Como configurar a alocação de porta dinâmica da RPC para funcionar com os firewalls

Este artigo ajuda você a modificar os parâmetros de RPC (Chamada de Procedimento Remoto) no registro para garantir que a alocação de porta dinâmica RPC possa funcionar com firewalls.

Número original do KB: 154596

Resumo

A alocação dinâmica de porta RPC é usada por aplicativos de servidor e aplicativos de administração remota, como o Dynamic Host Configuration Protocol (DHCP) Manager, o Windows Internet Name Service (WINS) Manager e assim por diante. A alocação dinâmica de portas RPC instrui o programa RPC a usar uma porta aleatória específica no intervalo configurado para TCP e UDP, com base na implementação do sistema operacional usado. Para obter mais informações, consulte as referências abaixo.

Os clientes que usam firewalls podem querer controlar quais portas o RPC está usando para que seu roteador de firewall possa ser configurado para encaminhar apenas essas portas UDP e TCP.

Muitos servidores RPC no Windows permitem que você especifique a porta do servidor em itens de configuração personalizados, como entradas do Registro. Quando você pode especificar uma porta de servidor dedicado, você sabe qual tráfego flui entre os hosts através do firewall. E você pode definir qual tráfego é permitido de maneira mais direcionada.

Como porta de servidor, escolha uma porta fora do intervalo que você pode especificar abaixo. Você pode encontrar uma lista abrangente de portas de servidor usadas no Windows e nos principais produtos da Microsoft em Visão geral do serviço e requisitos de porta de rede para Windows.

O artigo também lista os servidores RPC e quais servidores RPC podem ser configurados para usar portas de servidor personalizadas além dos recursos que o runtime RPC oferece.

Alguns firewalls também permitem a filtragem de UUID, onde ele aprende com uma solicitação do Mapeador de Ponto de Extremidade RPC para um UUID de interface RPC. A resposta tem o número da porta do servidor e uma associação RPC subsequente nessa porta pode ser passada.

Importante

Use o método descrito neste artigo somente se o servidor RPC não oferecer uma maneira de definir a porta do servidor.

As seguintes entradas do Registro se aplicam ao Windows NT 4.0 e superior. Eles não se aplicam a versões anteriores do Windows NT. Mesmo que você possa configurar a porta usada pelo cliente para se comunicar com o servidor, o cliente deve ser capaz de acessar o servidor por seu endereço IP real. Você não pode usar o DCOM por meio de firewalls que fazem a conversão de endereços. Por exemplo, um cliente se conecta ao endereço virtual 192.168.1.2, que o firewall mapeia de forma transparente para o endereço real do servidor de, digamos, 192.168.1.3. O DCOM armazena endereços IP brutos nos pacotes de empacotamento de interface. Se o cliente não puder se conectar ao endereço especificado no pacote, ele não funcionará.

Mais informações

Os valores (e a chave da Internet) discutidos abaixo não aparecem no registro. Eles devem ser adicionados manualmente usando o Editor do Registro.

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em, é possível restaurar o Registro caso ocorra um problema. Para obter mais informações, consulte Como fazer backup e restaurar o registro no Windows.

Com o Editor do Registro, você pode modificar os seguintes parâmetros para RPC. Os valores de chave de porta RPC discutidos abaixo estão todos localizados na seguinte chave no registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\Entry name Data Type

• Portas REG_MULTI_SZ

  Especifica um conjunto de intervalos de portas IP que consiste em todas as portas disponíveis na Internet ou em todas as portas não disponíveis na Internet. Cada string representa uma única porta ou um conjunto inclusivo de portas.

  Por exemplo, uma única porta pode ser representada por 5984 e um conjunto de portas pode ser representado por 5000-5100. Se alguma entrada estiver fora do intervalo de 0 a 65535 ou se qualquer cadeia de caracteres não puder ser interpretada, o runtime RPC tratará toda a configuração como inválida.

• PortsInternetAvailable REG_SZ Y ou N (sem distinção entre maiúsculas e minúsculas)

  Se Y, as portas listadas na chave Portas são todas as portas disponíveis na Internet nesse computador. Se N, as portas listadas na chave Portas são todas as portas que não estão disponíveis na Internet.

• UseInternetPorts REG_SZ Y ou N (não diferencia maiúsculas de minúsculas

  Especifica a política padrão do sistema.

  Se Y, os processos que usam o padrão receberão portas do conjunto de portas disponíveis na Internet, conforme definido anteriormente. Se N, os processos que usam o padrão receberão portas do conjunto de portas somente intranet.

Exemplo

Neste exemplo, as portas 5000 a 6000 inclusive foram selecionadas arbitrariamente para ajudar a ilustrar como a nova chave do Registro pode ser configurada. Não é uma recomendação de um número mínimo de portas necessárias para qualquer sistema específico.

1. Adicione a chave da Internet em HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc

2. Na chave Internet, adicione os valores Ports (MULTI_SZ), PortsInternetAvailable (REG_SZ) e UseInternetPorts (REG_SZ).

   Por exemplo, a nova chave do Registro aparece da seguinte maneira:

   Portas: REG_MULTI_SZ: 5000-6000
   PortasInternetDisponível: REG_SZ: Y
   UseInternetPorts: REG_SZ: Y

3. Reinicie o servidor. Todos os aplicativos que usam a alocação dinâmica de portas RPC usam as portas 5000 a 6000, inclusive.

Você deve abrir um intervalo de portas acima da porta 5000. Números de porta abaixo de 5000 podem já estar em uso por outros aplicativos e podem causar conflitos com seus aplicativos DCOM. Além disso, a experiência anterior mostra que um mínimo de 100 portas devem ser abertas, porque vários serviços do sistema dependem dessas portas RPC para se comunicarem entre si.

Observação

O número mínimo de portas necessárias pode variar de computador para computador. Os computadores com tráfego mais alto podem se deparar com uma situação de esgotamento de porta se as portas dinâmicas RPC forem restritas. Leve isso em consideração ao restringir o intervalo de portas.

Aviso

Se houver um erro na configuração da porta ou se não houver portas suficientes no pool, o Serviço Mapeador de Ponto de Extremidade não poderá registrar servidores RPC com pontos de extremidade dinâmicos. Quando houver um erro de configuração, o código de erro será 87 (0x57) ERROR_INVALID_PARAMETER. Isso também pode afetar os servidores RPC do Windows, como o Netlogon. Ele registrará o evento 5820 neste caso:

Log Name: System  
Source: NETLOGON  
Event ID: 5820  
Level: Error  
Keywords: Classic  
Description:  
The Netlogon service could not add the AuthZ RPC interface. The service was terminated. The following error occurred: The parameter is incorrect.

Para saber mais, veja:

• Visão geral de serviços e requisitos de porta de rede para Windows
• Como configurar um firewall para domínios e relações de confiança do Active Directory
• Restringindo o tráfego RPC do Active Directory a uma porta específica
• O intervalo de portas dinâmicas padrão para TCP/IP foi alterado desde o Windows Vista e no Windows Server 2008