Compartir a través de

Cómo restringir el tráfico RPC de Active Directory a un puerto específico

  • Artículo

En este artículo se describe cómo restringir el tráfico de llamadas a procedimientos remotos (RPC) de replicación de Active Directory (AD) a un puerto específico en Windows Server.

Se aplica a: todas las versiones compatibles de Windows Server
Número de KB original: 224196

Resumen

De forma predeterminada, las llamadas a procedimientos remotos de replicación de Active Directory (RPC) se producen dinámicamente a través de un puerto disponible a través del asignador de puntos de conexión RPC (RPCSS) mediante el puerto 135. Un administrador puede invalidar esta funcionalidad y especificar el puerto que pasa todo el tráfico RPC de Active Directory. Este procedimiento bloquea el puerto.

Al especificar puertos que se van a usar mediante las entradas del Registro en Más información, tanto el tráfico de replicación del lado servidor de Active Directory como el tráfico RPC del cliente se envían a estos puertos mediante el asignador de puntos de conexión. Esta configuración es posible porque todas las interfaces RPC compatibles con Active Directory se ejecutan en todos los puertos en los que escucha.

Nota:

En este artículo no se describe cómo configurar la replicación de AD para un firewall. Se deben abrir puertos adicionales para que la replicación funcione a través de un firewall. Por ejemplo, es posible que sea necesario abrir puertos para el protocolo Kerberos. Para obtener una lista completa de los puertos necesarios para los servicios en un firewall, consulte Información general del servicio y requisitos de puertos de red para Windows.

Más información

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Para la protección añadida, realice una copia de seguridad del Registro antes de modificarlo. A continuación, puede restaurar el Registro si se produce un problema. Para obtener más información sobre cómo realizar copias de seguridad y restaurar el registro, vea Cómo hacer copia de seguridad y restaurar el registro en Windows.

Cuando se conecta a un punto de conexión RPC, el entorno de ejecución rpc del cliente se pone en contacto con RPCSS en el servidor en un puerto conocido (135). Y obtiene el puerto al que conectarse para el servicio que admite la interfaz RPC deseada. Se supone que el cliente no conoce el enlace completo. Es la situación con todos los servicios RPC de AD.

El servicio registra uno o varios puntos de conexión cuando se inicia y tiene la opción de un puerto asignado dinámicamente o un puerto específico.

Si configura Active Directory y Netlogon para que se ejecute en el puerto x como en la entrada siguiente, se convierte en los puertos registrados con el asignador de puntos de conexión además del puerto dinámico estándar.

Use el Editor del Registro para modificar los valores siguientes en cada controlador de dominio donde se van a usar los puertos restringidos. Los servidores miembros no se consideran servidores de inicio de sesión. Por lo tanto, la asignación de puerto estática para NTDS no tiene ningún efecto en los servidores miembros.

Los servidores miembros tienen la interfaz RPC de Netlogon, pero rara vez se usa. Algunos ejemplos pueden ser la recuperación de configuración remota, como nltest /server:member.contoso.com /sc_query:contoso.com.

Clave del Registro 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Valor del Registro: puerto TCP/IP
Tipo de valor: REG_DWORD
Datos de valor: (puerto disponible)

Reinicie el equipo para que la nueva configuración sea efectiva.

Clave del Registro 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Valor del Registro: DCTcpipPort
Tipo de valor: REG_DWORD
Datos de valor: (puerto disponible)

Reinicie el servicio Netlogon para que la nueva configuración sea efectiva.

Nota:

Cuando se usa la entrada del Registro y se establece en el mismo puerto que la entrada del TCP/IP Port Registro, recibirá el DCTcpipPort evento de error 5809 de Netlogon en NTDS\Parameters. Esto indica que el puerto configurado está en uso y debe elegir otro puerto.

Recibirá el mismo evento cuando tenga un puerto único y reinicie el servicio Netlogon en el controlador de dominio. Este comportamiento es por diseño. Se produce debido a la forma en que el tiempo de ejecución de RPC administra sus puertos de servidor. El puerto se usará después del reinicio y se puede omitir el evento.

Los administradores deben confirmar que la comunicación a través del puerto especificado está habilitada si se usa algún dispositivo de red intermedio o software para filtrar los paquetes entre los controladores de dominio.

Con frecuencia, también debe establecer manualmente el puerto RPC del Servicio de replicación de archivos (FRS) porque la replicación de AD y FRS se replican con los mismos controladores de dominio. El puerto RPC de FRS debe usar otro puerto.

No suponga que los clientes solo usan los servicios RPC de Netlogon y, por tanto, solo se requiere la configuración DCTcpipPort . Los clientes también usan otros servicios RPC, como SamRPC, LSARPC y también la interfaz de Servicios de replicación de directorios (DRS). Siempre debe configurar las opciones del Registro y abrir ambos puertos en el firewall.

Problemas conocidos

Después de especificar los puertos, puede encontrar los siguientes problemas:

Para resolver los problemas, instale las actualizaciones mencionadas en los artículos.

Recolección de datos

Si necesita ayuda del soporte técnico de Microsoft, se recomienda recopilar la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.