Restreindre le trafic RPC Active Directory sur un port spécifique

Répondre
hmi
Site Admin
Messages : 105
Enregistré le : sam. févr. 04, 2017 10:33 am

Restreindre le trafic RPC Active Directory sur un port spécifique

Message par hmi » lun. avr. 29, 2019 10:03 am

Résumé
Par défaut, les appels de procédure distante de réplication Active Directory (RPC) se déroulent de manière dynamique sur un port disponible via le mappeur de points de terminaison RPC (RPCSS) à l'aide du port 135. Un administrateur peut remplacer cette fonctionnalité et spécifier le port par lequel transite tout le trafic RPC Active Directory. Cette procédure verrouille le port.

Lorsque vous spécifiez les ports à utiliser à l'aide des entrées de registre mentionnées dans la section "Plus d'informations", le trafic de réplication côté serveur Active Directory et le trafic RPC client sont envoyés à ces ports par le mappeur de point final. Cette configuration est possible car toutes les interfaces RPC prises en charge par Active Directory s'exécutent sur tous les ports sur lesquels il écoute.

RemarqueCet article ne décrit pas comment configurer la réplication AD pour un pare-feu. Des ports supplémentaires doivent être ouverts pour que la réplication fonctionne à travers un pare-feu. Par exemple, il peut être nécessaire d'ouvrir des ports pour le protocole Kerberos. Pour obtenir une liste complète des ports requis pour les services via un pare-feu, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
Présentation du service 832017 et conditions requises pour le port réseau du système Windows Server

Plus d'information

Important Cette section, méthode ou tâche contient des étapes vous expliquant comment modifier le registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le registre de manière incorrecte. Par conséquent, assurez-vous de suivre attentivement ces étapes. Pour une protection accrue, sauvegardez le registre avant de le modifier. Ensuite, vous pouvez restaurer le registre en cas de problème. Pour plus d'informations sur la sauvegarde et la restauration du registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
322756 Comment sauvegarder et restaurer le registre sous Windows
Lorsque vous vous connectez à un point de terminaison RPC, le runtime RPC sur le client contacte le mappeur de points de terminaison RPC (RPCSS) sur le serveur sur un port connu (135) et obtient le port auquel se connecter pour le service prenant en charge l'interface RPC souhaitée. Cela suppose que le client ne connaisse pas la liaison complète. C'est le cas de tous les services AD RPC.

Le service enregistre un ou plusieurs points de terminaison au démarrage et peut choisir un port attribué dynamiquement ou un port spécifique.

Si vous configurez Active Directory et Netlogon pour s'exécuter sur le "port x" comme dans l'entrée suivante, cela devient les ports qui sont enregistrés avec le mappeur de point final en plus du port dynamique standard.

Utilisez l'Éditeur du Registre pour modifier les valeurs suivantes sur chaque contrôleur de domaine sur lequel les ports restreints doivent être utilisés. Les serveurs membres ne sont pas considérés comme des serveurs d'ouverture de session. Par conséquent, l'attribution de port statique pour NTDS n'a aucun effet sur eux.

Les serveurs membres ont l'interface Netlogon RPC, mais elle est rarement utilisée. Certains exemples pourraient être une récupération de configuration à distance, telle que "nltest /server:member.contoso.com /sc_query:contoso.com".
Clé de registre 1
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NTDS \ Parameters
Valeur du Registre: Port TCP / IP
Type de valeur: REG_DWORD
Données de la valeur: (port disponible)

Vous devez redémarrer l'ordinateur pour que le nouveau paramètre devienne effectif.
Clé de registre 2
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters
Valeur de Registre: DCTcpipPort
Type de valeur: REG_DWORD
Données de valeur: (port disponible)

Vous devez redémarrer le service Netlogon pour que le nouveau paramètre entre en vigueur.

Remarque lorsque vous utilisez l'entrée de Registre DCTcpipPort et que vous le définissez sur le même port que l'entrée de Registre "Port TCP / IP", vous recevez l'événement d'erreur Netlogon 5809 sous NTDS \ Parameters. Cela indique que le port configuré est en cours d'utilisation et vous devez choisir un autre port.

Vous recevrez le même événement lorsque vous disposez d'un port unique et que vous redémarrez le service Netlogon sur le contrôleur de domaine. Cela est inhérent à la conception et résulte de la façon dont le runtime RPC gère ses ports de serveur. Le port sera utilisé après le redémarrage et l'événement peut être ignoré.

Les administrateurs doivent confirmer que la communication sur le port spécifié est activée si des périphériques réseau ou des logiciels intermédiaires sont utilisés pour filtrer les paquets entre les contrôleurs de domaine.

Répondre