Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: Windows 11 версии 22H2 и более поздних версий Windows
Windows 11 версии 22H2 содержит изменения в компонентах печати, которые изменяют взаимодействие компьютеров Windows друг с другом во время печати или печати связанных операций. Например, изменения вступают в силу при печати на принтере, совместно используемом сервером печати или другим компьютером в сети. Эти изменения были внесены для дальнейшего повышения общей безопасности печати в Windows. Конфигурация по умолчанию параметров подключения RPC применяет более новые и более безопасные методы связи. Домашние пользователи и администраторы предприятия также могут настраивать параметры для своей среды.
Сведения об обновлении
По умолчанию для связи, связанной с печатью, RPC по протоколу TCP используется для обмена данными между клиентом и сервером.
- Использование RPC по именованным каналам для связи с печатью между компьютерами по-прежнему доступно, но по умолчанию отключено.
- Использование RPC по протоколу TCP или RPC через именованные каналы для связи с печатью можно контролировать с помощью групповой политики или реестра.
По умолчанию клиент или сервер прослушивает только входящие подключения через RPC через TCP.
- Службу spooler можно настроить для прослушивания входящих подключений через RPC через именованные каналы. Это не конфигурация по умолчанию.
- Это поведение можно контролировать с помощью групповой политики или реестра.
При использовании RPC по протоколу TCP определенный порт можно настроить для обмена данными вместо динамических портов.
Среды, в которых все компьютеры присоединены к домену и поддерживают Kerberos, теперь могут применять проверку подлинности Kerberos.
Рекомендации по настройке среды
Ниже приведены рекомендации по правильной настройке среды для предотвращения или устранения проблем с взаимодействием между компьютерами.
Разрешить подключение RPC по протоколу TCP
Наиболее распространенная проблема заключается в том, что правила брандмауэра препятствуют обмену данными между компьютерами. Чтобы устранить проблемы с брандмауэром, выполните следующие действия.
- Убедитесь, что порт mapper конечной точки RPC (135) не заблокирован.
- Откройте временные порты высокого диапазона (49152 – 65535) на сервере или следуйте инструкциям в разделе "Настройка RPC", чтобы использовать определенные порты ниже, чтобы указать диапазон портов для RPC.
Дополнительные сведения о разных портах и их использовании системными службами см. в обзоре служб и требованиях к сетевому порту для Windows.
Использование RPC по именованным каналам
Такую конфигурацию использовать не рекомендуется. Однако его можно использовать, если RPC по протоколу TCP не является параметром в текущей среде.
- Чтобы включить компьютер с Windows 11 версии 22H2 для использования RPC по именованным каналам вместо RPC по протоколу TCP для связи, см . раздел "Использование RPC по именованным каналам для клиента — обмен данными сервера".
- Чтобы включить компьютер Windows 11 версии 22H2 для прослушивания входящих подключений через RPC через именованные каналы и RPC через TCP, см . раздел "Включение прослушивания входящих подключений на RPC через именованные каналы "
Следующие дополнительные конфигурации также могут потребоваться для правильной поддержки RPC по именованным каналам в среде.
- Задайте для параметра реестра RpcAuthnLevelPrivacyEnabled значение 0 на сервере или хост-компьютере. Сведения об управлении развертыванием привязок RPC принтера для CVE-2021-1678 (KB4599464) (microsoft.com)
- Для некоторых сценариев также требуется гостевой доступ в SMB2/SMB3, который по умолчанию отключен. Сведения о том, как включить небезопасные гостевые входы в SMB2 и SMB3.
Настройка RPC для использования определенных портов
Узнайте , как настроить RPC для использования определенных портов и как защитить эти порты с помощью IPsec.
- Чтобы задать динамический или исключенный диапазон портов, выполните
netsh intкоманды. - Чтобы использовать IPSec с netsh, выполните
netsh ipsecкоманды. - Чтобы использовать брандмауэр Windows для блокировки диапазона портов, выполните
netsh advfirewallкоманды.
Все перечисленные выше решения являются жизнеспособными решениями. Однако некоторые решения могут быть проще, чем те, которые требуют установки правила для каждого порта (IPSec и AdvFirewall). Для тестирования можно использовать метод диапазона динамических или исключенных портов, так как можно указать диапазон. Например:
Чтобы ограничить динамический диапазон портов, выполните следующие команды:
netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp
netsh int ipv4 set dynamicportrange tcp startport=50000 numberofports=255
netsh int ipv4 set dynamicportrange udp startport=50000 numberofports=255
netsh int ipv6 set dynamicportrange tcp startport=50000 numberofports=255
netsh int ipv6 set dynamicportrange udp startport=50000 numberofports=255
После этого перезагрузите компьютер.
Примечание.
255 — минимальное количество портов.
Чтобы дополнительно ограничить диапазон портов, выполните следующие команды:
netsh int ip show excludedportrange tcp
netsh int ip show excludedportrange udp
netsh int ipv4 add excludedportrange tcp startport=50000 numberofports=225
netsh int ipv4 add excludedportrange udp startport=50000 numberofports=225
netsh int ipv6 add excludedportrange tcp startport=50000 numberofports=225
netsh int ipv6 add excludedportrange udp startport=50000 numberofports=225
После этого перезагрузите компьютер.
Примечание.
Если ограничить количество портов слишком много, службы в системе не смогут эффективно взаимодействовать и могут вызвать проблему с функциональными возможностями.
Настройка связи RPC для компонентов Windows Print
Следующие параметры можно настроить с помощью групповой политики или непосредственно через реестр, чтобы добиться желаемого эффекта. Дополнительные сведения о каждом параметре см. в документации в редакторе групповой политики.
Использование RPC по именованным каналам для обмена данными с клиентом — сервером
- Включите с помощью групповой политики:
Путь. Принтеры административных>шаблонов>конфигурации>компьютера настраивают параметры подключения RPC
Включите и задайте значение RpcOverNamedPipes. - Включите параметр с помощью реестра:
Выполнитьreg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v RpcUseNamedPipeProtocol /t REG_DWORD /d 1 /f
Включение прослушивания входящих подключений на RPC через именованные каналы
- Включить с помощью групповой политики:
Путь. Принтеры административных > шаблонов > конфигурации > компьютера настраивают параметры прослушивателя RPC
Включить и задать протоколы, которые можно использовать для RpcOverNamedPipesAndTcp. - Включите параметр через реестр:
Выполнитьreg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v RpcProtocols /t REG_DWORD /d 0x7 /f
Использование определенного порта для связи RPC по протоколу TCP
- Включить с помощью групповой политики:
Путь. Принтеры административных>шаблонов>конфигурации>компьютера настраивают RPC через TCP-порт Включить и задать номер порта - Включение параметра через реестр
Выполнитьreg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v RpcTcpPort /t REG_DWORD /d <port number> /f
Максимальный порт: 65535
Принудительное применение проверки подлинности Kerberos
- Включить с помощью групповой политики:
Путь. Принтеры административных>шаблонов>конфигурации>компьютера настраивают параметры прослушивателя RPC
Включите и задайте протокол проверки подлинности, который разрешено использовать для Kerberos. - Включение параметра через реестр
Выполнитьreg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v ForceKerberosForRpc /t REG_DWORD /d 1 /f