Comment limiter le trafic RPC Active Directory à un port spécifique

Cet article explique comment restreindre le trafic RPC (Appel de procédure distante) de réplication Active Directory (AD) à un port spécifique dans Windows Server 2012 R2.

S’applique à :   Windows Server 2012 R2
Numéro de la ko d’origine :   224196

Résumé

Par défaut, les appels de procédure distante de réplication Active Directory (RPC) se produisent dynamiquement sur un port disponible via le rpc endpoint Mapper (RPCSS) à l’aide du port 135. Un administrateur peut remplacer cette fonctionnalité et spécifier le port transitant par tout le trafic RPC Active Directory. Cette procédure verrouille le port.

Lorsque vous spécifiez les ports à utiliser à l’aide des entrées de Registre dans Plus d’informations, le trafic de réplication côté serveur Active Directory et le trafic RPC client sont envoyés à ces ports par le mapper du point de terminaison. Cette configuration est possible car toutes les interfaces RPC pris en charge par Active Directory s’exécutent sur tous les ports sur lesquels elle est à l’écoute.

Notes

Cet article ne décrit pas comment configurer la réplication AD pour un pare-feu. Des ports supplémentaires doivent être ouverts pour que la réplication fonctionne via un pare-feu. Par exemple, les ports doivent être ouverts pour le protocole Kerberos. Pour obtenir la liste complète des ports requis pour les services à travers un pare-feu, voir Vue d’ensemble du service et exigences relatives aux ports réseau pour Windows.

Plus d’informations

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la façon de back up et restore the registry, voir How to back up and restore the registry in Windows.

Lorsque vous vous connectez à un point de terminaison RPC, le runtime RPC sur le client contacte le RPCSS sur le serveur sur un port connu (135). Il obtient également le port à connecter pour le service qui assure la prise en charge de l’interface RPC souhaitée. Il part du principe que le client ne connaît pas la liaison complète. Il s’agit de la situation de tous les services RPC AD.

Le service enregistre un ou plusieurs points de terminaison au démarrage et a le choix entre un port affecté dynamiquement ou un port spécifique.

Si vous configurez Active Directory et Netlogon pour qu’ils s’exécutent au port x comme dans l’entrée suivante, ils deviennent les ports inscrits auprès du mappeur de point de terminaison en plus du port dynamique standard.

Utilisez l’Éditeur du Registre pour modifier les valeurs suivantes sur chaque contrôleur de domaine où les ports restreints doivent être utilisés. Les serveurs membres ne sont pas considérés comme des serveurs d’accès. L’affectation de port statique pour NTDS n’a donc aucun effet sur les serveurs membres.

Les serveurs membres ont l’interface RPC Netlogon, mais elle est rarement utilisée. Voici quelques exemples de récupération de configuration à distance, par exemple nltest /server:member.contoso.com /sc_query:contoso.com .

Clé de Registre 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Valeur de Registre : port TCP/IP
Type de valeur : REG_DWORD
Données de valeur : (port disponible)

Redémarrez l’ordinateur pour que le nouveau paramètre devienne effectif.

Clé de Registre 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Valeur de Registre : DCTcpipPort
Type de valeur : REG_DWORD
Données de valeur : (port disponible)

Redémarrez le service Netlogon pour que le nouveau paramètre devienne effectif.

Notes

Lorsque vous utilisez l’entrée de Registre et que vous la définissez sur le même port que l’entrée de Registre, vous recevez l’événement d’erreur DCTcpipPort TCP/IP Port Netlogon 5809 sous NTDS\Parameters . Cela indique que le port configuré est en cours d’utilisation et que vous devez choisir un autre port.

Vous recevrez le même événement lorsque vous avez un port unique et que vous redémarrez le service Netlogon sur le contrôleur de domaine. Ce comportement est inhérent au produit. Elle se produit en raison de la façon dont le runtime RPC gère ses ports de serveur. Le port sera utilisé après le redémarrage et l’événement peut être ignoré.

Les administrateurs doivent vérifier que la communication sur le port spécifié est activée si des périphériques ou logiciels réseau intermédiaires sont utilisés pour filtrer les paquets entre les contrôleurs de domaine.

Souvent, vous devez également définir manuellement le port RPC du service de réplication de fichiers (FRS), car la réplication AD et FRS est répliquée avec les mêmes contrôleurs de domaine. Le port RPC FRS doit utiliser un autre port.

Ne supposez pas que les clients utilisent uniquement les services RPC Netlogon et que seul le paramètre DCTcpipPort est requis. Les clients utilisent également d’autres services RPC tels que SamRPC, LSARPC et l’interface des services de réplication d’annuaires (DRS). Vous devez toujours configurer les paramètres du Registre et ouvrir les deux ports sur le pare-feu.

Problèmes détectés

Après avoir spécifié les ports, vous pouvez rencontrer les problèmes suivants :

Pour résoudre les problèmes, installez les mises à jour mentionnées dans les articles.