DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 154596 - Geändert am: Dienstag, 30. September 2014 - Version: 16.0

Zusammenfassung

Die dynamische Portzuweisung für Remoteprozeduraufrufe (RCP) wird von Serveranwendungen und Remoteverwaltungsanwendungen, wie DHCP-Manager (Dynamic Host Configuration Protocol), WINS-Manager (Windows Internet Name Service) usw., verwendet. Die dynamische RPC-Portzuweisung weist das RPC-Programm an, einen bestimmten zufälligen Port in dem für TCP und UDP konfigurierten Bereich, der von der Implementierung des verwendeten Betriebssystems abhängig ist, zu verwenden (siehe Verweise unten).

Kunden, die Firewalls einsetzen, sollten steuern, welche Ports RPC verwendet werden, damit der Firewall-Router so konfiguriert werden kann, dass er nur diese Transmission Control-Protokollports (UDP und TCP) weiterleitet.

Bei vielen RPC-Servern unter Windows können Sie den Serverport in benutzerdefinierten Konfigurationselementen angeben, z. B. in Registrierungseinträgen. Wenn Sie einen dedizierten Serverport angeben können, wissen Sie, welche Art von Datenverkehr zwischen den Hosts über die Firewall übertragen wird, und Sie können dann gezielter definieren, welcher Datenverkehr zulässig ist.

Wählen Sie als Serverport einen Port außerhalb des Bereichs, den Sie unten angeben sollten. Eine umfassende Liste der Serverports, die in Windows und wichtigen Microsoft-Produkten verwendet werden, finden Sie im Microsoft Knowledge Base-Artikel 832017.

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base: 832017 (https://vkbexternal.partners.extranet.microsoft.com/VKBWebService/ViewContent.aspx?PortalId=1&scid=kb;en-US;832017) Dienstübersicht und Netzwerkportanforderungen für das Windows Server-System.

Der Artikel enthält auch eine Liste der RPC-Server und gibt an, welche RPC-Server mit anderen als in der RPC-Laufzeit verfügbaren Funktionen für die Verwendung benutzerdefinierter Serverports konfiguriert werden können.

Einige Firewalls lassen auch eine UUID-Filterung zu, wobei der Port der Anforderung einer RPC-Endpunktzuordnung nach dem RPC-Schnittstellen-UUID entnommen wird. Die Antwort enthält die Portnummer des Servers, und eine nachfolgende RPC-Bindung an diesem Port darf die Firewall dann passieren.

WICHTIG: Verwenden Sie die in diesem Artikel beschriebene Methode nur dann, wenn der RPC-Server keine andere Möglichkeit zur Definition des Serverports bietet.

Die folgenden Registrierungseinträge gelten für Windows NT 4.0 und höhere Versionen. Sie gelten nicht für Vorgängerversionen von Windows NT. Sie können zwar den vom Client verwendeten Port für die Kommunikation mit dem Server konfigurieren, jedoch muss der Client in der Lage sein, den Server über seine tatsächliche IP-Adresse zu erreichen. Sie können DCOM (Distributed Component Object Model) nicht bei Firewalls verwenden, die Adressen übersetzen (Beispiel: Ein Client stellt eine Verbindung zur virtuellen Adresse 198.252.145.1 her, die von der Firewall transparent der tatsächlichen Adresse des Servers zugeordnet wird, z. B. 192.100.81.101). Das liegt daran, dass DCOM die Ursprungs-IP-Adresse in den Marshallingpaketen der Schnittstelle speichert. Wenn der Client keine Verbindung zu der Adresse herstellen kann, die im Paket angegeben ist, kann dies nicht durchgeführt werden.

Weitere Informationen finden Sie im folgenden Microsoft-Whitepaper: Using Distributed COM with Firewalls (Verwenden von DCOM mit Firewalls). Besuchen Sie hierzu die folgende Microsoft-Website:
http://msdn2.microsoft.com/de-de/library/ms809327.aspx (http://msdn.microsoft.com/de-de/library/ms809327.aspx)

Weitere Informationen

Die im Folgenden beschriebenen Werte (und der Internetschlüssel) erscheinen nicht in der Registrierung; sie müssen mit dem Registrierungs-Editor manuell hinzugefügt werden.


Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756  (http://support.microsoft.com/kb/322756/de/ ) Sichern und Wiederherstellen der Registrierung in Windows


Mit dem Registrierungs-Editor können Sie die folgenden Parameter für RPC ändern. Die unten besprochenen RPC-Portschlüsselwerte befinden sich alle im folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\ Entry name Data Type

Ports REG_MULTI_SZ
Gibt eine Gruppe von IP-Portbereichen an, die entweder aus allen vom Internet aus verfügbaren Ports oder aus allen nicht vom Internet aus verfügbaren Ports bestehen. Jede Zeichenfolge stellt einen einzelnen Port oder eine Gruppe von Ports dar.

Beispielsweise kann ein einzelner Port durch "5984" oder eine Gruppe von Ports durch "5000-5100" angegeben werden. Wenn Einträge außerhalb des Bereichs von 0 bis 65535 liegen oder eine Zeichenfolge nicht interpretiert werden kann, behandelt die RPC-Laufzeitanwendung die gesamte Konfiguration als ungültig.
PortsInternetAvailable REG_SZ J oder N (Groß-/Kleinschreibung wird ignoriert)
Bei J handelt es sich bei den im Ports-Schlüssel aufgeführten Ports um alle im Internet verfügbaren Ports auf diesem Computer. Bei N handelt es sich bei den im "Ports"-Schlüssel aufgeführten Ports um alle im Internet nicht verfügbaren Ports.
UseInternetPorts REG_SZ ) J oder N (Groß-/Kleinschreibung wird ignoriert)
Spezifiziert die Standardrichtlinie des Systems.
Bei J werden den Prozessen, die den Standard verwenden, Ports aus der Menge der zuvor definierten im Internet verfügbaren Ports zugeordnet.
Bei N werden den Prozessen, die den Standard verwenden, Ports aus der Menge der nur im Intranet verfügbaren Ports zugeordnet.
Beispiel:

In diesem Beispiel wurden die Ports 5000 bis einschließlich 6000 willkürlich ausgewählt, um darzustellen, wie der neue Registrierungsschlüssel konfiguriert werden kann. Dies ist keine Empfehlung für eine minimale Anzahl von Ports, die für ein bestimmtes System erforderlich ist.
  1. Fügen Sie den Internetschlüssel unter folgendem Pfad hinzu: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
  2. Fügen Sie unter dem Internetschlüssel die Werte "Ports" (MULTI_SZ), "PortsInternetAvailable" (REG_SZ) und "UseInternetPorts" (REG_SZ) hinzu.

    Der neue Registrierungsschlüssel sieht dann z. B. so aus:
    Ports: REG_MULTI_SZ: 5000-6000
    PortsInternetAvailable: REG_SZ: Y
    UseInternetPorts: REG_SZ: Y
  3. Starten Sie den Server neu. Alle Anwendungen, die die dynamische RPC-Portzuweisung nutzen, verwenden die Ports 5000 bis einschließlich 6000.
Sie sollten einen Bereich von Ports oberhalb von Port 5000 öffnen. Portnummern unter 5000 werden eventuell bereits von anderen Anwendungen genutzt und könnten Konflikte mit Ihrer DCOM-Anwendung oder Ihren DCOM-Anwendungen verursachen. Abgesehen davon zeigt die Erfahrung, dass mindestens 100 Ports geöffnet sein sollten, da mehrere Systemdienste darauf angewiesen sind, dass diese RPC-Ports miteinander kommunizieren.

Hinweis Die minimale Anzahl von Ports kann von Computer zu Computer unterschiedlich sein. Bei Computer mit höherem Datenverkehrsaufkommen kann eine Portauslastung auftreten, wenn die dynamischen RPC-Ports beschränkt werden. Berücksichtigen Sie dies, wenn Sie den Portbereich beschränken.

WARNUNG: Wenn die Portkonfiguration fehlerhaft ist oder der Pool keine ausreichende Anzahl von Ports enthält, dann kann der Endpunktzuordnungsdienst keine RPC-Server mit dynamischen Endpunkten registrieren. Wenn ein Konfigurationsfehler vorliegt, lautet der Fehlercode 87 (0x57) ERROR_INVALID_PARAMETER. Dies kann sich auch auf Windows-RPC-Server auswirken, wie Netlogon. In diesem Fall wird das Ereignis 5820 protokolliert:

Protokollname: System
Quelle: NETLOGON
Ereignis-ID: 5820
Stufe: Fehler
Stichwörter: Klassisch

Beschreibung:
Die AuthZ-RPC-Schnittstelle konnte vom Anmeldedienst nicht hinzugefügt werden. Der Dienst wurde beendet. Folgender Fehler ist aufgetreten: 'Der Parameter ist falsch.'

Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
167128  (http://support.microsoft.com/kb/167128/de/ ) Netzwerkports, die von Remote-Helpdesk-Funktionen verwendet werden
179442  (http://support.microsoft.com/kb/179442/de/ ) Konfigurieren einer Firewall für Domänen und Vertrauensstellungen
263293  (http://support.microsoft.com/kb/263293/de/ ) Windows 2000-NAT übersetzt keinen Netlogon-Datenverkehr
319553  (http://support.microsoft.com/kb/319553/de/ ) Zum Beschränken von FRS-Replikationsverkehr auf einem bestimmten statischen Port
224196  (http://support.microsoft.com/kb/224196/de/ ) Einschränken von Active Directory-Replikationsverkehr und Client-RPC-Verkehr an einem bestimmten Anschluss
929851  (http://support.microsoft.com/kb/929851/de/ ) Der Standardbereich der dynamischen Ports für TCP/IP hat sich in Windows Vista und Windows Server 2008 geändert

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003 Service Pack 2
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 Service Pack 2
  • Windows Server 2012 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
  • Windows Server 2012 Datacenter
Keywords: 
kbproductlink kbdcom kbhowto kbnetwork KB154596
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store