellen Adresse 198.252.145.1 her, die die Firewall transparent der tatsächlichen Adresse des Servers 192.100.81.101 zuordnet. DCOM speichert unformatierte IP-Adressen in den Schnittstellenmarshallingpaketen. Wenn der Client keine Verbindung mit der im Paket angegebenen Adresse herstellen kann, funktioniert dies nicht.

Weitere Informationen

Die unten beschriebenen Werte (und Internetschlüssel) werden nicht in der Registrierung angezeigt. Sie müssen manuell mithilfe des Registrierungs-Editors hinzugefügt werden.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Mit dem Registrierungs-Editor können Sie die folgenden Parameter für RPC ändern. Die unten beschriebenen RPC-Portschlüsselwerte befinden sich alle im folgenden Schlüssel in der Registrierung:

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\Entry name Data Type

• Ports REG_MULTI_SZ

  Gibt einen Satz von IP-Portbereichen an, die entweder aus allen ports bestehen, die über das Internet verfügbar sind, oder aus allen Ports, die nicht über das Internet verfügbar sind. Jede Zeichenfolge stellt einen einzelnen Port oder einen inklusiven Satz von Ports dar.

  Beispielsweise kann ein einzelner Port durch 5984 und eine Reihe von Ports durch 5000 bis 5100 dargestellt werden. Wenn Einträge außerhalb des Bereichs von 0 bis 65535 liegen oder eine Zeichenfolge nicht interpretiert werden kann, behandelt die RPC-Runtime die gesamte Konfiguration als ungültig.

• PortsInternetAvailable REG_SZ Y oder N (keine Groß-/Kleinschreibung)

  Bei Y handelt es sich bei den im Schlüssel "Ports" aufgeführten Ports um alle im Internet verfügbaren Ports auf diesem Computer. Bei N handelt es sich bei den im Schlüssel Ports aufgeführten Ports um alle Ports, die nicht im Internet verfügbar sind.

• UseInternetPorts REG_SZ Y oder N (keine Groß-/Kleinschreibung beachten)

  Gibt die Standardrichtlinie des Systems an.

  Wenn Y, werden den Prozessen, die den Standard verwenden, Ports aus dem Satz der im Internet verfügbaren Ports zugewiesen, wie zuvor definiert. Bei N werden den Prozessen, die den Standard verwenden, Ports aus dem Satz von reinen Intranetports zugewiesen.

Beispiel

In diesem Beispiel wurden die Ports 5000 bis einschließlich 6000 willkürlich ausgewählt, um zu veranschaulichen, wie der neue Registrierungsschlüssel konfiguriert werden kann. Es wird keine Mindestanzahl von Ports empfohlen, die für ein bestimmtes System erforderlich sind.

1. Fügen Sie den Internetschlüssel unter hinzu. HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc

2. Fügen Sie unter dem Schlüssel Internet die Werte Ports (MULTI_SZ), PortsInternetAvailable (REG_SZ) und UseInternetPorts (REG_SZ) hinzu.

   Der neue Registrierungsschlüssel wird beispielsweise wie folgt angezeigt:

   Ports: REG_MULTI_SZ: 5000-6000
   PortsInternetAvailable: REG_SZ: Y
   UseInternetPorts: REG_SZ: Y

3. Starten Sie den Server neu. Alle Anwendungen, die die dynamische RPC-Portzuordnung verwenden, verwenden die Ports 5000 bis einschließlich 6000.

Sie sollten einen Portbereich über Port 5000 öffnen. Portnummern unter 5000 werden möglicherweise bereits von anderen Anwendungen verwendet und können Konflikte mit Ihren DCOM-Anwendungen verursachen. Darüber hinaus zeigen die bisherigen Erfahrungen, dass mindestens 100 Ports geöffnet werden sollten, da mehrere Systemdienste diese RPC-Ports für die Kommunikation miteinander verwenden.

Hinweis

Die Mindestanzahl der erforderlichen Ports kann sich von Computer zu Computer unterscheiden. Bei Computern mit höherem Datenverkehr kann es zu einer Portauslastung kommen, wenn die dynamischen RPC-Ports eingeschränkt sind. Berücksichtigen Sie dies beim Einschränken des Portbereichs.

Warnung

Wenn in der Portkonfiguration ein Fehler auftritt oder nicht genügend Ports im Pool vorhanden sind, kann der Endpunktzuordnungsdienst RPC-Server nicht bei dynamischen Endpunkten registrieren. Wenn ein Konfigurationsfehler auftritt, lautet der Fehlercode 87 (0x57) ERROR_INVALID_PARAMETER. Dies kann sich auch auf Windows RPC-Server auswirken, z. B. Netlogon. In diesem Fall wird das Ereignis 5820 protokolliert:

Log Name: System  
Source: NETLOGON  
Event ID: 5820  
Level: Error  
Keywords: Classic  
Description:  
The Netlogon service could not add the AuthZ RPC interface. The service was terminated. The following error occurred: The parameter is incorrect.

Weitere Informationen finden Sie unter:

• Dienstübersicht und Netzwerkportanforderungen für Windows
• Konfigurieren einer Firewall für Domänen und Vertrauensstellungen von Active Directory
• Einschränken des Active Directory-RPC-Datenverkehrs auf einen bestimmten Port
• Der standardmäßige dynamische Portbereich für TCP/IP wurde seit Windows Vista und windows Server 2008 geändert.