Comment restreindre le trafic RPC Active Directory vers un port spécifique
Cet article explique comment restreindre le trafic des appels de procédure distante (RPC) de réplication Active Directory (AD) vers un port spécifique dans Windows Server.
S’applique à : toutes les versions prises en charge de Windows Server
Numéro de la base de connaissances d’origine : 224196
Résumé
Par défaut, les appels de procédure distante (RPC) de réplication Active Directory se produisent dynamiquement sur un port disponible via le mappeur de point de terminaison RPC (RPCSS) à l’aide du port 135. Un administrateur peut remplacer cette fonctionnalité et spécifier le port par lequel tout le trafic RPC Active Directory passe. Cette procédure verrouille le port.
Lorsque vous spécifiez des ports à utiliser à l’aide des entrées de Registre dans Plus d’informations, le trafic de réplication côté serveur Active Directory et le trafic RPC client sont envoyés à ces ports par le mappeur de point de terminaison. Cette configuration est possible, car toutes les interfaces RPC prises en charge par Active Directory s’exécutent sur tous les ports sur lesquels il écoute.
Remarque
Cet article ne décrit pas comment configurer la réplication AD pour un pare-feu. Des ports supplémentaires doivent être ouverts pour que la réplication fonctionne via un pare-feu. Par exemple, il peut être nécessaire d’ouvrir des ports pour le protocole Kerberos. Pour obtenir la liste complète des ports requis pour les services sur un pare-feu, consultez Vue d’ensemble des services et configuration requise des ports réseau pour Windows.
Plus d’informations
Importante
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.
Lorsque vous vous connectez à un point de terminaison RPC, le runtime RPC sur le client contacte le RPCSS sur le serveur sur un port connu (135). Et il obtient le port auquel se connecter pour le service prenant en charge l’interface RPC souhaitée. Il suppose que le client ne connaît pas la liaison complète. C’est la situation avec tous les services AD RPC.
Le service inscrit un ou plusieurs points de terminaison au démarrage et a le choix entre un port attribué dynamiquement ou un port spécifique.
Si vous configurez Active Directory et Netlogon pour qu’ils s’exécutent au port x comme dans l’entrée suivante, il devient les ports inscrits auprès du mappeur de point de terminaison en plus du port dynamique standard.
Utilisez le Registre Rédacteur pour modifier les valeurs suivantes sur chaque contrôleur de domaine où les ports restreints doivent être utilisés. Les serveurs membres ne sont pas considérés comme des serveurs d’ouverture de session. Par conséquent, l’affectation de port statique pour NTDS n’a aucun effet sur les serveurs membres.
Les serveurs membres disposent de l’interface RPC Netlogon, mais elle est rarement utilisée. Il peut s’agir, par exemple, d’une récupération de configuration à distance, par nltest /server:member.contoso.com /sc_query:contoso.com
exemple .
Clé de Registre 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Valeur de Registre : Port TCP/IP
Type de valeur : REG_DWORD
Données de valeur : (port disponible)
Redémarrez l’ordinateur pour que le nouveau paramètre devienne effectif.
Clé de Registre 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Valeur de Registre : DCTcpipPort
Type de valeur : REG_DWORD
Données de valeur : (port disponible)
Redémarrez le service Netlogon pour que le nouveau paramètre devienne effectif.
Remarque
Lorsque vous utilisez l’entrée de DCTcpipPort
Registre et que vous la définissez sur le même port que l’entrée de TCP/IP Port
Registre, vous recevez l’événement d’erreur Netlogon 5809 sous NTDS\Parameters
. Cela indique que le port configuré est en cours d’utilisation et que vous devez choisir un autre port.
Vous recevez le même événement lorsque vous disposez d’un port unique et que vous redémarrez le service Netlogon sur le contrôleur de domaine. Ce comportement est inhérent au produit. Cela se produit en raison de la façon dont le runtime RPC gère ses ports de serveur. Le port sera utilisé après le redémarrage et l’événement peut être ignoré.
Les administrateurs doivent confirmer que la communication sur le port spécifié est activée si des périphériques réseau ou logiciels intermédiaires sont utilisés pour filtrer les paquets entre les contrôleurs de domaine.
Souvent, vous devez également définir manuellement le port RPC du service de réplication de fichiers (FRS), car les réplications AD et FRS sont répliquées avec les mêmes contrôleurs de domaine. Le port RPC FRS doit utiliser un port différent.
Ne partez pas du principe que les clients utilisent uniquement les services RPC Netlogon et que seul le paramètre DCTcpipPort
est requis. Les clients utilisent également d’autres services RPC tels que SamRPC, LSARPC, ainsi que l’interface des services de réplication d’annuaire (DRS). Vous devez toujours configurer les deux paramètres du Registre et ouvrir les deux ports sur le pare-feu.
Problèmes connus
Après avoir spécifié les ports, vous pouvez rencontrer les problèmes suivants :
- Temps d’ouverture de session long après avoir défini un port statique spécifique pour NTDS et Netlogon dans un environnement de domaine Windows Server 2008 R2
- La réplication AD échoue avec un problème RPC après avoir défini un port statique pour NTDS dans un environnement de domaine Windows
- Échec de l’ouverture de session après la restriction du trafic RPC client vers contrôleur de domaine dans Windows Server 2012 R2 ou Windows Server 2008 R2
Pour résoudre les problèmes, installez les mises à jour mentionnées dans les articles.
Collecte de données
Si vous avez besoin d’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour les problèmes de réplication Active Directory.