Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: Windows 11, versión 22H2 y versiones posteriores de Windows
Windows 11, versión 22H2, presenta cambios en los componentes de impresión que modifican cómo las máquinas Windows se comunican entre sí durante las operaciones relacionadas con la impresión o impresión. Por ejemplo, los cambios entran en vigor al imprimir en una impresora compartida por un servidor de impresión u otro equipo de la red. Estos cambios se realizaron para mejorar aún más la seguridad general de la impresión en Windows. La configuración predeterminada de la configuración de conexión RPC aplica métodos de comunicación más recientes y más seguros. Los usuarios domésticos y los administradores de empresa también pueden personalizar la configuración de su entorno.
Detalles de la actualización
Para las comunicaciones relacionadas con la impresión, de forma predeterminada, se usa RPC a través de TCP para las comunicaciones de cliente y servidor.
- El uso de RPC sobre canalizaciones con nombre para la comunicación relacionada con la impresión entre equipos sigue estando disponible, pero está deshabilitado de forma predeterminada.
- El uso de RPC a través de TCP o RPC a través de canalizaciones con nombre para la comunicación relacionada con la impresión se puede controlar mediante la directiva de grupo o a través del registro.
De forma predeterminada, el cliente o el servidor solo escucha las conexiones entrantes a través de RPC a través de TCP.
- El servicio Spooler se puede configurar para que también escuche las conexiones entrantes a través de RPC a través de canalizaciones con nombre. Esta no es la configuración predeterminada.
- Este comportamiento se puede controlar mediante la directiva de grupo o mediante el Registro.
Cuando se usa RPC a través de TCP, se puede configurar un puerto específico que se usará para la comunicación en lugar de para los puertos dinámicos.
Los entornos en los que todos los equipos están unidos a un dominio y admiten Kerberos ahora pueden aplicar la autenticación Kerberos.
Recomendaciones para configurar un entorno
A continuación se incluyen recomendaciones sobre cómo configurar correctamente el entorno para evitar o resolver problemas con la comunicación entre equipos.
Permitir RPC a través de la comunicación TCP
El problema más común es que las reglas de firewall impiden la comunicación entre los equipos. Para resolver problemas con el firewall, siga estos pasos:
- Asegúrese de que el puerto del asignador de puntos de conexión RPC (135) no esté bloqueado.
- Abra los puertos efímeros de alto rango (49152 – 65535) en el servidor o siga las instrucciones de la sección Configuración de RPC para usar determinados puertos a continuación para especificar un intervalo de puertos para RPC.
Para obtener más información sobre los distintos puertos y su uso por parte de los servicios del sistema, consulte Información general del servicio y requisitos de puertos de red para Windows.
Uso de RPC a través de canalizaciones con nombre
Esta configuración no es la recomendada. Sin embargo, se puede usar si RPC a través de TCP no es una opción en el entorno actual.
- Para habilitar un equipo con Windows 11, versión 22H2 para usar RPC a través de canalizaciones con nombre en lugar de RPC a través de TCP para la comunicación, consulte la sección Uso de RPC sobre canalizaciones con nombre para cliente- comunicación de servidor.
- Para habilitar un equipo con Windows 11, versión 22H2 para escuchar las conexiones entrantes a través de RPC a través de canalizaciones con nombre y RPC a través de TCP, consulte la sección Habilitar la escucha de conexiones entrantes en RPC a través de canalizaciones con nombre.
Es posible que también se necesiten las siguientes configuraciones adicionales para admitir correctamente RPC a través de canalizaciones con nombre en el entorno.
- Establezca el valor del Registro RpcAuthnLevelPrivacyEnabled en 0 en el equipo host o servidor. Consulte Administración de la implementación de cambios de enlace RPC de impresora para CVE-2021-1678 (KB4599464) (microsoft.com)
- Algunos escenarios también requieren acceso de invitado en SMB2/SMB3, que está deshabilitado de forma predeterminada. Para habilitarlo, consulte Habilitación de inicios de sesión de invitado no seguros en SMB2 y SMB3.
Configuración de RPC para usar determinados puertos
- Para establecer un intervalo de puertos dinámico o excluido, ejecute los
netsh int
comandos. - Para usar IPSec con netsh, ejecute los
netsh ipsec
comandos. - Para usar Firewall de Windows para bloquear un intervalo de puertos, ejecute los
netsh advfirewall
comandos.
Todas las soluciones anteriores son soluciones viables. Sin embargo, algunas soluciones pueden ser más fáciles que las que requieren que establezca la regla para cada puerto (IPSec y AdvFirewall). Con fines de prueba, puede usar el método de intervalo de puertos dinámicos o excluidos, ya que puede especificar el intervalo. Por ejemplo:
Para restringir el intervalo de puertos dinámicos, ejecute estos comandos:
netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp
netsh int ipv4 set dynamicportrange tcp startport=50000 numberofports=255
netsh int ipv4 set dynamicportrange udp startport=50000 numberofports=255
netsh int ipv6 set dynamicportrange tcp startport=50000 numberofports=255
netsh int ipv6 set dynamicportrange udp startport=50000 numberofports=255
A continuación, reinicie el equipo.
Nota:
255 es el número mínimo de puertos que se pueden establecer.
Para restringir aún más el intervalo de puertos, ejecute estos comandos:
netsh int ip show excludedportrange tcp
netsh int ip show excludedportrange udp
netsh int ipv4 add excludedportrange tcp startport=50000 numberofports=225
netsh int ipv4 add excludedportrange udp startport=50000 numberofports=225
netsh int ipv6 add excludedportrange tcp startport=50000 numberofports=225
netsh int ipv6 add excludedportrange udp startport=50000 numberofports=225
A continuación, reinicie el equipo.
Nota:
Si restringe el número de puertos demasiados, los servicios del sistema no podrán comunicarse de forma eficaz y pueden causar un problema con la funcionalidad.
Configuración de la comunicación RPC para componentes de impresión de Windows
Las siguientes opciones se pueden configurar a través de la directiva de grupo o directamente a través del Registro para lograr el efecto deseado. Consulte la documentación del editor de directivas de grupo para obtener detalles específicos sobre cada configuración.
Uso de RPC a través de canalizaciones con nombre para la comunicación de cliente: servidor
- Habilite mediante la directiva de grupo:
Ruta de acceso: Configuración del>equipo Plantillas>administrativas Impresoras>Configurar la conexión RPC
Habilite y establezca en RpcOverNamedPipes. - Habilite la configuración mediante el Registro:
Ejecutereg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v RpcUseNamedPipeProtocol /t REG_DWORD /d 1 /f
:
Habilitación de la escucha de conexiones entrantes en RPC a través de canalizaciones con nombre
- Habilitar a través de la directiva de grupo:
Ruta de acceso: Configuración del > equipo Plantillas > administrativas Impresoras > Configurar la configuración del agente de escucha RPC
Habilite y establezca los protocolos permitidos para usarse en RpcOverNamedPipesAndTcp. - Habilite la configuración mediante el Registro:
Ejecutereg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v RpcProtocols /t REG_DWORD /d 0x7 /f
:
Uso de un puerto específico para RPC a través de la comunicación TCP
- Habilitar a través de la directiva de grupo:
Ruta de acceso: Configuración del>equipo Plantillas administrativas>Impresoras>Configurar RPC a través del puerto TCP Habilitar y establecer el número de puerto - Habilitación de la configuración a través del Registro
Ejecutereg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v RpcTcpPort /t REG_DWORD /d <port number> /f
:
Puerto máximo: 65535
Aplicación de la autenticación Kerberos
- Habilitar a través de la directiva de grupo:
Ruta de acceso: Configuración del>equipo Plantillas>administrativas Impresoras>Configurar la configuración del agente de escucha RPC
Habilite y establezca el protocolo de autenticación que se puede usar en Kerberos. - Habilitación de la configuración a través del Registro
Ejecutereg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v ForceKerberosForRpc /t REG_DWORD /d 1 /f
: