Konfigurieren der dynamischen RPC-Portzuordnung für die Verwendung mit Firewalls

In diesem Artikel können Sie die Parameter für Remoteprozeduraufrufe (Remote Procedure Call, RPC) in der Registrierung ändern, um sicherzustellen, dass die dynamische RPC-Portzuweisung mit Firewalls funktionieren kann.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 154596

Zusammenfassung

Die dynamische RPC-Portzuweisung wird von Serveranwendungen und Remoteverwaltungsanwendungen wie DHCP-Manager (Dynamic Host Configuration Protocol), Wins-Manager (Windows Internet Name Service) usw. verwendet. Die dynamische RPC-Portzuordnung weist das RPC-Programm an, einen bestimmten zufälligen Port in dem bereich zu verwenden, der für TCP und UDP konfiguriert ist, basierend auf der Implementierung des verwendeten Betriebssystems. Weitere Informationen finden Sie unten in den Verweisen.

Kunden, die Firewalls verwenden, möchten möglicherweise steuern, welche Ports RPC verwendet, damit ihr Firewallrouter so konfiguriert werden kann, dass nur diese UDP- und TCP-Ports (Transmission Control Protocol) weitergeleitet werden.

Auf vielen RPC-Servern in Windows können Sie den Serverport in benutzerdefinierten Konfigurationselementen wie Registrierungseinträgen angeben. Wenn Sie einen dedizierten Serverport angeben können, wissen Sie, welcher Datenverkehr zwischen den Hosts über die Firewall fließt. Und Sie können definieren, welcher Datenverkehr in einer gerichteteren Weise zulässig ist.

Wählen Sie als Serverport einen Port außerhalb des Bereichs aus, den Sie unten angeben möchten. Eine umfassende Liste der Serverports, die in Windows verwendet werden, sowie wichtige Microsoft-Produkte finden Sie in der Dienstübersicht und den Netzwerkportanforderungen für Windows.

Der Artikel listet auch die RPC-Server auf und welche RPC-Server für die Verwendung von benutzerdefinierten Serverports konfiguriert werden können, die über die Funktionen hinausgehen, die die RPC-Laufzeit bietet.

Einige Firewalls ermöglichen auch die UUID-Filterung, wenn sie von einer RPC Endpoint Mapper-Anforderung für eine RPC-Schnittstelle UUID lernt. Die Antwort hat die Serverportnummer, und eine nachfolgende RPC-Bindung an diesen Port darf dann übergeben werden.

Wichtig

Verwenden Sie die in diesem Artikel beschriebene Methode nur, wenn der RPC-Server keine Möglichkeit zum Definieren des Serverports bietet.

Die folgenden Registrierungseinträge gelten für Windows NT 4.0 und höher. Sie gelten nicht für frühere Versionen von Windows NT. Obwohl Sie den vom Client für die Kommunikation mit dem Server verwendeten Port konfigurieren können, muss der Client über seine tatsächliche IP-Adresse den Server erreichen können. Sie können DCOM nicht über Firewalls verwenden, die Adressübersetzungen ausführen. Beispielsweise stellt ein Client eine Verbindung mit der virtuellen Adresse 198.252.145.1 her, die von der Firewall transparent der tatsächlichen Adresse des Servers zugeordnet wird, z. B. 192.100.81.101. DCOM speichert unformatierte IP-Adressen in den Schnittstellen-Marshalingpaketen. Wenn der Client keine Verbindung mit der im Paket angegebenen Adresse herstellen kann, funktioniert dies nicht.

Weitere Informationen finden Sie unter Verwenden von DCOM/COM+ mit Firewall.

Weitere Informationen

Die unten beschriebenen Werte (und der Internetschlüssel) werden nicht in der Registrierung angezeigt. Sie müssen manuell mithilfe des Registrierungs-Editors hinzugefügt werden.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Mit dem Registrierungs-Editor können Sie die folgenden Parameter für RPC ändern. Die unten beschriebenen RPC-Portschlüsselwerte befinden sich alle im folgenden Schlüssel in der Registrierung:

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\Entry name Data Type

  • Ports REG_MULTI_SZ

    Gibt eine Reihe von IP-Portbereichen an, die entweder aus allen im Internet verfügbaren Ports oder aus allen ports bestehen, die nicht über das Internet verfügbar sind. Jede Zeichenfolge stellt einen einzelnen Port oder einen inklusiven Satz von Ports dar.

    Beispielsweise kann ein einzelner Port durch 5984 dargestellt werden, und eine Reihe von Ports kann durch 5000-5100 dargestellt werden. Wenn Einträge außerhalb des Bereichs von 0 bis 65535 liegen oder eine Zeichenfolge nicht interpretiert werden kann, behandelt die RPC-Laufzeit die gesamte Konfiguration als ungültig.

  • PortsInternetAvailable REG_SZ Y oder N (keine Groß-/Kleinschreibung beachten)

    Wenn Y, sind die im Ports-Schlüssel aufgeführten Ports alle internet verfügbaren Ports auf diesem Computer. Bei N handelt es sich bei den im Ports-Schlüssel aufgeführten Ports um alle Ports, die nicht über das Internet verfügbar sind.

  • UseInternetPorts REG_SZ Y oder N (keine Groß-/Kleinschreibung beachten)

    Gibt die Standardrichtlinie des Systems an.

    Wenn Y, werden den Prozessen, die den Standardwert verwenden, Ports aus der Gruppe der internet verfügbaren Ports zugewiesen, wie zuvor definiert. Wenn N, werden den Prozessen, die den Standardwert verwenden, Ports aus der Gruppe der Nur-Intranet-Ports zugewiesen.

Beispiel

In diesem Beispiel wurden die Ports 5000 bis einschließlich 6000 willkürlich ausgewählt, um zu veranschaulichen, wie der neue Registrierungsschlüssel konfiguriert werden kann. Es handelt sich nicht um eine Empfehlung für eine mindeste Anzahl von Ports, die für ein bestimmtes System erforderlich sind.

  1. Hinzufügen des Internetschlüssels unter HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc

  2. Fügen Sie unter dem Internetschlüssel die Werte Ports (MULTI_SZ), PortsInternetAvailable (REG_SZ) und UseInternetPorts (REG_SZ) hinzu.

    Der neue Registrierungsschlüssel wird beispielsweise wie folgt angezeigt:

    Ports: REG_MULTI_SZ: 5000-6000
    PortsInternetAvailable: REG_SZ: Y
    UseInternetPorts: REG_SZ: Y

  3. Starten Sie den Server neu. Alle Anwendungen, die dynamische RPC-Portzuordnung verwenden, verwenden die Ports 5000 bis 6000 einschließlich.

Sie sollten eine Reihe von Ports oberhalb von Port 5000 öffnen. Portnummern unter 5000 werden möglicherweise bereits von anderen Anwendungen verwendet und können Konflikte mit Ihren DCOM-Anwendungen verursachen. Darüber hinaus zeigt die bisherige Erfahrung, dass mindestens 100 Ports geöffnet werden sollten, da mehrere Systemdienste auf diesen RPC-Ports basieren, um miteinander zu kommunizieren.

Hinweis

Die mindest erforderliche Anzahl von Ports kann von Computer zu Computer unterschiedlich sein. Computer mit höherem Datenverkehr können zu einer Portauslastung führen, wenn die dynamischen RPC-Ports eingeschränkt sind. Berücksichtigen Sie dies beim Einschränken des Portbereichs.

Warnung

Wenn ein Fehler in der Portkonfiguration vorliegt oder nicht genügend Ports im Pool vorhanden sind, kann der Endpunkt-Mapper-Dienst keine RPC-Server mit dynamischen Endpunkten registrieren. Wenn ein Konfigurationsfehler auftritt, lautet der Fehlercode 87 (0x57) ERROR_INVALID_PARAMETER. Dies kann sich auch auf Windows RPC-Server auswirken, z. B. Netlogon. Das Ereignis 5820 wird in diesem Fall protokolliert:

Log Name: System  
Source: NETLOGON  
Event ID: 5820  
Level: Error  
Keywords: Classic  
Description:  
The Netlogon service could not add the AuthZ RPC interface. The service was terminated. The following error occurred: The parameter is incorrect.

Weitere Informationen finden Sie unter: