Главная » Linux

Windows диапазон динамических портов

Содержание
  1. Динамический диапазон портов по умолчанию для TCP/IP изменился с момента windows Vista и Windows Server 2008
  2. Введение
  3. Дополнительная информация
  4. Ссылки
  5. Настройка динамического распределения порта RPC для работы с брандмауэрами
  6. Аннотация
  7. Дополнительные сведения
  8. Пример
  9. Настройка динамического назначения портов удаленного вызова процедур для взаимодействия с брандмауэром.

Динамический диапазон портов по умолчанию для TCP/IP изменился с момента windows Vista и Windows Server 2008

В этой статье описываются изменения диапазона динамических портов по умолчанию для TCP/IP в Windows Vista и Windows Server 2008.

Поддержка Windows Vista без установленных пакетов обновления завершилась 13 апреля 2010 г. Чтобы продолжить получать обновления для системы безопасности Windows, убедитесь, что вы работаете под управлением Windows Vista с Пакет обновления 2 (SP2). Дополнительные сведения можно найти на следующем веб-сайте Майкрософт: поддержка для некоторых версий Windows заканчивается

Исходная версия продукта: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 — все выпуски
Исходный номер КБ: 929851

Введение

В соответствии с рекомендациями IANA корпорация Майкрософт повысила динамический диапазон портов клиентов для исходяющих подключений в Windows Vista и Windows Server 2008. Новый порт запуска по умолчанию — 49152, а новый конечный порт по умолчанию — 65535. Это изменение конфигурации более ранних версий Windows, которые использовали диапазон портов по умолчанию от 1025 до 5000.

Дополнительная информация

Динамический диапазон портов можно просмотреть на компьютере под управлением Windows Vista или Windows Server 2008 с помощью следующих netsh команд:

  • netsh int ipv4 show dynamicport tcp
  • netsh int ipv4 show dynamicport udp
  • netsh int ipv6 show dynamicport tcp
  • netsh int ipv6 show dynamicport udp

Диапазон устанавливается отдельно для каждого транспорта (TCP или UDP). Диапазон портов теперь действительно является диапазоном, который имеет конечную точку и конечную точку. Клиенты Майкрософт, развертывавшие серверы под управлением Windows Server 2008, могут иметь проблемы, влияющие на связь RPC между серверами, если брандмауэры используются во внутренней сети. В таких ситуациях рекомендуется перенастроить брандмауэры, чтобы разрешить трафик между серверами в диапазоне динамических портов от 49152 до 65535. Этот диапазон является дополнением к известным портам, используемым службами и приложениями. Или диапазон портов, используемый серверами, можно изменить на каждом сервере. Этот диапазон настраивается с помощью команды netsh следующим netsh int set dynamic start= number num= range образом:
Эта команда задает диапазон динамических портов для TCP. Первый порт — число, а общее число портов — диапазон.

Ниже примеры команд.

  • netsh int ipv4 set dynamicport tcp start=10000 num=1000
  • netsh int ipv4 set dynamicport udp start=10000 num=1000
  • netsh int ipv6 set dynamicport tcp start=10000 num=1000
  • netsh int ipv6 set dynamicport udp start=10000 num=1000

Эти примеры команд устанавливают динамический диапазон портов, который начинается с порта 10000 и заканчивается на порту 10999 (1000 портов). Минимальный диапазон портов, который можно установить, — 255. Минимальный порт начала, который можно установить, — 1025. Максимальный конечный порт (в зависимости от настраиваемого диапазона) не может превышать 65535. Чтобы дублировать поведение Windows Server 2003 по умолчанию, используйте 1025 в качестве порта начала, а затем используйте 3976 в качестве диапазона для TCP и UDP. Это приводит к началу порта 1025 и конечному порту 5000.

При установке Microsoft Exchange Server 2007 на компьютере с Windows Server 2008 диапазон портов по умолчанию составляет от 1025 до 60 000.

Дополнительные сведения о безопасности в Microsoft Exchange 2007 можно найти на следующем веб-сайте Microsoft TechNet:
Руководство по безопасности Exchange 2007

Ссылки

Дополнительные сведения о стандартах назначения портов IANA можно найти на следующем веб-сайте IANA:
Реестр имен служб и номеров портов транспортного протокола

Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно правильности приведенных контактных данных сторонних производителей.

Читайте также:  Perfmon report windows 10

Настройка динамического распределения порта RPC для работы с брандмауэрами

В этой статье вы можете изменить параметры удаленного вызова процедуры (RPC) в реестре, чтобы убедиться, что динамическое распределение порта RPC может работать с брандмауэрами.

Оригинальная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 154596

Аннотация

Динамическое распределение порта RPC используется приложениями серверов и приложениями удаленного администрирования, такими как Менеджер динамического протокола конфигурации хост (DHCP), диспетчер службы имен Windows Internet (WINS) и т. д. Динамическое распределение порта RPC предписывает программе RPC использовать определенный случайный порт в диапазоне, настроенном для TCP и UDP, в зависимости от реализации используемой операционной системы. Дополнительные сведения см. ниже.

Клиенты, использующие брандмауэры, могут захотеть контролировать, какие порты использует RPC, чтобы их маршрутизатор брандмауэра мог быть настроен для переадтрансляцировать только эти порты протокола управления передачей (UDP и TCP).

Многие серверы RPC в Windows могут указывать порт сервера в настраиваемые элементы конфигурации, такие как записи реестра. Когда можно указать выделенный серверный порт, вы узнаете, какой трафик течет между хостами через брандмауэр. И вы можете определить, какой трафик разрешен более адресным образом.

В качестве порта сервера выберите порт за пределами диапазона, который можно указать ниже. Полный список портов Server, используемых в Windows и основных продуктов Microsoft, можно найти в обзоре службы и требованиях к сетевому порту для Windows.

В статье также перечислены серверы RPC и какие RPC-серверы можно настроить для использования настраиваемых портов серверов за пределами объектов, которые предлагает время запуска RPC.

Некоторые брандмауэры также позволяют фильтровать UUID, где он узнает из запроса конечных картографов RPC для UUID интерфейса RPC. В ответе имеется номер порта сервера, и последующая привязка RPC в этом порту разрешена для прохода.

Используйте метод, описанный в этой статье, только если сервер RPC не предлагает способ определения порта сервера.

Следующие записи реестра применяются к Windows NT 4.0 и выше. Они не применяются к предыдущим версиям Windows NT. Несмотря на то, что вы можете настроить порт, используемый клиентом для связи с сервером, клиент должен иметь возможность достичь сервера по его фактическому IP-адресу. Вы не можете использовать DCOM через брандмауэры, которые делают адресный перевод. Например, клиент подключается к виртуальному адресу 198.252.145.1, который брандмауэр прозрачно связывает с фактическим адресом сервера, скажем, 192.100.81.101. DCOM хранит необработанные IP-адреса в пакетах маршалинга интерфейса. Если клиент не может подключиться к указанному в пакете адресу, он не будет работать.

Дополнительные сведения

В реестре не отображаются значения (и ключ к Интернету), которые приведены ниже. Их необходимо добавлять вручную с помощью редактора реестра.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в дополнительных сведениях отом, как создать и восстановить реестр в Windows.

Редактор реестра может изменить следующие параметры для RPC. Ключевые значения порта RPC, о чем идет речь ниже, находятся в следующем ключе реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\Entry name Data Type

Указывает набор диапазонов IP-портов, состоящих из всех портов, доступных в Интернете, или всех портов, недоступных из Интернета. Каждая строка представляет один порт или набор портов включительно.

Например, один порт может быть представлен 5984, а набор портов может быть представлен 5000-5100. Если какие-либо записи находятся за пределами диапазона от 0 до 65535 или если строка не может быть интерпретируется, время запуска RPC рассматривает всю конфигурацию как недействительный.

PortsInternetAvailable REG_SZ Y или N (не чувствительны к делу)

Если Y, порты, указанные в ключе Порты, являются всеми доступными в Интернете портами на этом компьютере. Если N, порты, перечисленные в ключе Порты, это все те порты, которые недоступны в Интернете.

Читайте также:  Подключение wifi linux через терминал

UseInternetPorts REG_SZ Y или N (не чувствительны к делу)

Указывает политику по умолчанию системы.

Если Y, процессы, использующие по умолчанию, будут назначены портам из набора доступных в Интернете портов, как было определено ранее. Если N, процессы, использующие по умолчанию, будут назначены портам из набора портов только для интрасети.

Пример

В этом примере произвольно выбраны порты от 5000 до 6000 включительно, чтобы показать, как можно настроить новый ключ реестра. Это не рекомендация минимального количества портов, необходимых для любой конкретной системы.

Добавление ключа Интернета под HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc

В ключе Internet добавьте значения Ports (MULTI_SZ), PortsInternetAvailable (REG_SZ) и UseInternetPorts (REG_SZ).

Например, новый ключ реестра отображается следующим образом:

Порты: REG_MULTI_SZ: 5000-6000
PortsInternetAvailable: REG_SZ: Y
UseInternetPorts: REG_SZ: Y

Перезапустите сервер. Все приложения, которые используют динамическое распределение порта RPC, используют порты от 5000 до 6000 включительно.

Необходимо открыть диапазон портов над портом 5000. Номера портов ниже 5000 уже могут быть используются другими приложениями и могут вызывать конфликты с вашим приложением DCOM(s). Кроме того, предыдущий опыт показывает, что необходимо открыть не менее 100 портов, так как несколько системных служб используют эти порты RPC для взаимодействия друг с другом.

Минимальное количество необходимых портов может отличаться от компьютера к компьютеру. Компьютеры с повышенным трафиком могут оказаться в ситуации истощения порта, если динамические порты RPC ограничены. Учитывайте это при ограничении диапазона портов.

Если в конфигурации порта произошла ошибка или в пуле недостаточно портов, служба картографов конечных точек не сможет зарегистрировать серверы RPC с динамическими конечными точками. При ошибке конфигурации код ошибки будет 87 (0x57) ERROR_INVALID_PARAMETER. Это может повлиять и на серверы RPC Windows, например Netlogon. В этом случае будет входить событие 5820:

Дополнительные сведения см. в указанных ниже статьях.

Настройка динамического назначения портов удаленного вызова процедур для взаимодействия с брандмауэром.

Внимание! Статья содержит сведения о внесении изменений в системный реестр. Перед внесением изменений рекомендуется создать архивную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения об архивации, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows

Аннотация
Динамическое назначение портов удаленного вызова процедур (RPC) используется приложениями удаленного администрирования, например диспетчером протокола динамической конфигурации хоста (DHCP), диспетчером службы Интернет-имен для Windows (WINS) и т. п. Динамическое назначение портов RPC позволяет приложению RPC использовать определенный случайный порт с номером выше 1024.

При использовании брандмауэров может возникнуть необходимость в точном указании портов, используемых RPC, чтобы маршрутизатор брандмауэра можно было настроить на перенаправление только этих TCP-портов.

Следующие параметры реестра относятся к Windows NT 4.0 и более поздним версиям системы и не применимы к предыдущим версиям Windows NT. Несмотря на то что можно настроить порт, используемый клиентом, на подключение к серверу, клиент должен иметь возможность связаться с сервером с помощью действительного IP-адреса. Использование DCOM с брандмауэрами, осуществляющими преобразование сетевых адресов (например, клиент подключается к виртуальному адресу 198.252.145.1, который брандмауэр сопоставляет с реальным адресом сервера, допустим, 192.100.81.101), не допускается, потому что DCOM сохраняет IP-адреса в конвертах упакованных параметров интерфейса. Если клиенту не удается подключиться к адресу, указанному в конверте, адрес не работает.

Дополнительные сведения содержатся в документе Майкрософт Using Distributed COM with Firewalls (на английском языке). Для этого посетите веб-узел корпорации Майкрософт по адресу:
http://msdn.microsoft.com/. /msdn_dcomfirewall.asp

Дополнительная информация
Параметры (и разделы Интернета), рассматриваемые ниже, не заносятся в реестр; их следует добавить вручную с помощью редактора реестра. Также следует иметь в виду, что для добавления параметра REG_MULTI_SZ необходимо использовать Regedt32.exe, а не Regedit.exe.

Читайте также:  Факториал windows form c

Предупреждение. Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может привести к серьезным неполадкам, требующим переустановки операционной системы. Корпорация Майкрософт не гарантирует устранения этих неполадок. Ответственность за изменение реестра лежит на пользователе.

С помощью редактора реестра можно изменить следующие параметры для RPC. Перечисленные ниже параметры для RPC-портов находятся в следующем разделе реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\ Key Data Type

Определяет диапазон IP-портов, состоящий либо из всех портов, доступных в Интернете, либо из всех портов, не доступных в Интернете. Каждая строка представляет собой отдельный порт либо диапазон портов. Например, отдельный порт может быть представлен строкой 5984, а диапазон портов – строкой 5000-5100. Если номер порта лежит за пределами диапазона 0 — 65535, либо в случае невозможности интерпретации строки исполняемый модуль RPC расценивает всю конфигурацию как недопустимую.

PortsInternetAvailable REG_SZ Y или N (без учета регистра)

При значении Y порты, перечисленные в разделе Ports, являются портами, доступными для данного компьютера в Интернете. При значении N порты, перечисленные в разделе Ports, являются портами, не доступными для данного компьютера в Интернете.

UseInternetPorts REG_SZ ) Y или N (без учета регистра)

Определяет системную политику по умолчанию.

При значении Y для процессов, использующих политику по умолчанию, назначаются порты из диапазона портов, доступных в Интернете, в соответствии с вышесказанным.

При значении N для процессов, использующих политику по умолчанию, назначаются порты из диапазона портов локальной сети.

1. Добавьте раздел Интернета в следующий раздел: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
2. В разделе Интернета добавьте параметры «Ports» (MULTI_SZ), «PortsInternetAvailable» (REG_SZ) и «UseInternetPorts» (REG_SZ).

В данном примере используются порты с 5000 по 5100 включительно, и новые параметры реестра будут выглядеть следующим образом:

Ports: REG_MULTI_SZ: 5000-5100
PortsInternetAvailable: REG_SZ: Y
UseInternetPorts: REG_SZ: Y

3. Перезагрузите сервер. Все приложения, использующие динамическое назначение портов RPC, будут использовать порты с 5000 по 5100 включительно. В большинстве окружений должно быть открыто как минимум 100 портов, поскольку несколько системных служб используют эти RPC-порты для связи друг с другом.

Следует указывать диапазон портов с номерами, превышающими 5000. Порты с номерами менее 5000 могут уже использоваться другими приложениями, что может привести к конфликту с приложениями DCOM. Более того, опыт показывает, что должно быть открыто как минимум 100 портов, поскольку несколько системных служб используют эти RPC-порты для связи друг с другом.

Примечание. Минимальное число портов может быть различным в зависимости от конфигурации компьютера.

Дополнительные сведения содержатся в следующих статьях базы знаний Майкрософт:

167128 Сетевые порты, которые используются службой удаленной справки (эта ссылка может указывать на содержимое полностью или частично на английском языке)

179442 Настройка брандмауэра для установления доверительных отношений между доменами

263293 Windows 2000 NAT не преобразует трафик Netlogon (эта ссылка может указывать на содержимое полностью или частично на английском языке)

172227 Устройства преобразования сетевых адресов (NAT) блокируют трафик Netlogon (эта ссылка может указывать на содержимое полностью или частично на английском языке)

319553 Назначение статического порта для трафика репликации FRS (Эта ссылка может указывать на содержимое полностью или частично на английском языке.)

В Windows Server 2003 для выполнения действий, описанных в данной статье, можно использовать средство настройки RPC (RPCCfg.exe) из состава Windows Server 2003 Resource Kit. Чтобы загрузить средство настройки RPC (RPCCfg.exe), посетите веб-узел Майкрософт по адресу:
http://www.microsoft.com/. /rpccfg-o.asp

Информация в данной статье применима к:
• Microsoft Windows Server 2003 64-bit Enterprise Edition
• Microsoft Windows Server 2003, Datacenter Edition for 64-Bit Itanium-Based Systems
• Microsoft Windows Server 2003 Standard Edition
• Microsoft Windows Server 2003 Enterprise Edition
• Microsoft Windows Server 2003 Datacenter Edition
• Операционная система Microsoft Windows 2000 Professional
• операционная система Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Datacenter Server
• Microsoft Windows NT Server 4.0 Standard Edition

Ключевые слова:
kbhowto kbnetwork kbdcom KB15459

Оцените статью
© 2024 Советы по настройке компьютера