Delen via

Best practices voor taakverdeling

  • Artikel

Er moeten verschillende aanbevolen procedures worden gevolgd bij het instellen en configureren van RPC-taakverdeling.

Eerst moet beveiliging worden ingesteld voor binnenkomende en uitgaande LBS-aanroepen. Dit betekent dat beide optionele NoSecurity registersleutels niet aanwezig moeten zijn of moeten worden ingesteld op nul.

Ten tweede moet aandacht worden besteed aan de front-endtaakverdelingsoplossing die wordt gebruikt in combinatie met de RPC-taakverdelingsoplossing. Als de front-end load balancer bijvoorbeeld eenvoudige round robin-taakverdeling gebruikt, moet er een oneven aantal servers aanwezig zijn in de serverfarm. Dit is om de mogelijkheid te beperken dat alle verbindingen worden doorgestuurd en dus worden onderhouden door dezelfde server of servers.

Voor beveiliging is het meestal wenselijk om toegang tot RPC-proxyservers te hebben voor firewallbeheer. Als er een firewalloplossing op basis van een poort wordt gebruikt, moeten RPC-eindpunten statisch zijn om het aantal poorten te beperken dat in de firewall wordt geopend. In Windows Server 2008 en latere versies van Windows biedt RPC een mechanisme voor het toewijzen van een statische poort aan dynamische eindpunten. Dit wordt bereikt via de RPC netsh-firewallopdrachten. Een voorbeeldset opdrachten voor het instellen van de LBS-interface op de statische poort van 3010 is:

netsh rpc filter add rule layer=ep_add actiontype=permit

netsh rpc filter add condition field=process_with_if_uuid matchtype=equal data=
3357951c-a1d1-47db-a278-ab945d063d03

netsh rpc filter add condition field=protocol matchtype=equal data=ncacn_ip_tcp

netsh rpc filter add condition field=ep_value matchtype=equal data=w3010

netsh rpc filter add filter

De RPC netsh-opdracht kan worden gebruikt om een statisch eindpunt in te stellen voor elke dynamische of statische interface. Dit is handig bij het beperken van de toegang tot een computer waarop een firewalloplossing op basis van een poort wordt uitgevoerd. Als de Windows Firewall-oplossing wordt gebruikt, kan de RPC-interface worden geblokkeerd of ingeschakeld zonder deze toe te wijzen aan een specifieke poort. Zie de RPC netsh firewall-opdrachtreferentievoor meer informatie.