Konfigurieren der dynamischen RPC-Portzuweisung für die Arbeit mit Firewalls

Dieser Artikel hilft Ihnen, die RPC-Parameter (Remote Procedure Call) in der Registrierung zu ändern, um sicherzustellen, dass die dynamische RPC-Portzuordnung mit Firewalls funktionieren kann.

Gilt für:   Windows Server 2012 R2
Ursprüngliche KB-Nummer:   154596

Zusammenfassung

Die zuweisung dynamischer RPC-Port wird von Serveranwendungen und Remoteverwaltungsanwendungen verwendet, z. B. DHCP-Manager (Dynamic Host Configuration Protocol), Windows WINS-Manager (Internet Name Service) usw. Die dynamische RPC-Portzuweisung weist das RPC-Programm an, basierend auf der Implementierung des verwendeten Betriebssystems einen bestimmten zufälligen Port in dem Bereich zu verwenden, der für TCP und UDP konfiguriert ist. Weitere Informationen finden Sie unten in den Referenzen.

Kunden, die Firewalls verwenden, möchten möglicherweise steuern, welche Ports RPC verwendet, sodass ihr Firewallrouter so konfiguriert werden kann, dass nur diese UDP- und TCP-Ports (Transmission Control Protocol) weitergeleitet werden.

Mit vielen RPC-Servern in Windows können Sie den Serverport in benutzerdefinierten Konfigurationselementen wie Registrierungseinträgen angeben. Wenn Sie einen dedizierten Serverport angeben können, wissen Sie, welcher Datenverkehr zwischen den Hosts über die Firewall fließt. Und Sie können festlegen, welcher Datenverkehr auf eine gezielteere Weise zulässig ist.

Wählen Sie als Serverport einen Port außerhalb des Bereichs aus, den Sie unten angeben möchten. Eine umfassende Liste der Serverports, die in Windows und wichtigen Microsoft-Produkten verwendet werden, finden Sie in der Dienstübersicht und den Netzwerkportanforderungen für Windows.

In diesem Artikel werden auch die RPC-Server und die RPC-Server aufgeführt, die für die Verwendung von benutzerdefinierten Serverports konfiguriert werden können, die über die von der RPC-Laufzeit bereitgestellten Möglichkeiten hinausgehen.

Einige Firewalls ermöglichen auch die UUID-Filterung, wenn sie aus einer RPC Endpoint Mapper-Anforderung für eine RPC-Schnittstelle UUID lernt. Die Antwort hat die Serverportnummer, und eine nachfolgende RPC-Bindung an diesem Port kann übergeben werden.

Wichtig

Verwenden Sie die in diesem Artikel beschriebene Methode nur, wenn der RPC-Server keine Möglichkeit zum Definieren des Serverports bietet.

Die folgenden Registrierungseinträge gelten für Windows NT 4.0 und höher. Sie gelten nicht für frühere Versionen von Windows NT. Obwohl Sie den vom Client für die Kommunikation mit dem Server verwendeten Port konfigurieren können, muss der Client in der Lage sein, den Server über seine tatsächliche IP-Adresse zu erreichen. Sie können DCOM nicht über Firewalls verwenden, die übersetzungsadressiert sind. Beispielsweise stellt ein Client eine Verbindung mit der virtuellen Adresse 198.252.145.1 her, die die Firewall transparent der tatsächlichen Adresse des Servers zuweist, z. B. 192.100.81.101. DCOM speichert unformatierte IP-Adressen in den Schnittstellen-Marshaling-Paketen. Wenn der Client keine Verbindung mit der im Paket angegebenen Adresse herstellen kann, funktioniert er nicht.

Weitere Informationen finden Sie unter Verwenden von DCOM/COM+ mit Firewall.

Weitere Informationen

Die unten beschriebenen Werte (und Internetschlüssel) werden nicht in der Registrierung angezeigt. Sie müssen manuell mithilfe des Registrierungs-Editors hinzugefügt werden.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Mit dem Registrierungs-Editor können Sie die folgenden Parameter für RPC ändern. Die unten beschriebenen RPC-Portschlüsselwerte befinden sich alle im folgenden Schlüssel in der Registrierung:

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\Entry name Data Type

  • Ports REG_MULTI_SZ

    Gibt eine Reihe von IP-Portbereichen an, die entweder aus allen über das Internet verfügbaren Ports oder aus allen Ports bestehen, die nicht über das Internet verfügbar sind. Jede Zeichenfolge stellt einen einzelnen Port oder einen inklusiven Satz von Ports dar.

    Beispielsweise kann ein einzelner Port durch 5984 dargestellt werden, und eine Gruppe von Ports kann durch 5000-5100 dargestellt werden. Wenn sich Einträge außerhalb des Bereichs von 0 bis 65535 befinden oder eine Zeichenfolge nicht interpretiert werden kann, behandelt die RPC-Laufzeit die gesamte Konfiguration als ungültig.

  • PortsInternetAvailable REG_SZ Y oder N (Groß-/Kleinschreibung nicht beachtet)

    Wenn Y, sind die im Portschlüssel aufgeführten Ports alle internetverfügbar Ports auf diesem Computer. Wenn N, sind die im Portschlüssel aufgeführten Ports alle Ports, die nicht im Internet verfügbar sind.

  • UseInternetPorts REG_SZ Y oder N (Groß-/Kleinschreibung nicht beachten)

    Gibt die Standardrichtlinie des Systems an.

    Bei Y werden den Prozessen, die die Standardeinstellung verwenden, Ports aus dem Satz der im Internet verfügbaren Ports zugewiesen, wie zuvor definiert. Wenn N festgelegt ist, werden den Prozessen, die den Standardwert verwenden, Ports aus der Gruppe der nur intranetbasierten Ports zugewiesen.

Beispiel

In diesem Beispiel wurden die Ports 5000 bis einschließlich 6000 willkürlich ausgewählt, um zu veranschaulichen, wie der neue Registrierungsschlüssel konfiguriert werden kann. Es ist keine Empfehlung einer Mindestanzahl von Ports, die für ein bestimmtes System erforderlich sind.

  1. Hinzufügen des Internetschlüssels unter HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc

  2. Fügen Sie unter dem Internetschlüssel die Werte Ports (MULTI_SZ), PortsInternetAvailable (REG_SZ) und UseInternetPorts (REG_SZ) hinzu.

    Beispielsweise wird der neue Registrierungsschlüssel wie folgt angezeigt:

    Ports: REG_MULTI_SZ: 5000-6000
    PortsInternetAvailable: REG_SZ: Y
    UseInternetPorts: REG_SZ: Y

  3. Starten Sie den Server neu. Alle Anwendungen, die die dynamische RPC-Portzuweisung verwenden, verwenden ports 5000 bis einschließlich 6000.

Sie sollten einen Bereich von Ports oberhalb von Port 5000 öffnen. Portnummern unter 5000 werden möglicherweise bereits von anderen Anwendungen verwendet und können Konflikte mit Ihren DCOM-Anwendungen verursachen. Darüber hinaus zeigt die Erfahrung, dass mindestens 100 Ports geöffnet werden sollten, da mehrere Systemdienste für die Kommunikation miteinander von diesen RPC-Ports abhängig sind.

Hinweis

Die mindest erforderliche Anzahl von Ports kann sich von Computer zu Computer unterscheiden. Bei Computern mit höherem Datenverkehr kann es zu einer Portauslastung kommen, wenn die dynamischen RPC-Ports eingeschränkt sind. Berücksichtigen Sie dies beim Einschränken des Portbereichs.

Warnung

Wenn in der Portkonfiguration ein Fehler auftritt oder nicht genügend Ports im Pool vorhanden sind, kann der Endpunkt-Mapper-Dienst keine RPC-Server bei dynamischen Endpunkten registrieren. Wenn ein Konfigurationsfehler auftritt, lautet der Fehlercode 87 (0x57) ERROR_INVALID_PARAMETER. Dies kann sich auch auf Windows RPC-Server auswirken, z. B. Netlogon. In diesem Fall wird das Ereignis 5820 protokolliert:

Log Name: System  
Source: NETLOGON  
Event ID: 5820  
Level: Error  
Keywords: Classic  
Description:  
The Netlogon service could not add the AuthZ RPC interface. The service was terminated. The following error occurred: The parameter is incorrect.

Weitere Informationen finden Sie unter: