Některé brány firewall mohou odmítnout síťovou komunikaci z počítačů se systémem Windows Server 2003 Service Pack 1 nebo se systémem Windows Vista

Překlady článku Překlady článku
ID článku: 899148 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Operace vzdáleného volání procedur mohou selhat, pokud některé produkty brány firewall a sítě VPN odmítnou síťové požadavky. K tomuto odmítnutí dojde, pokud jsou síťové požadavky zadány v počítačích se systémem Microsoft Windows Server 2003 Service Pack 1 nebo v počítačích se systémem Windows Vista. Tyto síťové požadavky mohou selhat v počítačích se systémem Windows Server 2003, kde je použita aktualizace Windows Server 2003 Service Pack 1 (SP1) nebo instalační média OEM či maloobchodní instalační média obsahující aktualizaci SP1. Následující produkty mohou odmítnout tyto síťové požadavky:
  • brána firewall nebo síť VPN (virtual private network) od společnosti Checkpoint Software Technologies,
  • Microsoft Internet Security and Acceleration (ISA) Server
  • Cisco VPN Client 5.0.0.0340
Poznámka: Od května 2005 obsahuje výše uvedený seznam produkty, u kterých bylo zjištěno, že mohou tyto síťové požadavky odmítnout. Tento seznam však nemusí zahrnovat všechny možné produkty, které provádějí filtrování na úrovni aplikace a které mohou odmítnout síťové požadavky. Hardware a software od jiných výrobců, který provádí filtrování na úrovni aplikace, může také odmítnout požadavky vzdáleného volání procedur (RPC) z počítačů, ve kterých je spuštěn systém Windows Server 2003 Service Pack 1 (SP1) nebo Windows Vista.

Příčina

K tomuto problému dochází, protože systém Windows Server 2003 SP1 nebo systém Windows Vista podporuje některé nové syntaxe přenosu do implementace vzdáleného volání procedur (RPC). Tyto nové syntaxe přenosu jsou známé jako vyjednávání více syntaxí přenosu. Tyto syntaxe usnadňují 32 a 64bitovým počítačům zvládnout větší zatížení. Dále umožňují, aby 32 a 64bitové počítače mohly pracovat rychleji.

Zvláště brány firewall a sítě VPN, které povolují více než jeden kontext prezentace ve vázané jednotce PDU (protocol data unit) vzdáleného volání procedur, mohou způsobit některé z následujících symptomů:
  • zamítnutí rámců vzdáleného volání procedur v síti,
  • předčasné ukončení připojení z počítačů se systémem Windows Server 2003 SP1 nebo Windows Vista.

Řešení

Chcete-li tento problém vyřešit v případě, že operace vzdáleného volání procedur v počítači se systémem Windows Server 2003 nebo Windows Vista při použití sítě VPN nebo brány firewall selžou bezprostředně po instalaci systému Windows Server 2003 SP1 nebo systému Windows Vista, obraťte se na dodavatele sítě VPN nebo brány firewall a zjistěte, zda je k dispozici aktualizovaná verze filtru vzdáleného volání procedur. Jestliže jsou operace vzdáleného volání procedur blokovány v počítačích se systémem Microsoft Internet Security and Acceleration Server (ISA) nebo ISA Server 2004 Standard Edition, naleznete další informace v článku znalostní báze Microsoft Knowledge Base:
887222 Filtr vzdáleného volání procedur serveru ISA blokuje vzdálené volání procedur po instalaci aktualizace Windows Server 2003 Service Pack 1 v počítači se systémem ISA Server 2004 nebo ISA Server 2000 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Jsou-li operace vzdáleného volání procedur blokovány filtry v produktech společnosti Check Point Software, naleznete informace v článku SK30784 znalostní báze SecureKnowledge společnosti Check Point Software nebo na následujícím webu:
http://www.checkpoint.com/

Jak potíže obejít

Chcete-li tento problém vyřešit, použijte jeden z následujících postupů.

Metoda 1

Umožňují-li to síť, můžete zakázat vzdálené volání procedur pro brány firewall a sítě VPN.

Metoda 2

Důležité: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. V případě úpravy registru nesprávným způsobem však mohou nastat závažné problémy. Proto vždy pečlivě kontrolujte, zda postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zazálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756 Zálohování, úpravy a obnovení registru v systémech Windows XP a Windows Server 2003


Pokud potřebujete, aby operace vzdáleného volání procedur fungovaly okamžitě, a nemůžete rychle aktualizovat brány firewall a sítě VPN, nainstalujte opravu hotfix popsanou v této části a použijte následující postup.

Důležité: Systém Windows Vista nevyžaduje opravu hotfix. V počítačích se systémem Windows Vista je však nutné upravit registr následujícím způsobem.
  1. Klepněte na tlačítko Start, na příkaz Spustit, zadejte příkaz regedit a potom klepněte na tlačítko OK.
  2. Vyhledejte následující podklíč registru a klepněte na něj:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. V nabídce Úpravy přejděte na příkaz Nový a pak klepněte na položku Hodnota DWORD.
  4. Zadejte
    Server2003NegotiateDisable
    jako název nové hodnoty DWORD.
  5. Klepněte pravým tlačítkem myši na položku
    Server2003NegotiateDisable
    a klepněte na příkaz Změnit.
  6. V poli Údaj hodnoty zadejte hodnotu 1 a klepněte na tlačítko OK.

    Poznámka: Toto nastavení vypne vyjednávání doby vazby a vyjednávání více syntaxí přenosu.
  7. Ukončete Editor registru. Restartujte počítač.
  8. Když jsou brány firewall a počítače v síti VPN kompatibilní se vzdáleným voláním procedur v počítači, nastavte hodnotu položky
    Server2003NegotiateDisable
    v registru na hodnotu 0. Potom restartujte počítač.

Windows Server 2003 Service Pack 1

K dispozici je podporovaná oprava hotfix dodávaná společností Microsoft. Tato oprava hotfix je však určená pouze k odstranění problému popsaného v tomto článku. Instalujte ji pouze v systémech, ve kterých dochází k tomuto konkrétnímu problému. Tato oprava hotfix může být dále testována. Pokud vás tedy uvedené potíže příliš neobtěžují, doporučujeme, abyste počkali na další aktualizaci softwaru, která bude tuto opravu obsahovat.

Pokud je k dispozici oprava hotfix ke stažení, na začátku tohoto článku znalostní báze Knowledge Base naleznete oddíl Hotfix download available (Oprava hotfix ke stažení). Pokud zde tento oddíl není uveden, požádejte o poskytnutí opravy hotfix středisko technické podpory a péče o zákazníky společnosti Microsoft.

Poznámka: Máte-li jakékoli další dotazy nebo je-li třeba vyřešit nějaké potíže, je možné, že pro ně bude nutné vytvořit samostatný požadavek na služby. Další dotazy a žádosti o podporu, které se netýkají této konkrétní opravy hotfix, podléhají běžným sazbám za poskytnutí podpory. Úplný seznam telefonních čísel služeb technické podpory a péče o zákazníky společnosti Microsoft a možnost vytvoření samostatného požadavku na služby naleznete na tomto webu společnosti Microsoft:
http://support.microsoft.com/contactus/?ws=support
Poznámka: Ve formuláři Hotfix download available (Oprava hotfix ke stažení) jsou uvedeny jazyky, v nichž je oprava hotfix k dispozici. Pokud seznam neobsahuje váš jazyk, znamená to, že daná oprava hotfix v tomto jazyku není k dispozici. Anglická verze této opravy hotfix má následující nebo vyšší atributy souborů. Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Coordinated Universal Time). Při zobrazení informací o souborech jsou data a čas převedeny na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo na panelu Datum a čas v okně Ovládací panely.
Informace o souborech
   Datum        Verze        Velikost       Název souboru   Platforma ---------------------------------------------------------- 5. března 2005  5.2.3790.2436   642 048   Rpcrt4.dll  x86 5. března 2005  5.2.3790.2436  1 714 688  Rpcrt4.dll  x64 5. března 2005  5.2.3790.2436  2 462 208  Rpcrt4.dll  IA-64

Windows Server 2003 Service Pack 2

Důležité: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. V případě úpravy registru nesprávným způsobem však mohou nastat závažné problémy. Proto vždy pečlivě kontrolujte, zda postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zazálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756 Zálohování, úpravy a obnovení registru v systémech Windows XP a Windows Server 2003


Tyto potíže byly opraveny v aktualizaci Windows Server 2003 Service Pack 2. Další informace o aktualizaci Windows Server 2003 Service Pack 2 naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
889100 Jak získat nejnovější aktualizaci Service Pack pro systém Windows Server 2003
Po instalaci aktualizace Windows Server 2003 SP2 musíte upravit registr pomocí následujícího postupu:
  1. Klikněte na tlačítko Start, na příkaz Spustit, zadejte příkaz regedit a potom klikněte na tlačítko OK.
  2. Vyhledejte následující podklíč registru a klikněte na něj:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. V nabídce Úpravy přejděte na příkaz Nový a pak klikněte na položku Hodnota DWORD.
  4. Zadejte Server2003NegotiateDisable jako název nové hodnoty DWORD.
  5. Klikněte pravým tlačítkem myši na položku Server2003NegotiateDisable a potom klikněte na příkaz Změnit.
  6. V poli Údaj hodnoty zadejte hodnotu 1 a klikněte na tlačítko OK.

    Poznámka: Toto nastavení vypne vyjednávání doby vazby a vyjednávání více syntaxí přenosu.
  7. Ukončete program Editor registru a restartujte počítač.
  8. Když jsou brány firewall a počítače v síti VPN kompatibilní se vzdáleným voláním procedur v počítači, nastavte hodnotu položky Server2003NegotiateDisable v registru na hodnotu 0. Potom restartujte počítač.

Další informace

Nastanou-li tyto potíže, nemohou se klienti aplikace Microsoft Outlook připojit k serveru Exchange Server. Proto by správci měli vyhodnotit, zda jsou definice filtrů vzdáleného volání procedur v zařízeních síťové infrastruktury kompatibilní s využitím vzdáleného volání procedur v systému Windows Server 2003 SP1 nebo Windows Vista. Správce by měl provést toto vyhodnocení před nasazením brány firewall a sítě VPN, systému Windows Server 2003 SP1 nebo Windows Vista v provozním prostředí, kde se tato síťová zařízení používají.

Vyhodnocení je zvláště vhodné v případech, kde brány firewall mohou filtrovat replikaci s využitím vzdáleného volání procedur mezi řadiči domény. Filtrace replikace s využitím vzdáleného volání procedur mezi řadiči domény může způsobit dlouhodobé přerušení replikace služby Active Directory.

Správci by měli použít monitorovací software a přesvědčit se, že všechny řadiče domény v doménové struktuře zajišťují příchozí replikaci v rámci počtu dní doby označení objektu jako neplatného. Výchozí doba označení objektu jako neplatného je 60 dnů. Řadiče domény, které nemohou zajistit příchozí replikaci informací jednotlivých odstraněných objektů v rámci výše uvedené doby označení objektu jako neplatného, budou v případě daných změn vždy nekonzistentní, pokud nedojde k zásahu správce.

Mezi události v protokolu událostí adresářové služby, které označují, že dochází k selhání replikace služby Active Directory v řadičích domény se systémem Windows Server 2003, patří:
  • 1862: Místní řadič domény neobdržel informace o replikaci z mnoha řadičů domény (mezi sítěmi).
  • 1864: Místní řadič domény neobdržel informace o replikaci z mnoha řadičů domény (v rámci sítě).
  • 2042: Tento počítač nebyl s uvedeným zdrojovým serverem delší dobu replikován. (počet dní doby označení objektu jako neplatného)
Pokud správci nemají k dispozici monitorovací řešení, mohou použít přihlašovací informace účtu správce systému a denně spustit následující příkaz REPADMIN systému Windows Server 2003:
repadmin /showrepl * /csv >showrepl.csv
Správci mohou zobrazit soubor Showrepl.csv v programu podobném aplikaci Microsoft Excel, který umožňuje analýzu textu odděleného čárkami. Vyřešení selhání replikace v cílových řadičích domény, u kterých selhala příchozí replikace po nejdelší dobu, je úloha s vysokou prioritou.

Soubor Repadmin.exe je umístěn ve složce Support\Tools\ Suptools.msi na instalačním médiu systému Windows Server 2003.

Další informace o odebrání permanentních objektů získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
870695 Zastaralé objekty služby Active Directory generují ID události 1988 v systému Windows Server 2003 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Další informace o programech společnosti Checkpoint Software Technologies naleznete na následujícím webu společnosti Checkpoint Software Technologies:
http://www.checkpoint.com
Další informace o serveru ISA Server naleznete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/cze/windowsserversystem/isaserver/default.mspx
Společnost Microsoft si není vědoma existence žádných dalších směrovačů nebo přepínačů, které by prováděly filtrování na úrovni programů, které by mohlo narušovat operace vzdáleného volání procedur v systému Windows Server 2003 SP1 nebo Windows Vista.

Následující chybová zpráva se obvykle zobrazí u součástí, pokud jsou rámce vzdáleného volání procedur s více syntaxemi přenosu odmítnuty bránou firewall nebo síť VPN zobrazí chybu 1727 systému Windows 32:
Vzdálené volání procedury se nezdařilo a nebylo provedeno.
Tento kód generické chyby zahrnuje několik základních příčin a neidentifikuje jednoznačně blokující rámce vzdáleného volání procedur v počítačích se systémem Windows Server 2003 SP1 nebo Windows Vista.

Informace o specifikaci vzdáleného volání procedur v prostředí DCE naleznete na následujícím webu skupiny Opengroup:
http://www.opengroup.org/onlinepubs/009629399/toc.htm
Informace o podpoře více syntaxí přenosu pro vzdálené volání procedur v prostředí DCE naleznete na následujícím webu skupiny Opengroup:
http://www.opengroup.org/onlinepubs/009629399/chap12.htm#tagcjh_17_06_04_03
Produkty jiných výrobců popisované v tomto článku vyrábějí společnosti, které jsou nezávislé na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku (implicitně předpokládanou ani jinou) týkající se výkonu a spolehlivosti těchto produktů.

Prohlášení

Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části Informace v tomto článku jsou určeny pro produkt. Tento problém byl poprvé opraven aktualizací Windows Server 2003 Service Pack 2.

Vlastnosti

ID článku: 899148 - Poslední aktualizace: 1. prosince 2008 - Revize: 11.2
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003 Service Pack 1 na těchto platformách
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Windows Vista Business
  • Windows Vista Home Basic
  • Windows Vista Enterprise
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
Klíčová slova: 
kbautohotfix kbwinserv2003sp2fix kbhotfixserver kbqfe kbwinservnetwork kbnetwork_techconfigissue kbconnectivity kbconfig kbexpertiseadvanced kbtshoot kbprb KB899148

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com