Active Directory 复制流量限制在特定端口的方法

默认情况下，通过 RPC（远程过程调用）的 Active Directory 复制与 Microsoft Exchange 相同，都是经由使用端口 135 的 RPC 终结点映射器 （RPCSS），通过可用端口动态进行的。与 Microsoft Exchange 一样，管理员可以覆盖此功能，并指定所有复制流量通过的端口，从而锁定此端口。
在使用下文提及的注册表项指定用于复制的端口时，客户端还可以连接到所需的 RPC 接口，以进行身份验证和获取域信息。之所以能够这么做，是因为受 Active Directory 支持的所有 RPC 接口都在其监听的所有端口上运行。
注意：本文并不暗示可以通过防火墙进行复制。例如，必须开放多个端口，Kerberos 等才能工作。如果您需要这样做，请使用虚拟专用网络。
警告：如果使用注册表编辑器或其他方法错误地修改了注册表，则可能导致严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。
连接到某个 RPC 终结点时，假定客户端不知道完整绑定（DS 复制就属于这种情况），客户端上的 RPC 运行时会在已知的端口 （135） 上联系服务器上的 RPC 终结点映射器 （RPCSS），并获得该端口以连接到支持所需 RPC 接口的服务。
服务启动时会注册终结点，并且可以选择是使用动态分配的端口还是使用特定端口。
如果您根据下面的条目将 Active Directory 配置为在“端口 x”上运行，此端口将成为注册终结点映射器的端口。
使用注册表编辑器，修改将使用受限端口的每个域控制器上的以下值：
注册表项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
注册表值：TCP/IP Port
数值类型：REG_DWORD
数值数据：（可用端口）
管理员应确认，是否使用任何中间网络设备或软件来筛选域控制器之间的数据包，以及是否允许通过指定端口进行通信。
通常，还必须手动设置文件复制服务 （FRS） RPC 端口，因为 AD 和 FRS 复制使用相同的域控制器进行复制。
如果将 Active Directory 复制设置为允许 RPC 使用的端口范围之外的固定端口，以便通过防火墙控制访问和登录，则必须在防火墙上打开复制端口和动态 RPC 端口，以允许访问和登录。这是因为登录过程使用复制端口进行用户映射。
您可能希望将 Active Directory 复制设置为允许 RPC 使用的端口范围之外的固定端口，以便通过防火墙控制访问和登录。不过，如果这样做，就必须在防火墙上打开复制端口和动态 RPC 端口。这是因为登录过程使用复制端口进行用户映射。
这篇文章中的信息适用于：
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Standard x64 Edition

本人地址网店 http://zjl284669661.taobao.com/ 可以看下学点东西