DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 224196 - Última revisão: domingo, 15 de Março de 2015 - Revisão: 13.0

 

Nesta página

Sumário

Por predefinição, chamadas de procedimento remoto de replicação do Active Directory (RPC) ocorrem dinamicamente através de uma porta disponível através do mapeador de ponto final RPC (RPCSS) utilizando a porta 135. Um administrador pode substituir esta funcionalidade e especificar a porta que atravessa a todo o tráfego RPC do Active Directory. Este procedimento bloqueia a porta para baixo.

Quando especificar portas para utilizar, utilizando as entradas de registo que são mencionadas na secção "Mais informação", o tráfego de replicação do lado do servidor do Active Directory e o tráfego RPC do cliente são enviadas para estas portas pelo mapeador de ponto final. Esta configuração é possível porque todas as interfaces RPC que são suportadas pelo Active Directory estão a executar em todas as portas em que está à escuta.

NotaEste artigo descreve como configurar a replicação de AD para um firewall. Portas adicionais têm de ser abertas para efectuar a replicação funcionar através de um firewall. Por exemplo, as portas poderão ter de ser aberto para o protocolo Kerberos. Para obter uma lista completa das portas necessárias para os serviços através de uma firewall, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
832017  (http://support.microsoft.com/kb/832017/ ) Descrição geral do serviço e requisitos de porta para o sistema do Windows Server de rede

Mais Informação


Importante Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para uma maior protecção, efectue o backup do Registro antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
322756  (http://support.microsoft.com/kb/322756/ ) Como efectuar cópias de segurança e restaurar o registo no Windows
Quando liga a um ponto final RPC, o tempo de execução RPC no cliente contacta o mapeador de pontos finais (RPCSS) no servidor num porto bem conhecidos (135) e obtém a porta para ligar a para o serviço de suporte a interface RPC pretendida. Este comando assume que o cliente não sabe o enlace completo. Isto acontece com todos os serviços de RPC de AD.

O serviço regista pontos finais de um ou mais quando é iniciado e pode escolher uma porta atribuída de forma dinâmica ou de uma porta específica.

Se configurar o Active Directory e Netlogon para executar o porto"x" como a seguinte entrada, torna-se as portas que são registadas com o mapeador de pontos para além da porta dinâmica padrão.

Utilize o Editor de registo para modificar os seguintes valores em cada controlador de domínio onde as portas restritas estão a ser utilizado. Servidores membro não são considerados como servidores de início de sessão, por conseguinte, atribuição de portas estáticas para NTDS não tem qualquer efeito sobre os mesmos.

Servidores membros possuem a Interface de RPC de Netlogon, mas raramente é utilizado. Alguns exemplos talvez seria a obtenção de configuração remota, tais como "nltest /server:member.contoso.com /sc_query:contoso.com".

Chave de registo 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Valor de registo: porta TCP/IP
Tipo de valor: REG_DWORD
Dados do valor: (porta disponível)

É necessário reiniciar o computador para a nova definição para entrarem em vigor.

Chave de registo 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Valor de registo: DCTcpipPort
Tipo de valor: REG_DWORD
Dados do valor: (porta disponível)

É necessário reiniciar o serviço Netlogon para a nova definição para entrarem em vigor.

NotaQuando utilizar a entrada de registo DCTcpipPort e defina-o para a mesma porta como a entrada de registo de "Porta do TCP/IP", recebe o evento de erro Netlogon 5809 em NTDS\Parameters. Isto indica que a porta configurada está a ser utilizado e deve escolher uma porta diferente.

Recebe o mesmo evento, quando tiver uma porta exclusiva e reiniciar o serviço Netlogon no controlador de domínio. Este comportamento ocorre por predefinição e ocorre devido à forma como o tempo de execução RPC gere suas portas de servidor. A porta será utilizada após o reinício, e o evento pode ser ignorado.

Os administradores devem confirmar que a comunicação sobre a porta especificada está activada se todos os dispositivos de rede intermédio ou software utilizada para filtrar pacotes entre os controladores de domínio.

Frequentemente, tem também de definir manualmente a porta de RPC do serviço de replicação de ficheiros (FRS) porque AD e replicação de FRS replicar com os mesmo controladores de domínio. A porta de RPC do serviço de replicação de ficheiros (FRS) deve utilizar uma porta diferente. Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
319553  (http://support.microsoft.com/kb/319553/ ) Como restringir o tráfego de replicação de FRS para uma porta estática específica
Não assumem que os clientes utilizam apenas os serviços de RPC de Netlogon e assim apenas a definição DCTcpipPort é necessária. Os clientes também estão a utilizar outros serviços RPC como SamRPC, LSARPC e também a interface de serviços de replicação de directório (DRS). Por conseguinte, deverá sempre configurar ambas as definições de registo e abrir ambas as portas no firewall.

Problemas conhecidos

Depois de especificar as portas, poderá encontrar os seguintes problemas:
2827870  (http://support.microsoft.com/kb/2827870/ ) Hora de início de sessão longo depois de definir uma porta estática específica para NTDS e Netlogon num ambiente de domínio baseado no Windows Server 2008 R2
2912805  (http://support.microsoft.com/kb/2912805/ ) Replicação de AD falha com um problema RPC depois de definir uma porta estática para NTDS num ambiente de domínio baseado no Windows
2987849  (http://support.microsoft.com/kb/2987849/ ) Falha de início de sessão depois do cliente de RPC que restrinja ao tráfego de DC no Windows Server 2012 R2 ou Windows Server 2008 R2
Para resolver os problemas, instale as actualizações mencionadas nos artigos.

Para mais informações sobre o mapeador de ponto final, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
154596  (http://support.microsoft.com/kb/154596/ ) Como configurar a atribuição dinâmica de portas RPC para trabalhar com firewalls

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard
  • Windows Server 2012 Standard
  • Windows Server 2012 R2 Standard
Palavras-chave: 
kbenv kbinfo kbmt KB224196 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 224196  (http://support.microsoft.com/kb/224196/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft