Jak skonfigurować dynamiczną alokację portów RPC do pracy z zaporami
Ten artykuł pomaga zmodyfikować parametry zdalnego wywołania procedury (RPC) w rejestrze, aby upewnić się, że dynamiczna alokacja portów RPC może współdziałać z zaporami.
Oryginalny numer KB: 154596
Podsumowanie
Dynamiczne przydzielanie portów RPC jest używane przez aplikacje serwera i aplikacje administracji zdalnej, takie jak Menedżer dynamicznej konfiguracji hosta (DHCP), Menedżer usługi nazw internetowych systemu Windows (WINS) itd. Alokacja portu dynamicznego RPC instruuje program RPC, aby używał określonego losowego portu w zakresie skonfigurowanym dla protokołu TCP i UDP na podstawie implementacji używanego systemu operacyjnego. Aby uzyskać więcej informacji, zobacz dokumentację poniżej.
Klienci korzystający z zapór mogą chcieć kontrolować, których portów używa RPC, aby można było skonfigurować router zapory do przekazywania tylko tych portów protokołu UDP i TCP.
Wiele serwerów RPC w systemie Windows umożliwia określenie portu serwera w niestandardowych elementach konfiguracji, takich jak wpisy rejestru. Gdy można określić dedykowany port serwera, wiesz, jaki ruch przepływa między hostami przez zaporę. Możesz także zdefiniować, jaki ruch jest dozwolony w bardziej ukierunkowany sposób.
Jako port serwera wybierz port poza zakresem, który można określić poniżej. Pełną listę portów serwera używanych w systemie Windows i głównych produktach firmy Microsoft można znaleźć w temacie Omówienie usługi i wymagania dotyczące portów sieciowych dla systemu Windows.
W tym artykule wymieniono również serwery RPC i serwery RPC, które można skonfigurować do używania niestandardowych portów serwera poza obiektami, które oferuje środowisko uruchomieniowe RPC.
Niektóre zapory umożliwiają również filtrowanie identyfikatorów UUID, w których uczy się z żądania mapowania punktu końcowego RPC dla identyfikatora UUID interfejsu RPC. Odpowiedź ma numer portu serwera, a kolejne powiązanie RPC na tym porcie jest następnie dozwolone do przekazania.
Ważne
Użyj metody opisanej w tym artykule tylko wtedy, gdy serwer RPC nie oferuje sposobu definiowania portu serwera.
Następujące wpisy rejestru dotyczą systemu Windows NT 4.0 lub nowszego. Nie mają one zastosowania do poprzednich wersji systemu Windows NT. Mimo że można skonfigurować port używany przez klienta do komunikowania się z serwerem, klient musi mieć możliwość dotarcia do serwera przy użyciu rzeczywistego adresu IP. Nie można używać modelu DCOM za pośrednictwem zapór, które wykonują translowanie adresów. Na przykład klient łączy się z adresem wirtualnym 192.168.1.2, który zapora mapuje przezroczystie na rzeczywisty adres serwera, na przykład 192.168.1.3. DcOM przechowuje nieprzetworzone adresy IP w interfejsie marshaling pakietów. Jeśli klient nie może nawiązać połączenia z adresem określonym w pakiecie, nie będzie działać.
Więcej informacji
Wartości (i klucz internetowy) omówione poniżej nie są wyświetlane w rejestrze. Należy je dodać ręcznie przy użyciu Edytora rejestru.
Ważne
W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji, zobacz Jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows.
Za pomocą Edytora rejestru można zmodyfikować następujące parametry dla RPC. Opisane poniżej wartości klucza portu RPC znajdują się w następującym kluczu w rejestrze:
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\Entry name Data Type
Porty REG_MULTI_SZ
Określa zestaw zakresów portów IP składających się z wszystkich portów dostępnych z Internetu lub wszystkich portów niedostępnych z Internetu. Każdy ciąg reprezentuje pojedynczy port lub inkluzywny zestaw portów.
Na przykład pojedynczy port może być reprezentowany przez 5984, a zestaw portów może być reprezentowany przez 5000–5100. Jeśli jakiekolwiek wpisy znajdują się poza zakresem od 0 do 65535 lub jeśli nie można zinterpretować dowolnego ciągu, środowisko uruchomieniowe RPC traktuje całą konfigurację jako nieprawidłową.
PortsInternetAvailable REG_SZ Y lub N (bez rozróżniania wielkości liter)
Jeśli wartość Y, porty wymienione w kluczu Porty są wszystkimi portami dostępnymi przez Internet na tym komputerze. Jeśli N, porty wymienione w kluczu Porty są wszystkimi portami, które nie są dostępne w Internecie.
UseInternetPorts REG_SZ Y lub N (bez rozróżniania wielkości liter)
Określa zasady domyślne systemu.
Jeśli Y, procesy korzystające z wartości domyślnej będą przypisywane porty z zestawu portów dostępnych w Internecie, zgodnie z definicją wcześniej. Jeśli N, procesy używające wartości domyślnej będą przypisywane porty z zestawu portów tylko do intranetu.
Przykład
W tym przykładzie porty od 5000 do 6000 włącznie zostały dowolnie wybrane, aby ułatwić zilustrowanie sposobu konfigurowania nowego klucza rejestru. Nie jest to zalecenie minimalnej liczby portów wymaganych dla dowolnego określonego systemu.
Dodaj klucz internetowy w obszarze
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
W obszarze Klucz internetowy dodaj wartości Ports (MULTI_SZ), PortsInternetAvailable (REG_SZ) i UseInternetPorts (REG_SZ).
Na przykład nowy klucz rejestru jest wyświetlany w następujący sposób:
Porty: REG_MULTI_SZ: 5000-6000
PortsInternetAvailable: REG_SZ: Y
UseInternetPorts: REG_SZ: YUruchom ponownie serwer. Wszystkie aplikacje korzystające z dynamicznej alokacji portów RPC używają portów od 5000 do 6000 włącznie.
Należy otworzyć zakres portów powyżej portu 5000. Numery portów poniżej 5000 mogą już być używane przez inne aplikacje i mogą powodować konflikty z aplikacjami DCOM. Ponadto poprzednie środowisko pokazuje, że należy otworzyć co najmniej 100 portów, ponieważ kilka usług systemowych korzysta z tych portów RPC do komunikowania się ze sobą.
Uwaga 16.
Minimalna wymagana liczba portów może się różnić od komputera do komputera. Komputery z większym ruchem mogą wystąpić w sytuacji wyczerpania portów, jeśli porty dynamiczne RPC są ograniczone. Weź to pod uwagę podczas ograniczania zakresu portów.
Ostrzeżenie
Jeśli w konfiguracji portu wystąpi błąd lub w puli nie ma wystarczających portów, usługa mapowania punktu końcowego nie będzie mogła zarejestrować serwerów RPC z dynamicznymi punktami końcowymi. W przypadku wystąpienia błędu konfiguracji kod błędu to 87 (0x57) ERROR_INVALID_PARAMETER. Może to również mieć wpływ na serwery RPC systemu Windows, takie jak Netlogon. Spowoduje to zarejestrowanie zdarzenia 5820 w tym przypadku:
Log Name: System
Source: NETLOGON
Event ID: 5820
Level: Error
Keywords: Classic
Description:
The Netlogon service could not add the AuthZ RPC interface. The service was terminated. The following error occurred: The parameter is incorrect.
Aby uzyskać więcej informacji, zobacz:
- Omówienie usługi i wymagań dotyczących portu sieciowego dla systemu Windows
- Jak skonfigurować zaporę dla domen i relacji zaufania usługi Active Directory
- Ograniczanie ruchu RPC usługi Active Directory do określonego portu
- Domyślny zakres portów dynamicznych dla protokołu TCP/IP zmienił się od systemu Windows Vista i w systemie Windows Server 2008