啟用 EnableAuthEpResolution 登錄機碼

[本主題的目的是要說明 Exchange Server Analyzer 工具所引出的特定問題。您只應將它套用到已執行過 Exchange Server Analyzer 工具且有遇到該特定問題的系統。Exchange Server Analyzer 工具可免費下載,它會從拓撲中的每台伺服器遠端收集組態資料,並自動分析該資料。產生的報告會詳述重要的組態問題、潛在問題及非預設的產品設定。遵循這些建議,您便能達到較佳的效能、延展性、可靠性及執行時間。如需此工具的相關資訊或是要下載最新版本,請參閱 Microsoft Exchange Analyzer (http://go.microsoft.com/fwlink/?linkid=34707)。]  

上次修改主題的時間: 2011-11-15

Microsoft® Exchange Server Analyzer 工具會讀取下列登錄項目,以判定是否已啟用遠端程序呼叫 (RPC) 介面限制登錄機碼:

HKEY_LOCAL_MACHINE\ Software\Policies\Microsoft\Windows NT\RPC

如果 Exchange Server Analyzer 發現 EnableAuthEpResolution 登錄值已存在,就會顯示非預設的組態訊息。

RPC 介面限制提供更多的網路保護功能,可降低系統受到網路攻擊的機會。

從遠端匿名可用,且預設已在 Microsoft Windows® XP 上註冊的 RPC 介面呈現重大攻擊面。RPC 本身必須註冊這樣一個介面,為使用動態端點的呼叫提供端點解析。RestrictRemoteClients 登錄機碼會修改系統上所有 RPC 介面的行為。在預設的情況下,RestrictRemoteClients 登錄機碼會防止對系統上 RPC 介面的遠端匿名存取 (某些例外)。因此,不可再匿名使用 RPC 端點對應器介面。

使用動態端點進行呼叫的 RPC 用戶端,將首先查詢伺服器上的 RPC 端點對應器,以判定 RPC 用戶端應連接至哪一動態端點。即使 RPC 用戶端呼叫本身使用 RPC 安全性來執行,此查詢也會以匿名方式執行。在預設的情況下,對 RPC 端點對應器介面的匿名呼叫在 Microsoft Windows XP Service Pack 2 上將失敗,因為預設的 RestrictRemoteClients 功能會防止對系統上 RPC 介面的遠端匿名存取。因為此 RPC 介面限制,所以會修改 RPC 用戶端執行階段以執行對端點對應器的驗證查詢。此 RPC 介面限制是 Windows XP Service Pack 2 中的預設行為。RPC 用戶端執行階段然後會使用整合式 Windows 驗證 (之前稱為 NTLM) 來驗證端點對應器。如果實際 RPC 用戶端呼叫使用此種驗證,則會執行整合式 Windows 驗證。如果存在下列情況,則會存在非預設組態:

  • 已建立所說明的 RPC 登錄機碼及 EnableAuthEpResolution 值。
  • EnableAuthEpResolution 登錄值已設為 0。

若需有關 Windows XP Service Pack 2 中 RPC 服務之變更的詳細資訊,請參閱《RPC 介面限制》(英文) (http://go.microsoft.com/fwlink/?LinkId=47371)。

 
顯示: