none
Necesitamos conocer el procedimiento para cambiar los puertos default de DCOM RRS feed

  • Pregunta

  •  

    Tenemos un entorno de Windows 2003 Server con una aplicación WEB que utiliza DCOM para comunicarse entre el servidor de aplicacion (IIS) y la base de datos (SQL Server).  Siendo que el servidor de aplicaciones está en un DMZ y el servidor de base de datos están dentro de la zona segura de la red, el cliente nos pide que para la comunicacion entre estos dos servidores de Windows 2003 no utilicemos los puertos default de Microsoft para evitar vulnerabilidades en el entorno.

    El problema que tenemos es que no sabemos dónde y cómo cambiar el puerto default de RPC Endpoint Mapper utilizado por la aplicación.   El default entendemos que es el 135, pero debemos poner otro número de puerto.  Este cambio debe ser realizado en ambos servidores, siendo que la comunicación en ambos sentidos.  

    Además de saber cómo hacerlo, quisieramos también saber si hay alguna restricción respecto al número de puerto que se puede utilizar.

    Agradecemos una pronta respuesta.

     

     

     

    jueves, 2 de diciembre de 2010 15:27

Respuestas

  • Es el servidor (el que recibe el pedido) quien fija el puerto según lo que yo sé

    Revisa este enlace a ver si ayuda

    How to configure RPC dynamic port allocation to work with firewalls:
    http://support.microsoft.com/kb/154596

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Ismael Borche lunes, 6 de diciembre de 2010 13:44
    • Marcado como respuesta Ismael Borche jueves, 16 de diciembre de 2010 12:13
    jueves, 2 de diciembre de 2010 20:46
    Moderador

Todas las respuestas

  • Parte de la "seguridad" de RPC es usar un puerto impredecible. Aunque la conexión inicial se hace al 135, luego el servidor indica qué puerto se va a usar para el resto de la comunicación.

    Entiendo que eso se maneja en la aplicación, no en forma general, por lo que entiendo te conveniene preguntar en foros de desarrollo o de IIS

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 2 de diciembre de 2010 19:32
    Moderador
  • Hola Guillermo.   Gracias por la respuesta.  Quiero estar segura de haber entendido. 

    Lo que indicas es que la aplicación que haga el llamado al RPC es la que indica a qué puerto va a llamar?   Si en esa aplicación se indica que el puerto RPC será el 1012, entonces se tendría que hacer el cambio en el sistema operativo para que sea 1012?   

    De ser correcta mi explicación, ¿cómo le dice la aplicación al sistema operativo que es el 1012, si el puerto de RPC está definido como 135?

     

    jueves, 2 de diciembre de 2010 20:12
  • Es el servidor (el que recibe el pedido) quien fija el puerto según lo que yo sé

    Revisa este enlace a ver si ayuda

    How to configure RPC dynamic port allocation to work with firewalls:
    http://support.microsoft.com/kb/154596

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Ismael Borche lunes, 6 de diciembre de 2010 13:44
    • Marcado como respuesta Ismael Borche jueves, 16 de diciembre de 2010 12:13
    jueves, 2 de diciembre de 2010 20:46
    Moderador
  • Hola fdesalamanca

    Hay algún avance en la solución de este problema?

    Saludos


    Ismael Borche
    lunes, 6 de diciembre de 2010 13:44
  • Buenos días Ismael.

    Leimos el dcto que nos enviaron y estamos levantando un sitio de pruebas para ejecutar los pasos que en ese dcto se indican.

    Lo que estamos considerando hacer es cambiar el puerto predeterminado 135 usando la siguiente documentacion:

    "Si configurar Active Directory y inicio de sesión de red para que se ejecute en el puerto"x" como en la entrada siguiente, se convierte en los puertos registrados con el asignador de extremos también en el puerto dinámico estándar.

    Utilice el Editor del registro para modificar los valores siguientes en cada controlador de dominio donde los puertos restringidos se van a utilizarse. No se consideran servidores miembro para ser servidores de inicio de sesión. Por lo tanto, asignación de puerto estático para NTDS y de inicio de sesión de red no tiene ningún efecto en ellos.

    Clave del registro 1

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    Valor del registro: puerto TCP/IP
    Tipo de valor: REG_DWORD
    Información del valor: (puerto disponible)

    Clave del registro 2

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    Valor del registro: DCTcpipPort
    Tipo de valor: REG_DWORD
    Información del valor: (puerto disponible)"
    Esta documentación la hemos sacado del artículo: 224196
    Entendemos que este procedimiento cambia el puerto RPC default 135, que es lo que estamos buscando realizar.
    Cualquier observacion adicional, bienvenida. 

     

     

    lunes, 6 de diciembre de 2010 14:21
  • Esas claves del registro son específicamente para la replicación de AD, por eso usa NTDS y Netlogon. Entiendo que no es válido para otra aplicación.

    En el artículo que puse anteriormente (http://support.microsoft.com/kb/154596) es donde está el procedimiento general, y la herramienta para hacerlo.

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 6 de diciembre de 2010 14:39
    Moderador
  • Hola

    Cuéntenos los avances en este asunto. Lo que dice Guillermo es la mejor opción para lo que quieres.

    Saludos 


    Ismael Borche
    miércoles, 8 de diciembre de 2010 13:56
  • Hola Ismael.  

    Mañana estaremos haciendo las pruebas pues hoy es día nacional en nuestro país y no se labora.

    Ya hemos tomado en cuenta lo que indica Guillermo, así que te avisamos el resultado de las pruebas.

    Gracias y seguimos en contacto.

    Francis

     

     

    miércoles, 8 de diciembre de 2010 14:39
  • Hola Francis

    Gracias por tu respuesta. Nos quedamos aguardando el resultado de las pruebas.

    Saludos


    Ismael Borche - LATAM Forum Support Engineer
    Microsoft Corporation
    viernes, 10 de diciembre de 2010 14:22
  • Hola

    Ya fue posible hacer las pruebas?

     Saludos


    Ismael Borche - LATAM Forum Support Engineer
    Microsoft Corporation
    lunes, 13 de diciembre de 2010 21:11