Configurazione dell'allocazione delle porte dinamiche RPC perché funzionino con i firewall

Questo articolo illustra come modificare i parametri RPC (Remote Procedure Call) nel Registro di sistema per assicurarsi che l'allocazione di porte dinamiche RPC possa funzionare con i firewall.

Numero KB originale: 154596

Riepilogo

L'allocazione di porte dinamiche RPC viene usata dalle applicazioni server e dalle applicazioni di amministrazione remota, ad esempio Gestione DHCP (Dynamic Host Configuration Protocol), Windows Internet Name Service (WINS) Manager e così via. L'allocazione delle porte dinamiche RPC indica al programma RPC di usare una determinata porta casuale nell'intervallo configurato per TCP e UDP, in base all'implementazione del sistema operativo usato. Per altre informazioni, vedere i riferimenti seguenti.

I clienti che usano i firewall possono voler controllare quali porte RPC usano in modo che il router del firewall possa essere configurato per inoltrare solo queste porte UDP e TCP (Transmission Control Protocol).

Molti server RPC in Windows consentono di specificare la porta del server in elementi di configurazione personalizzati, ad esempio voci del Registro di sistema. Quando è possibile specificare una porta server dedicata, è possibile conoscere il flusso di traffico tra gli host attraverso il firewall. È anche possibile definire il traffico consentito in modo più diretto.

Come porta server, scegliere una porta esterna all'intervallo da specificare di seguito. È possibile trovare un elenco completo delle porte server usate in Windows e nei principali prodotti Microsoft in Panoramica dei servizi e requisiti delle porte di rete per Windows.

L'articolo elenca anche i server RPC e quali server RPC possono essere configurati per l'uso di porte server personalizzate oltre alle funzionalità offerte dal runtime RPC.

Alcuni firewall consentono anche il filtro UUID in cui apprende da una richiesta Mapper endpoint RPC per un UUID dell'interfaccia RPC. La risposta ha il numero di porta del server e un binding RPC successivo su questa porta è quindi autorizzato a passare.

Importante

Usare il metodo descritto in questo articolo solo se il server RPC non offre un modo per definire la porta del server.

Le voci del Registro di sistema seguenti si applicano a Windows NT 4.0 e versioni successive. Non si applicano alle versioni precedenti di Windows NT. Anche se è possibile configurare la porta usata dal client per comunicare con il server, il client deve essere in grado di raggiungere il server in base al relativo indirizzo IP effettivo. Non è possibile usare DCOM tramite firewall che eseguono la conversione degli indirizzi. Ad esempio, un client si connette all'indirizzo virtuale 192.168.1.2, mappato in modo trasparente all'indirizzo effettivo del server, ad esempio 192.168.1.3. DCOM archivia gli indirizzi IP non elaborati nei pacchetti di marshalling dell'interfaccia. Se il client non riesce a connettersi all'indirizzo specificato nel pacchetto, non funzionerà.

Ulteriori informazioni

I valori (e la chiave Internet) illustrati di seguito non vengono visualizzati nel Registro di sistema. Devono essere aggiunti manualmente tramite l'editor del Registro di sistema.

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni, vedere Come eseguire il backup e il ripristino del Registro di sistema in Windows.

Con l'editor del Registro di sistema è possibile modificare i parametri seguenti per RPC. I valori di chiave della porta RPC descritti di seguito si trovano nella chiave seguente nel Registro di sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\Entry name Data Type

• Porte REG_MULTI_SZ

  Specifica un set di intervalli di porte IP costituiti da tutte le porte disponibili da Internet o da tutte le porte non disponibili da Internet. Ogni stringa rappresenta una singola porta o un set inclusivo di porte.

  Ad esempio, una singola porta può essere rappresentata da 5984 e un set di porte può essere rappresentato da 5000-5100. Se le voci non sono incluse nell'intervallo compreso tra 0 e 65535 o se una stringa non può essere interpretata, il runtime RPC considera l'intera configurazione come non valida.

• PortsInternetAvailable REG_SZ Y o N (senza distinzione tra maiuscole e minuscole)

  Se Y, le porte elencate nella chiave Porte sono tutte le porte disponibili su Internet nel computer. Se N, le porte elencate nella chiave Porte sono tutte quelle porte che non sono disponibili su Internet.

• UseInternetPorts REG_SZ Y o N (senza distinzione tra maiuscole e minuscole)

  Specifica i criteri predefiniti del sistema.

  Se Y, ai processi che usano il valore predefinito verranno assegnate porte dal set di porte disponibili per Internet, come definito in precedenza. Se N, ai processi che usano il valore predefinito verranno assegnate porte dal set di porte solo Intranet.

Esempio

In questo esempio sono state selezionate arbitrariamente le porte da 5000 a 6000 incluse per illustrare come configurare la nuova chiave del Registro di sistema. Non è consigliabile un numero minimo di porte necessarie per qualsiasi sistema specifico.

1. Aggiungere la chiave Internet in HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc

2. Nella chiave Internet aggiungere i valori Porte (MULTI_SZ), PortsInternetAvailable (REG_SZ) e UseInternetPorts (REG_SZ).

   Ad esempio, la nuova chiave del Registro di sistema viene visualizzata come segue:

   Porte: REG_MULTI_SZ: 5000-6000
   PortsInternetAvailable: REG_SZ: Y
   UseInternetPorts: REG_SZ: Y

3. Riavviare il server. Tutte le applicazioni che usano l'allocazione di porte dinamiche RPC usano le porte da 5000 a 6000 incluse.

È consigliabile aprire un intervallo di porte sopra la porta 5000. I numeri di porta inferiori a 5000 potrebbero essere già in uso da altre applicazioni e potrebbero causare conflitti con le applicazioni DCOM. Inoltre, l'esperienza precedente mostra che è necessario aprire almeno 100 porte, perché diversi servizi di sistema si basano su queste porte RPC per comunicare tra loro.

Note

Il numero minimo di porte necessarie può essere diverso dal computer al computer. I computer con traffico più elevato potrebbero verificarsi in una situazione di esaurimento delle porte se le porte dinamiche RPC sono limitate. Prendere in considerazione questo aspetto quando si limita l'intervallo di porte.

Avviso

Se si verifica un errore nella configurazione della porta o nel pool sono presenti porte insufficienti, il servizio Mapper endpoint non sarà in grado di registrare i server RPC con endpoint dinamici. Quando si verifica un errore di configurazione, il codice di errore sarà 87 (0x57) ERROR_INVALID_PARAMETER. Ciò può influire anche sui server RPC Windows, ad esempio Netlogon. Registra l'evento 5820 in questo caso:

Log Name: System  
Source: NETLOGON  
Event ID: 5820  
Level: Error  
Keywords: Classic  
Description:  
The Netlogon service could not add the AuthZ RPC interface. The service was terminated. The following error occurred: The parameter is incorrect.

Per altre informazioni, vedi:

• Panoramica dei servizi e requisiti per le porte di rete per Windows
• Come configurare un firewall per domini e trust di Active Directory
• Limitazione del traffico RPC di Active Directory a una porta specifica
• L'intervallo di porte dinamiche predefinito per TCP/IP è cambiato da Windows Vista e in Windows Server 2008