如何將 Active Directory RPC 流量限製為特定埠

本文說明如何限制 Active Directory （AD）複寫遠端過程調用（RPC）流量到 Windows Server 中的特定埠。

適用於： 所有支援的 Windows Server 版本
原始 KB 編號： 224196

摘要

根據預設，Active Directory 複寫遠端過程調用會透過使用埠 135 透過 RPC 端點對應程式（RPCSS）透過可用的埠動態發生。系統管理員可以覆寫這項功能，並指定所有 Active Directory RPC 流量通過的埠。此程式會鎖定埠。

當您在 [詳細資訊] 中使用登錄專案來指定要使用的埠時，端點對應程式會將Active Directory 伺服器端復寫流量和用戶端 RPC 流量傳送至這些埠。此設定是可能的，因為 Active Directory 支援的所有 RPC 介面都會在接聽的所有埠上執行。

注意

本文不會說明如何設定防火牆的AD複寫。必須開啟其他埠，才能讓復寫透過防火牆運作。例如，可能需要針對 Kerberos 通訊協議開啟埠。若要取得跨防火牆服務所需埠的完整清單，請參閱 Windows 的服務概觀和網路埠需求。

重要

這個章節、方法或工作包含修改登錄的步驟。然而，不當修改登錄可能會發生嚴重的問題。因此，請務必小心執行下列步驟。為增加保護起見，請先備份登錄，再進行修改。然後，如果發生問題，您就可以還原登錄。如需備份和還原登錄的詳細資訊，請參閱如何在 Windows 中備份及還原登錄。

當您連線到 RPC 端點時，用戶端上的 RPC 執行時間會連絡位於已知埠（135）伺服器上的 RPCSS。而且它會取得要連線到的埠，以供支援所需 RPC 介面的服務使用。它假設用戶端不知道完整的系結。這是所有 AD RPC 服務的情況。

服務會在啟動時註冊一或多個端點，並可選擇動態指派的埠或特定埠。

如果您將 Active Directory 和 Netlogon 設定為在埠 x 上執行，如下列專案所示，它會成為除了標準動態埠之外，還向端點對應程式註冊的埠。

使用註冊表編輯器，在要使用的受限制埠的每個域控制器上修改下列值。成員伺服器不會被視為登入伺服器。因此，NTDS 的靜態埠指派不會影響成員伺服器。

成員伺服器確實具有 Netlogon RPC 介面，但很少使用。某些範例可能是遠端組態擷取，例如 nltest /server:member.contoso.com /sc_query:contoso.com。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
登錄值：TCP/IP 埠
設置選項: REG_DWORD
價值資料：（可用的埠）

重新啟動電腦，讓新設定生效。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
登錄值：DCTcpipPort
設置選項: REG_DWORD
價值資料：（可用的埠）

重新啟動 Netlogon 服務，讓新設定生效。

注意

當您使用 DCTcpipPort 登錄專案，並將它設定為與登錄專案相同的埠 TCP/IP Port 時，您會在底下 NTDS\Parameters收到 Netlogon 錯誤事件 5809。這表示設定的埠正在使用中，您應該選擇不同的埠。

當您有唯一的埠時，您會收到相同的事件，並在域控制器上重新啟動 Netlogon 服務。這是依照設計的行為。這是因為 RPC 運行時間管理其伺服器埠的方式。埠將會在重新啟動之後使用，而且可以忽略事件。

如果任何中繼網路裝置或軟體用來篩選域控制器之間的封包，系統管理員應該確認是否已啟用透過指定埠的通訊。

通常，您也必須手動設定檔案復寫服務（FRS） RPC 埠，因為 AD 和 FRS 複寫會使用相同的域控制器進行複寫。 FRS RPC 埠應該使用不同的埠。

請勿假設用戶端只會使用 Netlogon RPC 服務，因此只需要設定 DCTcpipPort 。用戶端也會使用其他 RPC 服務，例如 SamRPC、LSARPC，以及目錄複寫服務（DRS）介面。您應該一律設定登錄設定，並在防火牆上開啟這兩個埠。

指定埠之後，可能會遇到下列問題：

若要解決問題，請安裝文章中提及的更新。

如果您需要Microsoft支援方面的協助，建議您遵循使用 TSS 收集 Active Directory 複寫問題的資訊中所述的步驟來收集資訊。