Come limitare il traffico RPC di Active Directory a una porta specifica
Questo articolo descrive come limitare il traffico rpc (Remote Procedure Call) di replica di Active Directory (AD) a una porta specifica in Windows Server.
Si applica a: tutte le versioni supportate di Windows Server
Numero KB originale: 224196
Riepilogo
Per impostazione predefinita, le chiamate rpc (Remote Procedure Call) di replica di Active Directory vengono eseguite in modo dinamico su una porta disponibile tramite il mapper dell'endpoint RPC (RPCSS) tramite la porta 135. Un amministratore può eseguire l'override di questa funzionalità e specificare la porta che passa tutto il traffico RPC di Active Directory. Questa procedura blocca la porta.
Quando si specificano le porte da usare usando le voci del Registro di sistema in Altre informazioni, il traffico di replica lato server di Active Directory e il traffico RPC client vengono inviati a queste porte dal mapper dell'endpoint. Questa configurazione è possibile perché tutte le interfacce RPC supportate da Active Directory sono in esecuzione su tutte le porte in cui è in ascolto.
Note
Questo articolo non descrive come configurare la replica di Active Directory per un firewall. Per consentire il funzionamento della replica tramite un firewall, è necessario aprire porte aggiuntive. Ad esempio, potrebbe essere necessario aprire le porte per il protocollo Kerberos. Per ottenere un elenco completo delle porte necessarie per i servizi in un firewall, vedere Panoramica del servizio e requisiti delle porte di rete per Windows.
Ulteriori informazioni
Importante
In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedi Come eseguire il backup e il ripristino del Registro di sistema in Windows.
Quando ci si connette a un endpoint RPC, il runtime RPC nel client contatta rpcSS sul server in una porta nota (135). E ottiene la porta a cui connettersi per il servizio che supporta l'interfaccia RPC desiderata. Si presuppone che il client non conosca l'associazione completa. Si tratta della situazione con tutti i servizi RPC di Active Directory.
Il servizio registra uno o più endpoint all'avvio e ha la scelta di una porta assegnata dinamicamente o di una porta specifica.
Se si configura Active Directory e Netlogon per l'esecuzione alla porta x come nella voce seguente, diventano le porte registrate con il mapper dell'endpoint oltre alla porta dinamica standard.
Utilizzare l'editor del Registro di sistema per modificare i valori seguenti in ogni controller di dominio in cui devono essere usate le porte con restrizioni. I server membri non vengono considerati server di accesso. Pertanto, l'assegnazione di porte statiche per NTDS non ha alcun effetto sui server membri.
I server membri dispongono dell'interfaccia RPC Netlogon, ma viene usato raramente. Alcuni esempi possono essere il recupero della configurazione remota, ad esempio nltest /server:member.contoso.com /sc_query:contoso.com.
Chiave del Registro di sistema 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Valore del Registro di sistema: porta TCP/IP
Tipo di valore: REG_DWORD
Dati valore: (porta disponibile)
Riavviare il computer per rendere effettiva la nuova impostazione.
Chiave del Registro di sistema 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Valore del Registro di sistema: DCTcpipPort
Tipo di valore: REG_DWORD
Dati valore: (porta disponibile)
Riavviare il servizio Netlogon per rendere effettiva la nuova impostazione.
Note
Quando si usa la DCTcpipPort voce del Registro di sistema e la si imposta sulla stessa porta della voce del TCP/IP Port Registro di sistema, viene visualizzato l'evento di errore Netlogon 5809 in NTDS\Parameters. Ciò indica che la porta configurata è in uso ed è necessario scegliere una porta diversa.
Si riceverà lo stesso evento quando si dispone di una porta univoca e si riavvia il servizio Netlogon nel controller di dominio. Questo comportamento è impostato a livello di progettazione. Si verifica a causa del modo in cui il runtime RPC gestisce le porte del server. La porta verrà usata dopo il riavvio e l'evento può essere ignorato.
Gli amministratori devono verificare che la comunicazione sulla porta specificata sia abilitata se vengono usati dispositivi di rete intermedi o software per filtrare i pacchetti tra i controller di dominio.
Spesso, è anche necessario impostare manualmente la porta RPC del servizio replica file (FRS) perché la replica di Ad e FRS viene replicata con gli stessi controller di dominio. La porta RPC FRS deve usare una porta diversa.
Non presupporre che i client usino solo i servizi RPC Netlogon e quindi solo l'impostazione DCTcpipPort è necessaria. I client usano anche altri servizi RPC, ad esempio SamRPC, LSARPC, e anche l'interfaccia Servizi replica directory . È consigliabile configurare sempre sia le impostazioni del Registro di sistema che aprire entrambe le porte nel firewall.
Problemi noti
Dopo aver specificato le porte, è possibile che si verifichino i problemi seguenti:
- Tempo di accesso lungo dopo aver impostato una porta statica specifica per NTDS e Netlogon in un ambiente di dominio basato su Windows Server 2008 R2
- La replica di Active Directory non riesce con un problema RPC dopo aver impostato una porta statica per NTDS in un ambiente di dominio basato su Windows
- L'accesso non riesce dopo aver limitato il traffico RPC client a controller di dominio in Windows Server 2012 R2 o Windows Server 2008 R2
Per risolvere i problemi, installare gli aggiornamenti indicati negli articoli.
Raccolta dei dati
Se è necessaria assistenza dal supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.