Como configurar a alocação de portas dinâmicas RPC para trabalhar com firewalls

Este artigo ajuda-o a modificar os parâmetros de Chamada de Procedimento Remoto (RPC) no registo para garantir que a alocação de portas dinâmicas RPC pode funcionar com firewalls.

Número original da BDC: 154596

Resumo

A alocação de portas dinâmicas RPC é utilizada por aplicações de servidor e aplicações de administração remota, como o Gestor do Protocolo DHCP (Dynamic Host Configuration Protocol), o Gestor do Serviço de Nomes de Internet do Windows (WINS), etc. A alocação de portas dinâmicas RPC instrui o programa RPC a utilizar uma porta aleatória específica no intervalo configurado para TCP e UDP, com base na implementação do sistema operativo utilizado. Para obter mais informações, veja as referências abaixo.

Os clientes que utilizam firewalls podem querer controlar as portas que o RPC está a utilizar para que o router da firewall possa ser configurado para reencaminhar apenas estas portas de Protocolo de Controlo de Transmissão (UDP e TCP).

Muitos servidores RPC no Windows permitem-lhe especificar a porta do servidor em itens de configuração personalizados, como entradas de registo. Quando pode especificar uma porta de servidor dedicada, sabe quais os fluxos de tráfego entre os anfitriões na firewall. E pode definir que tráfego é permitido de uma forma mais direcionada.

Como porta do servidor, escolha uma porta fora do intervalo que poderá querer especificar abaixo. Pode encontrar uma lista abrangente de Portas de servidor que são utilizadas no Windows e principais produtos Microsoft em Descrição geral do serviço e requisitos de portas de rede para Windows.

O artigo também lista os servidores RPC e quais os servidores RPC que podem ser configurados para utilizar portas de servidor personalizadas para além das instalações que o runtime RPC oferece.

Algumas firewalls também permitem a filtragem UUID, onde aprende a partir de um pedido do Mapeador de Pontos Finais RPC para um UUID de interface RPC. A resposta tem o número da porta do servidor e, em seguida, é permitido passar um Enlace RPC subsequente nesta porta.

Importante

Utilize o método descrito neste artigo apenas se o servidor RPC não oferecer uma forma de definir a porta do servidor.

As seguintes entradas de registo aplicam-se ao Windows NT 4.0 e superior. Não se aplicam a versões anteriores do Windows NT. Apesar de poder configurar a porta utilizada pelo cliente para comunicar com o servidor, o cliente tem de conseguir aceder ao servidor através do respetivo endereço IP real. Não pode utilizar o DCOM através de firewalls que fazem a tradução de endereços. Por exemplo, um cliente liga ao endereço virtual 198.252.145.1, que a firewall mapeia de forma transparente para o endereço real do servidor de, por exemplo, 192.100.81.101. O DCOM armazena endereços IP não processados nos pacotes de controlo de interface. Se o cliente não conseguir ligar ao endereço especificado no pacote, não funcionará.

Mais informações

Os valores (e a chave de Internet) abordados abaixo não aparecem no registo. Têm de ser adicionados manualmente com o Editor de Registo.

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações, consulte Como fazer uma cópia de segurança e restaurar o registo no Windows.

Com o Editor de Registo, pode modificar os seguintes parâmetros para RPC. Os valores da chave de Porta RPC abordados abaixo estão todos localizados na seguinte chave no registo:

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\Entry name Data Type

• Portas REG_MULTI_SZ

  Especifica um conjunto de intervalos de portas IP que consistem em todas as portas disponíveis a partir da Internet ou em todas as portas não disponíveis a partir da Internet. Cada cadeia representa uma única porta ou um conjunto inclusivo de portas.

  Por exemplo, uma única porta pode ser representada por 5984 e um conjunto de portas pode ser representado por 5000-5100. Se alguma entrada estiver fora do intervalo de 0 a 65535 ou se uma cadeia não puder ser interpretada, o runtime RPC trata toda a configuração como inválida.

• PortsInternetAvailable REG_SZ Y ou N (não sensível às maiúsculas e minúsculas)

  Se Y, as portas listadas na chave Portas são todas as portas disponíveis na Internet nesse computador. Se N, as portas listadas na chave Portas são todas as portas que não estão disponíveis na Internet.

• UseInternetPorts REG_SZ Y ou N (não sensível a maiúsculas e minúsculas)

  Especifica a política predefinida do sistema.

  Se Y, os processos que utilizam a predefinição serão atribuídas portas do conjunto de portas disponíveis na Internet, conforme definido anteriormente. Se N, os processos que utilizam a predefinição serão atribuídas portas do conjunto de portas apenas de intranet.

Exemplo

Neste exemplo, as portas 5000 a 6000 inclusive foram selecionadas arbitrariamente para ajudar a ilustrar como a nova chave de registo pode ser configurada. Não é uma recomendação de um número mínimo de portas necessárias para qualquer sistema específico.

1. Adicionar a chave da Internet em HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc

2. Na chave da Internet, adicione os valores Portas (MULTI_SZ), PortsInternetAvailable (REG_SZ) e UseInternetPorts (REG_SZ).

   Por exemplo, a nova chave de registo é apresentada da seguinte forma:

   Portas: REG_MULTI_SZ: 5000-6000
   PortsInternetAvailable: REG_SZ: Y
   UseInternetPorts: REG_SZ: Y

3. Reiniciar o servidor. Todas as aplicações que utilizam a alocação de portas dinâmicas RPC utilizam as portas 5000 a 6000, inclusive.

Deve abrir um intervalo de portas acima da porta 5000. Os números de porta inferiores a 5000 podem já estar a ser utilizados por outras aplicações e podem causar conflitos com as aplicações DCOM. Além disso, a experiência anterior mostra que deve ser aberto um mínimo de 100 portas, uma vez que vários serviços de sistema dependem destas portas RPC para comunicar entre si.

Observação

O número mínimo de portas necessárias pode diferir de computador para computador. Os computadores com tráfego mais elevado podem deparar-se com uma situação de esgotamento de portas se as portas dinâmicas RPC forem restritas. Tenha isto em consideração ao restringir o intervalo de portas.

Aviso

Se existir um erro na configuração da porta ou se existirem portas insuficientes no conjunto, o Serviço Mapeador de Pontos Finais não conseguirá registar servidores RPC com pontos finais dinâmicos. Quando ocorrer um erro de configuração, o código de erro será 87 (0x57) ERROR_INVALID_PARAMETER. Isto também pode afetar os servidores RPC do Windows, como o Netlogon. Irá registar o evento 5820 neste caso:

Log Name: System  
Source: NETLOGON  
Event ID: 5820  
Level: Error  
Keywords: Classic  
Description:  
The Netlogon service could not add the AuthZ RPC interface. The service was terminated. The following error occurred: The parameter is incorrect.

Para saber mais, confira:

• Visão geral do serviço e requisitos de porta de rede para o Windows
• Como configurar um firewall para domínios e relações de confiança do Active Directory
• Restringir o tráfego RPC do Active Directory a uma porta específica
• O intervalo de portas dinâmicas predefinido para TCP/IP foi alterado desde o Windows Vista e no Windows Server 2008