已啟用 RestrictRemoteClients 登錄機碼

[本主題的目的是要說明 Exchange Server Analyzer 工具所引出的特定問題。您只應將它套用到已執行過 Exchange Server Analyzer 工具且有遇到該特定問題的系統。Exchange Server Analyzer 工具可免費下載,它會從拓撲中的每台伺服器遠端收集組態資料,並自動分析該資料。產生的報告會詳述重要的組態問題、潛在問題及非預設的產品設定。遵循這些建議,您便能達到較佳的效能、延展性、可靠性及執行時間。如需此工具的相關資訊或是要下載最新版本,請參閱 Microsoft Exchange Analyzer (https://go.microsoft.com/fwlink/?linkid=34707)。]  

上次修改主題的時間: 2011-10-19

Microsoft® Exchange Server Analyzer 工具會讀取下列登錄項目,以判定是否已啟用遠端程序呼叫 (RPC) 介面限制:

HKEY_LOCAL_MACHINE\ Software\Policies\Microsoft\Windows NT\RPC

如果 Exchange Server Analyzer 發現已設定 RestrictRemoteClients 登錄機碼,就會顯示非預設的組態訊息。

RPC 介面限制提供更多的網路保護功能,可降低系統受到網路攻擊的機會。RestrictRemoteClients 登錄值會修改系統中所有 RPC 介面的行為。在預設的情況下,RestrictRemoteClients 登錄值會禁止對系統上的 RPC 介面進行遠端匿名存取 (但有某些例外)。

如果介面是使用 RpcServerRegisterIf 註冊的,則 RPC 會允許伺服器應用程式限制對介面的存取 (通常透過安全性回呼進行)。RestrictRemoteClients 登錄值可讓 RPC 對所有介面執行其他安全性檢查,即使介面不具有已註冊的安全性回呼。

note附註:
使用具名管道通訊協定順序的 RPC 用戶端免受所有限制。由於會有嚴重的舊版相容性問題,所有無法對管道通訊協定順序進行限制。
note附註:
您也可使用群組原則物件編輯器來設定 the RestrictRemoteClients 登錄機碼。

使用 DWORD 值,可以設定 RestrictRemoteClients 登錄機碼。如果登錄值不存在,則不存在的值等於 RPC_Restrict_Remote_Client_Default

下表提供有關 RestrictRemoteClients 組態設定的資訊。

登錄機碼值 (DWORD) 描述

0 (預設值)

RPC_RESTRICT_REMOTE_CLIENT_NONE (0) 代表 Microsoft Windows Server™ 2003 Service Pack 1 中的預設值。該預設值設定會讓系統略過 RPC 介面限制。

預設值設定對應於 RPC_RESTRICT_REMOTE_CLIENT_NONE 的值。伺服器應用程式負責實施適當的 RPC 限制。此預設設定等於更早版本 Windows 中的 RestrictRemoteClients 設定。

1

RestrictRemoteClients 登錄機碼上的值 1 代表 Microsoft Windows® XP Service Pack 2 中的預設值。值設定 1 會限制對所有 RPC 介面的存取。所有遠端匿名呼叫都會被 RPC 執行階段拒絕。

這個值設定對應於 RPC_RESTRICT_REMOTE_CLIENT_DEFAUL 的值。如果介面註冊安全性回呼,並提供 RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH 旗標,則這個限制不會套用至該介面。

2

RestrictRemoteClients 登錄機碼上的值 2 表示所有遠端匿名呼叫都會被 RPC 執行階段拒絕 (無一例外)。

這個值設定對應於 RPC_RESTRICT_REMOTE_CLIENT_HIGH 的值。當 RestrictRemoteClients 值設為 2 時,系統無法使用 RPC 來接收遠端匿名呼叫。

若需有關 Windows XP Service Pack 2 的 RPC 服務有何變更的詳細資訊,請參閱 MSDN® 文件<RPC 介面限制>(英文) (https://go.microsoft.com/fwlink/?LinkId=47371)。