Atualizações de conexão RPC para impressão em Windows 11
Descrição do post.
WINDOWS
Willian Silva
11/8/20245 min read
Neste artigo
Aplica-se a: Windows 11, versão 22H2 e versões posteriores do Windows
Windows 11, a versão 22H2 apresenta alterações nos componentes de impressão que modificam como os computadores Windows se comunicam entre si durante operações relacionadas à impressão ou impressão. Por exemplo, as alterações entram em vigor quando você imprime em uma impressora compartilhada por um servidor de impressão ou outro computador na rede. Essas alterações foram feitas para melhorar ainda mais a segurança geral da impressão no Windows. A configuração padrão das configurações de conexão RPC impõe métodos de comunicação mais recentes e seguros. Usuários domésticos e administradores corporativos também podem personalizar as configurações para seu ambiente.
Atualizar detalhes
Para comunicações relacionadas à impressão, por padrão, o RPC sobre TCP é usado para comunicações do cliente – servidor.
O uso do RPC sobre Pipes Nomeados para comunicação relacionada à impressão entre computadores ainda está disponível, mas está desabilitado por padrão.
O uso do RPC sobre TCP ou RPC em Pipes Nomeados para comunicação relacionada à impressão pode ser controlado por Política de Grupo ou por meio do registro.
Por padrão, o cliente ou servidor escuta apenas conexões de entrada por meio do RPC por TCP.
O serviço Spooler pode ser configurado para também escutar conexões de entrada por meio do RPC em Pipes Nomeados. Essa não é a configuração padrão.
Esse comportamento pode ser controlado por Política de Grupo ou por meio do registro.
Quando o RPC sobre TCP é usado, uma porta específica pode ser configurada para usar para comunicação em vez de portas dinâmicas.
Ambientes nos quais todos os computadores são ingressados no domínio e dão suporte a Kerberos agora podem impor a autenticação Kerberos.
Recomendações sobre como configurar um ambiente
O seguinte contém recomendações sobre como configurar corretamente o ambiente para evitar ou resolver problemas com a comunicação entre computadores.
Permitir rpc sobre comunicação TCP
O problema mais comum é que as regras de firewall estão impedindo a comunicação entre os computadores. Para resolver problemas com o firewall, siga estas etapas:
Verifique se a porta Mapper do Ponto de Extremidade do RPC (135) não está bloqueada.
Abra as portas efêmeras de alto alcance (49152 – 65535) no servidor ou siga as diretrizes na seção Configurando RPC para usar determinadas portas abaixo para especificar um intervalo de portas para RPC.
Para obter mais informações sobre as diferentes portas e seu uso pelos serviços do sistema, consulte Visão geral do serviço e requisitos de porta de rede para Windows.
Usando rpc sobre pipes nomeados
Essa configuração não é recomendada. No entanto, ele pode ser usado se o RPC por TCP não for uma opção no ambiente atual.
Para habilitar um computador Windows 11, versão 22H2 para usar o RPC em Pipes Nomeados em vez de RPC sobre TCP para comunicação, consulte a seção Usar RPC sobre Pipes Nomeados para cliente - comunicação de servidor.
Para habilitar um computador Windows 11, versão 22H2 para escutar conexões de entrada por meio do RPC em Pipes Nomeados e RPC por TCP, consulte a seção Habilitar escuta para conexões de entrada no RPC em Pipes Nomeados
As configurações adicionais a seguir também podem ser necessárias para dar suporte adequado ao RPC em Pipes Nomeados no ambiente.
Defina o valor do registro RpcAuthnLevelPrivacyEnabled como 0 no computador servidor/host. Consulte Gerenciando a implantação de alterações de associação do RPC da Impressora para CVE-2021-1678 (KB4599464) (microsoft.com)
Alguns cenários também exigem acesso de convidado no SMB2/SMB3, que é desabilitado por padrão. Para habilitá-lo, confira Acesso de convidado no SMB2 e SMB3 desabilitado por padrão no Windows
Configurando o RPC para usar determinadas portas
Consulte Como configurar o RPC para usar determinadas portas e como ajudar a proteger essas portas usando o IPsec.
Para definir um intervalo de portas dinâmico/excluído, execute os netsh int comandos.
Para usar o IPSec com netsh, execute os netsh ipsec comandos.
Para usar o Firewall do Windows para bloquear um intervalo de portas, execute os netsh advfirewall comandos.
Todas as soluções acima são viáveis. No entanto, algumas soluções podem ser mais fáceis do que as que exigem que você defina a regra para cada porta (IPSec e AdvFirewall). Para fins de teste, você pode usar o método de intervalo de portas dinâmico/excluído, pois pode especificar o intervalo. Por exemplo:
Para restringir o intervalo dinâmico de portas, execute estes comandos:
Console
netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp
netsh int ipv4 set dynamicportrange tcp startport=50000 numberofports=255
netsh int ipv4 set dynamicportrange udp startport=50000 numberofports=255
netsh int ipv6 set dynamicportrange tcp startport=50000 numberofports=255
netsh int ipv6 set dynamicportrange udp startport=50000 numberofports=255
Em seguida, reinicie o computador.
Observação
255 é o número mínimo de portas que podem ser definidas.
Para restringir ainda mais o intervalo de portas, execute estes comandos:
Console
netsh int ip show excludedportrange tcp
netsh int ip show excludedportrange udp
netsh int ipv4 add excludedportrange tcp startport=50000 numberofports=225
netsh int ipv4 add excludedportrange udp startport=50000 numberofports=225
netsh int ipv6 add excludedportrange tcp startport=50000 numberofports=225
netsh int ipv6 add excludedportrange udp startport=50000 numberofports=225
Em seguida, reinicie o computador.
Observação
Se você restringir demais o número de portas, os serviços no sistema não poderão se comunicar efetivamente e podem causar um problema com a funcionalidade.
Configurando a comunicação RPC para componentes do Windows Print
As configurações a seguir podem ser configuradas por meio de Política de Grupo ou diretamente por meio do registro para obter o efeito desejado. Consulte a documentação no editor Política de Grupo para obter detalhes específicos sobre cada configuração.
Usar o RPC em Pipes Nomeados para o cliente – comunicação do servidor
Habilitar usando Política de Grupo:
Caminho:Impressoras de modelos administrativos> de configuração>de computador>configuram configurações de conexão RPC
Habilite e defina como RpcOverNamedPipes.Habilite a configuração usando o registro:
Execute reg add "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTPrintersRPC" /v RpcUseNamedPipeProtocol /t REG_DWORD /d 1 /f
Habilitar a escuta para conexões de entrada no RPC em Pipes Nomeados
Habilitar por meio de Política de Grupo:
Caminho: Impressoras de modelos administrativos >> de configuração > do computador Configuram configurações do ouvinte RPC
Habilite e defina protocolos permitidos para serem usados no RpcOverNamedPipesAndTcp.Habilite a configuração por meio do registro:
Execute reg add "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTPrintersRPC" /v RpcProtocols /t REG_DWORD /d 0x7 /f
Usar uma porta específica para comunicação RPC por TCP
Habilitar por meio de Política de Grupo:
Caminho:Impressoras de modelos administrativos>> de configuração> de computadorConfiguração Configurar RPC pela porta TCP Habilitar e definir o número da portaHabilitar a configuração por meio do registro
Execute reg add "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTPrintersRPC" /v RpcTcpPort /t REG_DWORD /d <port number> /f
Porta máxima: 65535
Impor autenticação Kerberos
Habilitar por meio de Política de Grupo:
Caminho:Impressoras de modelos administrativos>> de configuração> do computadorConfiguram configurações do ouvinte RPC
Habilite e defina o protocolo de autenticação permitido para ser usado para Kerberos.Habilitar a configuração por meio do registro
Execute reg add "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTPrintersRPC" /v ForceKerberosForRpc /t REG_DWORD /d 1 /f
Fonte: microsoft.com.br