Så här konfigurerar du dynamisk RPC-portallokering för att fungera med brandväggar

Den här artikeln hjälper dig att ändra RPC-parametrarna (Remote Procedure Call) i registret för att se till att RPC-dynamisk portallokering kan fungera med brandväggar.

Ursprungligt KB-nummer: 154596

Sammanfattning

Dynamisk RPC-portallokering används av serverprogram och fjärradministrationsprogram, till exempel DHCP-hanteraren (Dynamic Host Configuration Protocol), Wins-hanteraren (Windows Internet Name Service) och så vidare. Dynamisk RPC-portallokering instruerar RPC-programmet att använda en viss slumpmässig port i intervallet som konfigurerats för TCP och UDP, baserat på implementeringen av det operativsystem som används. Mer information finns i referenser nedan.

Kunder som använder brandväggar kanske vill styra vilka portar RPC använder så att deras brandväggsrouter kan konfigureras för att vidarebefordra endast dessa UDP- och TCP-portar (Transmission Control Protocol).

Med många RPC-servrar i Windows kan du ange serverporten i anpassade konfigurationsobjekt, till exempel registerposter. När du kan ange en dedikerad serverport vet du vilken trafik som flödar mellan värdarna i brandväggen. Och du kan definiera vilken trafik som tillåts på ett mer riktat sätt.

Som serverport väljer du en port utanför det intervall som du kanske vill ange nedan. Du hittar en omfattande lista över serverportar som används i Windows och större Microsoft-produkter i Tjänstöversikt och krav på nätverksportar för Windows.

Artikeln innehåller också en lista över RPC-servrar och vilka RPC-servrar som kan konfigureras för att använda anpassade serverportar utöver de faciliteter som RPC-körningen erbjuder.

Vissa brandväggar tillåter även UUID-filtrering där den lär sig från en RPC Endpoint Mapper-begäran för ett RPC-gränssnitts UUID. Svaret har serverportnumret och en efterföljande RPC-bindning på den här porten tillåts sedan att skickas.

Viktigt!

Använd den metod som beskrivs i den här artikeln endast om RPC-servern inte erbjuder ett sätt att definiera serverporten.

Följande registerposter gäller för Windows NT 4.0 och senare. De gäller inte för tidigare versioner av Windows NT. Även om du kan konfigurera porten som används av klienten för att kommunicera med servern, måste klienten kunna nå servern med dess faktiska IP-adress. Du kan inte använda DCOM via brandväggar som hanterar översättning. En klient ansluter till exempel till den virtuella adressen 192.168.1.2, som brandväggen mappar transparent till serverns faktiska adress, till exempel 192.168.1.3. DCOM lagrar råa IP-adresser i paketen för gränssnittsmarsering. Om klienten inte kan ansluta till den adress som anges i paketet fungerar den inte.

Mer information

Värdena (och Internetnyckeln) som beskrivs nedan visas inte i registret. De måste läggas till manuellt med hjälp av Registereditorn.

Viktigt!

Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför noggrant dessa steg. För extra skydd, säkerhetskopiera registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. Mer information finns i Säkerhetskopiera och återställa registret i Windows.

Med Registereditorn kan du ändra följande parametrar för RPC. De RPC-portnyckelvärden som beskrivs nedan finns alla i följande nyckel i registret:

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\Entry name Data Type

• Portar REG_MULTI_SZ

  Anger en uppsättning IP-portintervall som består av antingen alla portar som är tillgängliga från Internet eller alla portar som inte är tillgängliga från Internet. Varje sträng representerar en enskild port eller en inkluderande uppsättning portar.

  Till exempel kan en enskild port representeras av 5984 och en uppsättning portar kan representeras av 5000-5100. Om några poster ligger utanför intervallet 0 till 65535, eller om någon sträng inte kan tolkas, behandlar RPC-körningen hela konfigurationen som ogiltig.

• PortsInternetAvailable REG_SZ Y eller N (inte skiftlägeskänslig)

  Om Y är portarna som anges i portnyckeln alla Internettillgängliga portar på datorn. Om N är portarna som anges i portnyckeln alla portar som inte är internettillgängliga.

• UseInternetPorts REG_SZ Y eller N (inte skiftlägeskänsligt

  Anger systemets standardprincip.

  Om Y tilldelas processerna som använder standardportarna från uppsättningen internettillgängliga portar enligt definitionen tidigare. Om N tilldelas processerna som använder standardportarna från uppsättningen med portar som endast gäller intranät.

Exempel

I det här exemplet har portarna 5000 till och med 6 000 valts godtyckligt för att illustrera hur den nya registernyckeln kan konfigureras. Det är inte en rekommendation om ett minsta antal portar som behövs för ett visst system.

1. Lägg till Internetnyckeln under HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc

2. Under Internetnyckeln lägger du till värdena Portar (MULTI_SZ), PortsInternetAvailable (REG_SZ) och UseInternetPorts (REG_SZ).

   Den nya registernyckeln visas till exempel på följande sätt:

   Portar: REG_MULTI_SZ: 5000-6000
   PortsInternetAvailable: REG_SZ: Y
   UseInternetPorts: REG_SZ: Y

3. Starta om servern. Alla program som använder dynamisk RPC-portallokering använder portarna 5000 till och med 6 000.

Du bör öppna ett antal portar ovanför port 5000. Portnummer under 5000 kanske redan används av andra program och kan orsaka konflikter med dina DCOM-program. Dessutom visar tidigare erfarenheter att minst 100 portar bör öppnas, eftersom flera systemtjänster förlitar sig på dessa RPC-portar för att kommunicera med varandra.

Kommentar

Det minsta antalet portar som krävs kan skilja sig från dator till dator. Datorer med högre trafik kan stöta på en portöverbelastningssituation om de dynamiska RPC-portarna är begränsade. Ta hänsyn till detta när du begränsar portintervallet.

Varning

Om det finns ett fel i portkonfigurationen eller om det inte finns tillräckligt med portar i poolen, kommer Endpoint Mapper Service inte att kunna registrera RPC-servrar med dynamiska slutpunkter. När det finns ett konfigurationsfel blir felkoden 87 (0x57) ERROR_INVALID_PARAMETER. Detta kan även påverka Windows RPC-servrar, till exempel Netlogon. Den loggar händelse 5820 i det här fallet:

Log Name: System  
Source: NETLOGON  
Event ID: 5820  
Level: Error  
Keywords: Classic  
Description:  
The Netlogon service could not add the AuthZ RPC interface. The service was terminated. The following error occurred: The parameter is incorrect.

Mer information finns i:

• Tjänstöversikt och krav på nätverksportar för Windows
• Så här konfigurerar du en brandvägg för Active Directory-domäner och -förtroenden
• Begränsa Active Directory RPC-trafik till en specifik port
• Standardintervallet för dynamisk port för TCP/IP har ändrats sedan Windows Vista och Windows Server 2008