Ограничение трафика RPC Active Directory на определенный порт

В этой статье описывается, как ограничить удаленный трафик вызовов процедур репликации Active Directory (AD) на определенный порт в Windows Server.

Область применения: все поддерживаемые версии Windows Server
Исходный номер базы знаний: 224196

Итоги

По умолчанию удаленные вызовы процедур репликации Active Directory (RPC) выполняются динамически через доступный порт через RPC Endpoint Mapper (RPCSS) с помощью порта 135. Администратор может переопределить эту функцию и указать порт, через который проходит весь трафик RPC Active Directory. Эта процедура блокирует порт.

При указании портов, используемых с помощью записей реестра в дополнительных сведениях, трафик репликации на стороне сервера Active Directory и трафик RPC клиента отправляются в эти порты с помощью средства сопоставления конечных точек. Эта конфигурация возможна, так как все интерфейсы RPC, поддерживаемые Active Directory, выполняются на всех портах, на которых он прослушивается.

Примечание.

В этой статье не описывается настройка репликации AD для брандмауэра. Чтобы выполнить репликацию через брандмауэр, необходимо открыть дополнительные порты. Например, для протокола Kerberos может потребоваться открыть порты. Полный список необходимых портов для служб в брандмауэре см. в разделе "Общие сведения о службе" и требования к сетевому порту для Windows.

Дополнительная информация

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

При подключении к конечной точке RPC среда выполнения RPC на клиенте обращается к RPCSS на сервере на известном порту (135). Он получает порт для подключения к службе, поддерживающей требуемый интерфейс RPC. Предполагается, что клиент не знает полную привязку. Это ситуация со всеми службами RPC AD.

Служба регистрирует одну или несколько конечных точек при запуске и имеет выбор динамически назначенного порта или определенного порта.

Если вы настроите Active Directory и Netlogon для запуска через порт x , как показано в следующей записи, он становится портами, зарегистрированными в приложении сопоставления конечных точек, в дополнение к стандартному динамическому порту.

Используйте редактор реестра для изменения следующих значений на каждом контроллере домена, где используются ограниченные порты. Серверы-члены не считаются серверами входа. Поэтому назначение статических портов для NTDS не влияет на серверы-члены.

Серверы-члены имеют интерфейс RPC netlogon, но он редко используется. Некоторые примеры могут быть удаленным извлечением конфигурации, например nltest /server:member.contoso.com /sc_query:contoso.com.

Раздел реестра 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Значение реестра: TCP/IP-порт
Тип значения: REG_DWORD
Данные о значении: (доступный порт)

Перезапустите компьютер, чтобы новый параметр стал эффективным.

Раздел реестра 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Значение реестра: DCTcpipPort
Тип значения: REG_DWORD
Данные о значении: (доступный порт)

Перезапустите службу Netlogon, чтобы новый параметр стал эффективным.

Примечание.

Если вы используете DCTcpipPort запись реестра и устанавливаете его на тот же порт, что TCP/IP Port и запись реестра, вы получаете событие ошибки Netlogon 5809 в разделе NTDS\Parameters. Это означает, что настроенный порт используется, и вы должны выбрать другой порт.

Вы получите то же событие, если у вас есть уникальный порт, и вы перезапустите службу Netlogon на контроллере домена. Такое поведение предусмотрено программой. Это происходит из-за того, как среда выполнения RPC управляет своими портами сервера. Порт будет использоваться после перезапуска, и событие можно игнорировать.

Администраторы должны убедиться, что связь по указанному порту включена, если какие-либо промежуточные сетевые устройства или программное обеспечение используются для фильтрации пакетов между контроллерами домена.

Часто необходимо вручную задать порт RPC службы репликации файлов (FRS), так как репликация AD и FRS реплицируются с теми же контроллерами домена. Порт RPC FRS должен использовать другой порт.

Не предполагайте, что клиенты используют только службы RPC netlogon, поэтому требуется только параметр DCTcpipPort . Клиенты также используют другие службы RPC, такие как SamRPC, LSARPC, а также интерфейс служб репликации каталогов (DRS). Всегда следует настраивать оба параметра реестра и открывать оба порта в брандмауэре.

Известные проблемы

После указания портов могут возникнуть следующие проблемы:

• Длительное время входа после установки определенного статического порта для NTDS и Netlogon в среде домена на основе Windows Server 2008 R2
• Репликация AD завершается сбоем с проблемой RPC после установки статического порта для NTDS в среде домена под управлением Windows
• Сбой входа после ограничения трафика RPC клиента на контроллер домена в Windows Server 2012 R2 или Windows Server 2008 R2

Чтобы устранить проблемы, установите обновления, упомянутые в статьях.

Сбор данных

Если вам нужна помощь от службы поддержки Майкрософт, мы рекомендуем собрать информацию, выполнив действия, описанные в разделе "Сбор сведений" с помощью TSS для проблем с репликацией Active Directory.