Comment faire pour configurer l'allocation de port dynamique RPC avec un pare-feu

Cet article vous aide à modifier les paramètres RPC (Remote Procedure Call) dans le Registre pour vous assurer que l’allocation de ports dynamiques RPC peut fonctionner avec des pare-feu.

Numéro de base de connaissances d’origine : 154596

Résumé

L’allocation de ports dynamiques RPC est utilisée par les applications serveur et les applications d’administration à distance, telles que le Gestionnaire DHCP (Dynamic Host Configuration Protocol), le Gestionnaire WINS (Windows Internet Name Service), etc. L’allocation de ports dynamiques RPC indique au programme RPC d’utiliser un port aléatoire particulier dans la plage configurée pour TCP et UDP, en fonction de l’implémentation du système d’exploitation utilisé. Pour plus d’informations, consultez les références ci-dessous.

Les clients qui utilisent des pare-feu peuvent vouloir contrôler les ports RPC qui sont utilisés afin que leur routeur de pare-feu puisse être configuré pour transférer uniquement ces ports UDP et TCP.

De nombreux serveurs RPC dans Windows vous permettent de spécifier le port du serveur dans des éléments de configuration personnalisés tels que les entrées de Registre. Lorsque vous pouvez spécifier un port de serveur dédié, vous connaissez le trafic entre les hôtes sur le pare-feu. Vous pouvez également définir le trafic autorisé de manière plus dirigée.

En tant que port de serveur, choisissez un port en dehors de la plage que vous souhaiterez peut-être spécifier ci-dessous. Vous trouverez une liste complète des ports serveur utilisés dans Windows et les principaux produits Microsoft dans la vue d’ensemble du service et les exigences relatives aux ports réseau pour Windows.

L’article répertorie également les serveurs RPC et les serveurs RPC qui peuvent être configurés pour utiliser des ports de serveur personnalisés au-delà des installations proposées par le runtime RPC.

Certains pare-feu autorisent également le filtrage UUID où il apprend à partir d’une demande de mappeur de point de terminaison RPC pour un UUID d’interface RPC. La réponse a le numéro de port du serveur et une liaison RPC suivante sur ce port est ensuite autorisée à passer.

Important

Utilisez la méthode décrite dans cet article uniquement si le serveur RPC n’offre pas de moyen de définir le port du serveur.

Les entrées de Registre suivantes s’appliquent à Windows NT 4.0 et versions ultérieures. Ils ne s’appliquent pas aux versions précédentes de Windows NT. Même si vous pouvez configurer le port utilisé par le client pour communiquer avec le serveur, le client doit être en mesure d’atteindre le serveur par son adresse IP réelle. Vous ne pouvez pas utiliser DCOM via des pare-feu qui effectuent une traduction d’adresses. Par exemple, un client se connecte à l’adresse virtuelle 192.168.1.2, que le pare-feu mappe de manière transparente à l’adresse réelle du serveur, par exemple, 192.168.1.3. DCOM stocke les adresses IP brutes dans les paquets de marshaling d’interface. Si le client ne peut pas se connecter à l’adresse spécifiée dans le paquet, il ne fonctionnera pas.

Plus d’informations

Les valeurs (et clé Internet) décrites ci-dessous n’apparaissent pas dans le Registre. Ils doivent être ajoutés manuellement à l’aide de l’Éditeur du Registre.

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows.

Avec l’Éditeur de Registre, vous pouvez modifier les paramètres suivants pour RPC. Les valeurs de clé de port RPC décrites ci-dessous se trouvent toutes dans la clé suivante dans le Registre :

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\Entry name Data Type

• Ports REG_MULTI_SZ

  Spécifie un ensemble de plages de ports IP composées de tous les ports disponibles à partir d’Internet ou de tous les ports non disponibles à partir d’Internet. Chaque chaîne représente un seul port ou un ensemble inclusif de ports.

  Par exemple, un seul port peut être représenté par 5984 et un ensemble de ports peut être représenté par 5000-5100. Si des entrées se trouvent en dehors de la plage de 0 à 65535, ou si aucune chaîne ne peut être interprétée, le runtime RPC traite l’intégralité de la configuration comme non valide.

• PortsInternetAvailable REG_SZ Y ou N (non sensibles à la casse)

  Si Y, les ports répertoriés dans la clé ports sont tous les ports Internet disponibles sur cet ordinateur. Si N, les ports répertoriés dans la clé de ports sont tous les ports qui ne sont pas disponibles sur Internet.

• UseInternetPorts REG_SZ Y ou N (pas sensible à la casse)

  Spécifie la stratégie par défaut du système.

  Si Y, les processus utilisant la valeur par défaut sont attribués aux ports à partir de l’ensemble de ports internet disponibles, comme défini précédemment. Si n, les processus utilisant la valeur par défaut sont attribués aux ports à partir de l’ensemble de ports intranet uniquement.

Exemple

Dans cet exemple, les ports 5000 à 6 000 inclus ont été sélectionnés arbitrairement pour illustrer la configuration de la nouvelle clé de Registre. Il ne s’agit pas d’une recommandation d’un nombre minimal de ports nécessaires pour un système particulier.

1. Ajouter la clé Internet sous HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc

2. Sous la clé Internet, ajoutez les valeurs Ports (MULTI_SZ), PortsInternetAvailable (REG_SZ) et UseInternetPorts (REG_SZ).

   Par exemple, la nouvelle clé de Registre apparaît comme suit :

   Ports : REG_MULTI_SZ : 5000-6000
   PortsInternetAvailable : REG_SZ : Y
   UseInternetPorts : REG_SZ : Y

3. Redémarrez le serveur. Toutes les applications qui utilisent l’allocation de ports dynamiques RPC utilisent les ports 5000 à 6000, inclus.

Vous devez ouvrir une plage de ports au-dessus du port 5000. Les numéros de port inférieurs à 5000 peuvent déjà être utilisés par d’autres applications et peuvent entraîner des conflits avec vos applications DCOM. En outre, l’expérience précédente montre qu’un minimum de 100 ports doit être ouvert, car plusieurs services système s’appuient sur ces ports RPC pour communiquer entre eux.

Note

Le nombre minimal de ports requis peut différer de l’ordinateur à l’ordinateur. Les ordinateurs avec un trafic plus élevé peuvent rencontrer une situation d’épuisement des ports si les ports dynamiques RPC sont limités. Prenez cela en compte lors de la restriction de la plage de ports.

Avertissement

En cas d’erreur dans la configuration du port ou s’il existe des ports insuffisants dans le pool, le service Endpoint Mapper ne pourra pas inscrire des serveurs RPC avec des points de terminaison dynamiques. En cas d’erreur de configuration, le code d’erreur est 87 (0x57) ERROR_INVALID_PARAMETER. Cela peut également affecter les serveurs RPC Windows, tels que Netlogon. Il journalisera l’événement 5820 dans ce cas :

Log Name: System  
Source: NETLOGON  
Event ID: 5820  
Level: Error  
Keywords: Classic  
Description:  
The Netlogon service could not add the AuthZ RPC interface. The service was terminated. The following error occurred: The parameter is incorrect.

Pour plus d’informations, consultez l’article suivant :

• Vue d’ensemble des services et exigences des ports réseau pour Windows
• Comment configurer un pare-feu pour les domaines et approbations Active Directory
• Restriction du trafic RPC Active Directory vers un port spécifique
• La plage de ports dynamiques par défaut pour TCP/IP a changé depuis Windows Vista et dans Windows Server 2008