Dynamische RPC-poorttoewijzing configureren voor gebruik met firewalls

Dit artikel helpt u bij het wijzigen van de RPC-parameters (Remote Procedure Call) in het register om ervoor te zorgen dat dynamische RPC-poorttoewijzing kan werken met firewalls.

Oorspronkelijk KB-nummer: 154596

Samenvatting

Dynamische RPC-poorttoewijzing wordt gebruikt door servertoepassingen en externe beheertoepassingen, zoals DHCP-beheerbeheer (Dynamic Host Configuration Protocol), Windows Internet Name Service (WINS) Manager, enzovoort. Met dynamische RPC-poorttoewijzing wordt het RPC-programma geïnstrueerd om een bepaalde willekeurige poort te gebruiken in het bereik dat is geconfigureerd voor TCP en UDP, op basis van de implementatie van het gebruikte besturingssysteem. Zie de onderstaande verwijzingen voor meer informatie.

Klanten die firewalls gebruiken, willen mogelijk bepalen welke poorten RPC gebruikt, zodat hun firewallrouter kan worden geconfigureerd om alleen deze UDP- en TCP-poorten (Transmission Control Protocol) door te sturen.

Met veel RPC-servers in Windows kunt u de serverpoort opgeven in aangepaste configuratie-items, zoals registervermeldingen. Wanneer u een toegewezen serverpoort kunt opgeven, weet u welk verkeer tussen de hosts via de firewall stroomt. En u kunt definiëren welk verkeer op een meer gerichte manier is toegestaan.

Als serverpoort kiest u een poort buiten het bereik dat u mogelijk hieronder wilt opgeven. U vindt een uitgebreide lijst met serverpoorten die worden gebruikt in Windows en belangrijke Microsoft-producten in serviceoverzicht en netwerkpoortvereisten voor Windows.

In het artikel worden ook de RPC-servers vermeld en welke RPC-servers kunnen worden geconfigureerd voor het gebruik van aangepaste serverpoorten buiten de faciliteiten die de RPC-runtime biedt.

Sommige firewalls bieden ook UUID-filtering waar deze wordt geleerd van een RPC Endpoint Mapper-aanvraag voor een RPC-interface UUID. Het antwoord heeft het poortnummer van de server en een volgende RPC-binding op deze poort mag vervolgens worden doorgegeven.

Belangrijk

Gebruik de methode die in dit artikel wordt beschreven, alleen als de RPC-server geen manier biedt om de serverpoort te definiëren.

De volgende registervermeldingen zijn van toepassing op Windows NT 4.0 en hoger. Ze zijn niet van toepassing op eerdere versies van Windows NT. Hoewel u de poort kunt configureren die door de client wordt gebruikt om te communiceren met de server, moet de client de server kunnen bereiken op basis van het werkelijke IP-adres. U kunt DCOM niet gebruiken via firewalls die adresomzetting uitvoeren. Een client maakt bijvoorbeeld verbinding met het virtuele adres 192.168.1.2, dat de firewall transparant wordt toegewezen aan het werkelijke adres van de server, bijvoorbeeld 192.168.1.3. DCOM slaat onbewerkte IP-adressen op in de interface marshaling-pakketten. Als de client geen verbinding kan maken met het adres dat is opgegeven in het pakket, werkt dit niet.

Meer informatie

De waarden (en de internetsleutel) die hieronder worden besproken, worden niet weergegeven in het register. Ze moeten handmatig worden toegevoegd met behulp van de Register-editor.

Belangrijk

Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Zorg er daarom voor dat u de volgende stappen zorgvuldig volgt. Voor optimale veiligheid maakt u dagelijks een back-up van het register voordat u het wijzigt. U kunt dan het register herstellen als er een probleem optreedt. Zie Een back-up maken van het register en het herstellen in Windows voor meer informatie.

Met de Register-editor kunt u de volgende parameters voor RPC wijzigen. De waarden voor de RPC-poortsleutel die hieronder worden besproken, bevinden zich allemaal in de volgende sleutel in het register:

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\Entry name Data Type

• Poorten REG_MULTI_SZ

  Hiermee geeft u een set IP-poortbereiken op die bestaan uit alle poorten die beschikbaar zijn via internet of alle poorten die niet beschikbaar zijn via internet. Elke tekenreeks vertegenwoordigt één poort of een inclusieve set poorten.

  Een enkele poort kan bijvoorbeeld worden vertegenwoordigd door 5984 en een set poorten kan worden vertegenwoordigd door 5000-5100. Als vermeldingen buiten het bereik van 0 tot 65535 vallen of als een tekenreeks niet kan worden geïnterpreteerd, behandelt de RPC-runtime de volledige configuratie als ongeldig.

• PortsInternetAvailable REG_SZ Y of N (niet hoofdlettergevoelig)

  Als Y, zijn de poorten die worden vermeld in de poortsleutel alle poorten die beschikbaar zijn op internet op die computer. Als N, zijn de poorten die worden vermeld in de poortsleutel al die poorten die niet beschikbaar zijn via internet.

• UseInternetPorts REG_SZ Y of N (niet hoofdlettergevoelig)

  Hiermee geeft u het systeem standaardbeleid.

  Als Y, worden de processen die gebruikmaken van de standaardpoorten toegewezen vanuit de set poorten die beschikbaar zijn via internet, zoals eerder gedefinieerd. Als N, worden de processen die gebruikmaken van de standaardpoorten toegewezen vanuit de set alleen-intranetpoorten.

Voorbeeld

In dit voorbeeld zijn poorten 5000 tot en met 6000 willekeurig geselecteerd om te laten zien hoe de nieuwe registersleutel kan worden geconfigureerd. Het is geen aanbeveling van een minimum aantal poorten dat nodig is voor een bepaald systeem.

1. De internetsleutel toevoegen onder HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc

2. Voeg onder de internetsleutel de waarden Poorten (MULTI_SZ), PortsInternetAvailable (REG_SZ) en UseInternetPorts (REG_SZ) toe.

   De nieuwe registersleutel wordt bijvoorbeeld als volgt weergegeven:

   Poorten: REG_MULTI_SZ: 5000-6000
   PortsInternetAvailable: REG_SZ: Y
   UseInternetPorts: REG_SZ: Y

3. Start de server opnieuw. Alle toepassingen die dynamische RPC-poorttoewijzing gebruiken, maken gebruik van poorten 5000 tot en met 6000.

Open een bereik van poorten boven poort 5000. Poortnummers onder de 5000 zijn mogelijk al in gebruik door andere toepassingen en kunnen conflicten veroorzaken met uw DCOM-toepassing(en). Bovendien blijkt uit eerdere ervaring dat er minimaal 100 poorten moeten worden geopend, omdat verschillende systeemservices afhankelijk zijn van deze RPC-poorten om met elkaar te communiceren.

Notitie

Het minimale aantal vereiste poorten kan verschillen van computer tot computer. Computers met een hoger verkeer kunnen een poortuitputtingssituatie ondervinden als de dynamische RPC-poorten worden beperkt. Houd hier rekening mee bij het beperken van het poortbereik.

Waarschuwing

Als er een fout optreedt in de poortconfiguratie of als er onvoldoende poorten in de groep zijn, kan de Endpoint Mapper-service geen RPC-servers registreren bij dynamische eindpunten. Als er een configuratiefout optreedt, is de foutcode 87 (0x57) ERROR_INVALID_PARAMETER. Dit kan ook invloed hebben op Windows RPC-servers, zoals Netlogon. In dit geval wordt gebeurtenis 5820 vastgelegd:

Log Name: System  
Source: NETLOGON  
Event ID: 5820  
Level: Error  
Keywords: Classic  
Description:  
The Netlogon service could not add the AuthZ RPC interface. The service was terminated. The following error occurred: The parameter is incorrect.

Zie voor meer informatie:

• Service-overzicht en netwerkpoortvereisten voor Windows
• Een firewall configureren voor Active Directory-domeinen en -vertrouwensrelaties
• Active Directory RPC-verkeer beperken tot een specifieke poort
• Het standaard dynamische poortbereik voor TCP/IP is gewijzigd sinds Windows Vista en in Windows Server 2008