Rpc dinamik bağlantı noktası ayırmayı güvenlik duvarlarıyla çalışacak şekilde yapılandırma
Bu makale, RPC dinamik bağlantı noktası ayırmanın güvenlik duvarlarıyla çalıştığından emin olmak için kayıt defterindeki Uzak Yordam Çağrısı (RPC) parametrelerini değiştirmenize yardımcı olur.
Şunlar için geçerlidir: Windows Server 2012 R2
Özgün KB numarası: 154596
Özet
RPC dinamik bağlantı noktası ayırma, sunucu uygulamaları ve Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) Yöneticisi, Windows Internet Ad Hizmeti (WINS) Yöneticisi gibi uzak yönetim uygulamaları tarafından kullanılır. RPC dinamik bağlantı noktası ayırma, RPC programına, kullanılan işletim sisteminin uygulanmasına bağlı olarak TCP ve UDP için yapılandırılmış aralıkta belirli bir rastgele bağlantı noktasını kullanmasını ister. Daha fazla bilgi için aşağıdaki başvurulara bakın.
Güvenlik duvarlarını kullanan müşteriler, güvenlik duvarı yönlendiricilerinin yalnızca bu İletim Denetimi Protokolü (UDP ve TCP) bağlantı noktalarını iletecek şekilde yapılandırılabilmesi için RPC'nin hangi bağlantı noktalarını kullandığını denetlemek isteyebilir.
Windows'daki birçok RPC sunucusu, kayıt defteri girdileri gibi özel yapılandırma öğelerinde sunucu bağlantı noktasını belirtmenize olanak tanır. Ayrılmış bir sunucu bağlantı noktası belirtebildiğiniz zaman, güvenlik duvarı boyunca konaklar arasında hangi trafiğin aktığını bilirsiniz. Ayrıca hangi trafiğe izin verilip verilebileceğini daha yönlendirilmiş bir şekilde tanımlayabilirsiniz.
Sunucu bağlantı noktası olarak, aşağıda belirtmek isteyebileceğiniz aralığın dışında bir bağlantı noktası seçin. Windows'ta kullanılan Sunucu bağlantı noktalarının kapsamlı bir listesini ve hizmet genel bakış ve Windows için ağ bağlantı noktası gereksinimleri bölümünden büyük Microsoft ürünlerini bulabilirsiniz.
Makalede AYRıCA RPC sunucuları ve RPC sunucularının RPC çalışma zamanının sunduğu olanakların ötesinde özel sunucu bağlantı noktalarını kullanacak şekilde yapılandırılabilmesi de listelenmiştir.
Bazı güvenlik duvarları, RPC arabirimi UUID'sine yönelik RPC Uç Nokta Eşleyicisi isteğinden öğrendiği UUID filtrelemesine de izin verir. Yanıt, sunucu bağlantı noktası numarasına sahiptir ve bu bağlantı noktasında sonraki bir RPC Bağlamasının geçmesine izin verilir.
Önemli
Bu makalede açıklanan yöntemi yalnızca RPC sunucusu sunucu bağlantı noktasını tanımlamak için bir yol sunmuyorsa kullanın.
Aşağıdaki kayıt defteri girdileri Windows NT 4.0 ve üzeri için geçerlidir. Bunlar Windows NT önceki sürümleri için geçerli değildir. İstemci tarafından kullanılan bağlantı noktasını sunucuyla iletişim kurmak için yapılandırabilseniz de, istemcinin sunucuya gerçek IP adresiyle ulaşabilmesi gerekir. DCOM'i çeviriye yönelik güvenlik duvarları aracılığıyla kullanamazsınız. Örneğin, bir istemci 198.252.145.1 sanal adresine bağlanır ve bu da güvenlik duvarının sunucunun gerçek adresi (örneğin, 192.100.81.101) ile saydam bir şekilde eşlendiği bir sanal adrestir. DCOM, ham IP adreslerini arabirim hazırlama paketlerinde depolar. İstemci pakette belirtilen adrese bağlanamazsa çalışmaz.
Daha fazla bilgi
Aşağıda açıklanan değerler (ve İnternet anahtarı) kayıt defterinde görünmez. Kayıt Defteri Düzenleyici kullanılarak el ile eklenmelidir.
Önemli
Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Daha fazla bilgi için bkz. Windows'da kayıt defterini yedekleme ve geri yükleme.
Kayıt Defteri Düzenleyici ile RPC için aşağıdaki parametreleri değiştirebilirsiniz. Aşağıda açıklanan RPC Bağlantı Noktası anahtarı değerlerinin tümü kayıt defterinde aşağıdaki anahtarda bulunur:
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\Entry name Data Type
Bağlantı noktaları REG_MULTI_SZ
İnternet'ten edinilebilen tüm bağlantı noktalarından veya İnternet'ten kullanılamayan tüm bağlantı noktalarından oluşan bir IP bağlantı noktası aralığı kümesini belirtir. Her dize tek bir bağlantı noktasını veya kapsayıcı bir bağlantı noktası kümesini temsil eder.
Örneğin, tek bir bağlantı noktası 5984 ile temsil edilebilir ve bir bağlantı noktası kümesi 5000-5100 ile temsil edilebilir. Herhangi bir girdi 0 ile 65535 arasında değilse veya herhangi bir dize yorumlanamazsa, RPC çalışma zamanı tüm yapılandırmayı geçersiz olarak kabul eder.
PortsInternetAvailable REG_SZ Y veya N (büyük/küçük harfe duyarlı değildir)
Y ise, Bağlantı Noktaları anahtarında listelenen bağlantı noktaları, o bilgisayardaki İnternet'te kullanılabilen tüm bağlantı noktalarıdır. N ise, Bağlantı Noktaları anahtarında listelenen bağlantı noktalarının tümü İnternet'te kullanılamayan bağlantı noktalarıdır.
Y veya N REG_SZ UseInternetPorts (büyük/küçük harfe duyarlı değil)
Sistem varsayılan ilkesini belirtir.
Y ise, varsayılanı kullanan işlemlere daha önce tanımlandığı gibi İnternet'te kullanılabilen bağlantı noktaları kümesinden bağlantı noktaları atanır. N ise, varsayılanı kullanan işlemlere yalnızca intranet bağlantı noktaları kümesinden bağlantı noktaları atanır.
Örnek
Bu örnekte, yeni kayıt defteri anahtarının nasıl yapılandırıldığını göstermeye yardımcı olmak için 5000 ile 6000 arasında (dahil) bağlantı noktaları rastgele seçilmiştir. Bu, belirli bir sistem için gereken en az sayıda bağlantı noktası önerisi değildir.
İnternet anahtarını
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpcİnternet anahtarının altına Bağlantı Noktaları (MULTI_SZ), PortsInternetAvailable (REG_SZ) ve UseInternetPorts (REG_SZ) değerlerini ekleyin.
Örneğin, yeni kayıt defteri anahtarı aşağıdaki gibi görünür:
Bağlantı noktaları: REG_MULTI_SZ: 5000-6000
PortsInternetAvailable: REG_SZ: Y
UseInternetPorts: REG_SZ: YSunucuyu yeniden başlatın. RPC dinamik bağlantı noktası ayırma kullanan tüm uygulamalar 5000 ile 6000 arasında (dahil) bağlantı noktalarını kullanır.
5000 numaralı bağlantı noktasının üzerinde bir bağlantı noktası aralığı açmalısınız. 5000'in altındaki bağlantı noktası numaraları diğer uygulamalar tarafından zaten kullanılıyor olabilir ve DCOM uygulamalarınızla çakışmalara neden olabilir. Ayrıca, birkaç sistem hizmeti birbiriyle iletişim kurmak için bu RPC bağlantı noktalarına bağlı olduğundan, önceki deneyim en az 100 bağlantı noktasının açılması gerektiğini göstermektedir.
Not
Gereken en az bağlantı noktası sayısı bilgisayardan bilgisayara farklılık gösterebilir. Rpc dinamik bağlantı noktaları kısıtlanırsa trafiği daha yüksek olan bilgisayarlar bağlantı noktası tükenmesi durumuyla karşılaşabilir. Bağlantı noktası aralığını kısıtlarken bunu dikkate alın.
Uyarı
Bağlantı noktası yapılandırmasında hata varsa veya havuzda yeterli bağlantı noktası yoksa, Uç Nokta Eşleyici Hizmeti RPC sunucularını dinamik uç noktalara kaydedemez. Yapılandırma hatası olduğunda hata kodu 87 (0x57) ERROR_INVALID_PARAMETER olur. Bu, Netlogon gibi Windows RPC sunucularını da etkileyebilir. Bu durumda 5820 olayını günlüğe kaydeder:
Log Name: System
Source: NETLOGON
Event ID: 5820
Level: Error
Keywords: Classic
Description:
The Netlogon service could not add the AuthZ RPC interface. The service was terminated. The following error occurred: The parameter is incorrect.
Daha fazla bilgi için bkz.:
- Windows için hizmete genel bakış ve ağ bağlantı noktası gereksinimleri
- Active Directory etki alanları ve güvenler için güvenlik duvarı yapılandırma
- Active Directory RPC trafiğini belirli bir bağlantı noktasıyla kısıtlama
- TCP/IP için varsayılan dinamik bağlantı noktası aralığı Windows Vista ve Windows Server 2008'den bu yana değişti
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin