Partager via

Comment limiter le trafic RPC Active Directory à un port spécifique

  • Article

Cet article explique comment restreindre le trafic d’appels de procédure distante de réplication Active Directory (AD) vers un port spécifique dans Windows Server.

S’applique à : toutes les versions prises en charge de Windows Server
Numéro de base de connaissances d’origine : 224196

Résumé

Par défaut, les appels de procédure distante de réplication Active Directory (RPC) se produisent dynamiquement sur un port disponible via le mappeur de point de terminaison RPC (RPCSS) à l’aide du port 135. Un administrateur peut remplacer cette fonctionnalité et spécifier le port via lequel tout le trafic RPC Active Directory transite. Cette procédure verrouille le port.

Lorsque vous spécifiez des ports à utiliser à l’aide des entrées de Registre dans Plus d’informations, le trafic de réplication côté serveur Active Directory et le trafic RPC client sont envoyés à ces ports par le mappeur de point de terminaison. Cette configuration est possible, car toutes les interfaces RPC prises en charge par Active Directory s’exécutent sur tous les ports sur lesquels il écoute.

Note

Cet article ne décrit pas comment configurer la réplication AD pour un pare-feu. Des ports supplémentaires doivent être ouverts pour que la réplication fonctionne via un pare-feu. Par exemple, les ports doivent peut-être être ouverts pour le protocole Kerberos. Pour obtenir la liste complète des ports requis pour les services sur un pare-feu, consultez La configuration requise pour les ports réseau et la vue d’ensemble du service pour Windows.

Plus d’informations

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d’informations sur la sauvegarde et la restauration du registre, voir : Procédure de sauvegarde, de modification et de restauration du Registre dans Windows.

Lorsque vous vous connectez à un point de terminaison RPC, le runtime RPC sur le client contacte le RPCSS sur le serveur à un port connu (135). Et il obtient le port auquel se connecter pour le service prenant en charge l’interface RPC souhaitée. Il part du principe que le client ne connaît pas la liaison complète. C’est la situation avec tous les services AD RPC.

Le service inscrit un ou plusieurs points de terminaison au démarrage et a le choix d’un port attribué dynamiquement ou d’un port spécifique.

Si vous configurez Active Directory et Netlogon pour qu’ils s’exécutent sur le port x comme dans l’entrée suivante, il devient les ports inscrits auprès du mappeur de point de terminaison en plus du port dynamique standard.

Utilisez l’Éditeur de Registre pour modifier les valeurs suivantes sur chaque contrôleur de domaine où les ports restreints doivent être utilisés. Les serveurs membres ne sont pas considérés comme des serveurs d’ouverture de session. L’attribution de port statique pour NTDS n’a donc aucun effet sur les serveurs membres.

Les serveurs membres ont l’interface RPC Netlogon, mais il est rarement utilisé. Voici quelques exemples de récupération de configuration à distance, par nltest /server:member.contoso.com /sc_query:contoso.comexemple .

Clé de Registre 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Valeur du Registre : port TCP/IP
Type de valeur : REG_DWORD
Données de valeur : (port disponible)

Redémarrez l’ordinateur pour que le nouveau paramètre devienne effectif.

Clé de Registre 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Valeur du Registre : DCTcpipPort
Type de valeur : REG_DWORD
Données de valeur : (port disponible)

Redémarrez le service Netlogon pour que le nouveau paramètre devienne effectif.

Note

Lorsque vous utilisez l’entrée de DCTcpipPort Registre et que vous l’avez définie sur le même port que l’entrée de TCP/IP Port Registre, vous recevez l’événement d’erreur Netlogon 5809 sous NTDS\Parameters. Cela indique que le port configuré est en cours d’utilisation et que vous devez choisir un autre port.

Vous recevrez le même événement lorsque vous disposez d’un port unique et que vous redémarrez le service Netlogon sur le contrôleur de domaine. Ce comportement est normal. Elle se produit en raison de la façon dont le runtime RPC gère ses ports de serveur. Le port sera utilisé après le redémarrage et l’événement peut être ignoré.

Les administrateurs doivent confirmer que la communication sur le port spécifié est activée si des périphériques réseau intermédiaires ou logiciels sont utilisés pour filtrer les paquets entre les contrôleurs de domaine.

Souvent, vous devez également définir manuellement le port RPC du service de réplication de fichiers (FRS), car la réplication AD et FRS est répliquée avec les mêmes contrôleurs de domaine. Le port RPC FRS doit utiliser un autre port.

Ne partez pas du principe que les clients utilisent uniquement les services RPC Netlogon et que seul le paramètre DCTcpipPort est requis. Les clients utilisent également d’autres services RPC tels que SamRPC, LSARPC, ainsi que l’interface des services de réplication d’annuaire (DRS). Vous devez toujours configurer les paramètres du Registre et ouvrir les deux ports sur le pare-feu.

Problèmes connus

Après avoir spécifié les ports, vous pouvez rencontrer les problèmes suivants :

Pour résoudre les problèmes, installez les mises à jour mentionnées dans les articles.

Collecte de données

Si vous avez besoin d’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour les problèmes de réplication Active Directory.