Como restringir o tráfego RPC do Active Directory a uma porta específica
Este artigo descreve como restringir o tráfego de chamadas de procedimento remoto (RPC) de replicação do Active Directory (AD) a uma porta específica no Windows Server.
Aplica-se a: todas as versões com suporte do Windows Server
Número original do KB: 224196
Resumo
Por padrão, as chamadas de procedimento remoto (RPC) de replicação do Active Directory ocorrem dinamicamente em uma porta disponível por meio do RPC Endpoint Mapper (RPCSS) usando a porta 135. Um administrador pode substituir essa funcionalidade e especificar a porta pela qual todo o tráfego RPC do Active Directory passa. Este procedimento bloqueia a porta.
Quando você especifica portas a serem usadas usando as entradas do Registro em Mais informações, o tráfego de replicação do lado do servidor do Active Directory e o tráfego RPC do cliente são enviados para essas portas pelo mapeador de ponto de extremidade. Essa configuração é possível porque todas as interfaces RPC compatíveis com o Active Directory estão em execução em todas as portas nas quais ele está escutando.
Observação
Este artigo não descreve como configurar a replicação do AD para um firewall. Portas adicionais devem ser abertas para que a replicação funcione por meio de um firewall. Por exemplo, as portas podem precisar ser abertas para o protocolo Kerberos. Para obter uma lista completa das portas necessárias para serviços em um firewall, consulte Visão geral do serviço e requisitos de porta de rede para Windows.
Mais informações
Importante
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em, é possível restaurar o Registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, consulte Como fazer backup e restaurar o Registro no Windows.
Quando você se conecta a um ponto de extremidade RPC, o runtime RPC no cliente entra em contato com o RPCSS no servidor em uma porta conhecida (135). E obtém a porta à qual se conectar para o serviço que suporta a interface RPC desejada. Ele pressupõe que o cliente não conhece a associação completa. É a situação com todos os serviços RPC do AD.
O serviço registra um ou mais pontos de extremidade quando é iniciado e tem a opção de uma porta atribuída dinamicamente ou uma porta específica.
Se você configurar o Active Directory e o Netlogon para serem executados na porta x como na entrada a seguir, ele se tornará as portas registradas com o mapeador de ponto de extremidade, além da porta dinâmica padrão.
Use o Editor do Registro para modificar os valores a seguir em cada controlador de domínio em que as portas restritas devem ser usadas. Os servidores membros não são considerados servidores de logon. Portanto, a atribuição de porta estática para NTDS não tem efeito nos servidores membros.
Os servidores membros têm a Interface RPC Netlogon, mas ela raramente é usada. Alguns exemplos podem ser a recuperação remota de configuração, como nltest /server:member.contoso.com /sc_query:contoso.com.
Chave do Registro 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Valor do Registro: Porta TCP/IP
Tipo de valor: REG_DWORD
Dados do valor: (porta disponível)
Reinicie o computador para que a nova configuração entre em vigor.
Chave de registro 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Valor do Registro: DCTcpipPort
Tipo de valor: REG_DWORD
Dados do valor: (porta disponível)
Reinicie o serviço Netlogon para que a nova configuração entre em vigor.
Observação
Ao usar a entrada do DCTcpipPort Registro e configurá-la para a mesma porta que a entrada do Registro, você recebe o TCP/IP Port evento de erro Netlogon 5809 em NTDS\Parameters. Isso indica que a porta configurada está em uso e você deve escolher uma porta diferente.
Você receberá o mesmo evento quando tiver uma porta exclusiva e reiniciar o serviço Netlogon no controlador de domínio. Este comportamento ocorre por design. Isso ocorre devido à maneira como o tempo de execução RPC gerencia suas portas de servidor. A porta será usada após a reinicialização e o evento poderá ser ignorado.
Os administradores devem confirmar se a comunicação pela porta especificada está habilitada se algum dispositivo de rede intermediário ou software for usado para filtrar pacotes entre os controladores de domínio.
Freqüentemente, você também deve definir manualmente a porta RPC do FRS (Serviço de Replicação de Arquivos) porque a replicação do AD e do FRS é replicada com os mesmos Controladores de Domínio. A porta FRS RPC deve usar uma porta diferente.
Não suponha que os clientes usem apenas os serviços RPC do Netlogon e, portanto, apenas a configuração DCTcpipPort é necessária. Os clientes também estão usando outros serviços RPC, como SamRPC, LSARPC e também a interface DRS (Directory Replication Services). Você deve sempre definir as duas configurações do Registro e abrir as duas portas no firewall.
Problemas conhecidos
Depois de especificar as portas, você pode encontrar os seguintes problemas:
- Longo tempo de logon depois de definir uma porta estática específica para NTDS e Netlogon em um ambiente de domínio baseado no Windows Server 2008 R2
- A replicação do AD falha com um problema de RPC depois que você define uma porta estática para NTDS em um ambiente de domínio baseado no Windows
- O logon falha depois que você restringe o RPC do cliente ao tráfego DC no Windows Server 2012 R2 ou Windows Server 2008 R2
Para resolver os problemas, instale as atualizações mencionadas nos artigos.
Coleta de dados
Se você precisar de ajuda do suporte da Microsoft, recomendamos que você colete as informações seguindo as etapas mencionadas em Coletar informações usando o TSS para problemas de replicação do Active Directory.