Algunos servidores de seguridad pueden rechazar el tráfico de red que se origina desde equipos basados en Windows Server 2003 Service Pack 1 o en Windows Vista

Seleccione idioma Seleccione idioma
Id. de artículo: 899148 - Ver los productos a los que se aplica este artículo
Importante: este artículo contiene información acerca de cómo modificar el Registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad del mismo y de que sabe cómo restaurarlo si se produce algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986 Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Síntomas

Se puede producir un error en las operaciones basadas en Llamada a procedimiento remoto si ciertos productos de VPN y servidor de seguridad deniegan las solicitudes de red. Este rechazo se produce si las solicitudes de red provienen de equipos basados en Microsoft Windows Server 2003 Service Pack 1 o en Windows Vista. Se puede producir un error en estas solicitudes de red cuando aplica Windows Server 2003 Service Pack 1 (SP1) a un equipo basado en Windows Server 2003 o si los medios de instalación comercial u OEM incluyen actualizaciones del SP1. Los productos siguientes pueden denegar estas solicitudes de red:
  • Productos de servidor de seguridad o red privada virtual (VPN) de Checkpoint Software Technologies
  • Microsoft Internet Security and Acceleration (ISA) Server
  • Cisco VPN Client 5.0.0.0340
Nota: a partir de mayo 2005, la lista anterior incluye los productos que pueden denegar estas solicitudes de red. Sin embargo, la lista anterior puede no incluir todos los productos posibles que realizan el filtrado de nivel de aplicación y que pueden denegar las solicitudes de red. El hardware y el software de otros fabricantes que realizan el filtrado de nivel de aplicación también pueden denegar las solicitudes de llamada a procedimiento remoto (RPC) de equipos que ejecutan Windows Server 2003 Service Pack 1 (SP1) o Windows Vista.

Causa

Este problema se produce porque Windows Server 2003 SP1 o Windows Vista agregan compatibilidad con algunas sintaxis nuevas de transferencia a la implementación de RPC. Estas sintaxis nuevas de transferencia se conocen como "negociación de sintaxis de transferencia múltiple". Ayudan a los equipos de 32 bits y de 64 bits a manejar cargas de trabajo mayores. También ayudan con frecuencia a los equipos de 32 bits y de 64 bits a funcionar más rápidamente.

En concreto, los productos de servidor de seguridad y VPN que permiten que haya más de un contexto de presentación en una unidad de datos de protocolo (PDU) RPC vinculada pueden producir cualquiera de los síntomas siguientes:
  • Se descartan los marcos de RPC en la red
  • Se cierran prematuramente las conexiones de los equipos basados en Windows Server 2003 SP1 o en Windows Vista

Solución

Para resolver este problema, si se produce un error en las operaciones basadas en RPC entre una VPN o un servidor de seguridad en equipos basados en Windows Server 2003 SP1 o en Windows Vista inmediatamente después de instalar Windows Server 2003 SP1 o Windows Vista, póngase en contacto con el proveedor del servidor de seguridad o de la VPN para ver si hay disponible una versión actualizada de su filtro RPC. Si los filtros de los equipos con Microsoft Internet Security and Acceleration (ISA) Server 2000 o ISA Server 2004 Standard Edition bloquean las operaciones basadas en RPC, consulte el artículo siguiente de Microsoft Knowledge Base: 887222:
887222 El filtro RPC de ISA Server bloquea el tráfico RPC después de haber instalado Windows Server 2003 Service Pack 1 en un equipo que está ejecutando ISA Server 2004 o ISA Server 2000

Si los filtros de los productos de Checkpoint Software bloquean las operaciones basadas en RPC, consulte el artículo de Checkpoint Software SecureKnowledge SK30784 o visite el siguiente sitio web de Checkpoint Software:
http://www.checkpoint.com/

Solución

Para solucionar temporalmente este problema, utilice uno de los métodos siguientes.

Método 1

Puede deshabilitar los filtros RPC en los productos de servidor de seguridad y VPN si los requisitos de la red lo permiten.

Método 2

Advertencia: pueden producirse problemas graves si modifica incorrectamente el Registro mediante el Editor del Registro o con cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.

Si necesita que las operaciones basadas en RPC funcionen inmediatamente y no puede actualizar los servidores de seguridad y las VPN de manera oportuna, instale la revisión que se describe en esta sección y siga estos pasos.

Importante: Windows Vista no requiere ninguna revisión. Sin embargo, debe seguir estos pasos para modificar el Registro en los equipos basados en Windows Vista.
  1. Haga clic en Inicio y en Ejecutar, escriba regedit y haga clic en Aceptar.
  2. Busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. Haga clic en el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.
  4. Escriba
    Server2003NegotiateDisable
    como el nombre del nuevo valor DWORD.
  5. Haga clic con el botón secundario en
    Server2003NegotiateDisable
    y, a continuación, haga clic en Modificar.
  6. En el cuadro Información del valor, escriba 1 y haga clic en Aceptar.

    Nota: esta configuración deshabilita la negociación en tiempo de enlace y la negociación de la sintaxis de transferencia múltiple.
  7. Salga del Editor del Registro. Reinicie el equipo.
  8. Cuando los dispositivos de servidor de seguridad y VPN sean compatibles con RPC en el equipo, establezca el valor para la entrada
    Server2003NegotiateDisable
    del Registro en 0. A continuación, reinicie el equipo.

Información de Service Packs de Windows Server 2003

Para resolver este problema, obtenga el Service Pack más reciente de Windows Server 2003. Para obtener más información al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
889100 Cómo obtener la versión más reciente del Service Pack para Windows Server 2003

Información sobre la revisión de Windows Server 2003

Hay disponible una revisión para la que Microsoft proporciona soporte técnico. Sin embargo, esta revisión sólo se diseñó para corregir el problema descrito en este artículo. Aplíquela sólo en sistemas que experimenten este problema específico. Esta revisión podría ser sometida a comprobaciones adicionales. Por tanto, si no se ve muy afectado por este problema, se recomienda que espere al próximo Service Pack que contenga esta revisión.

Para resolver este problema, envíe una solicitud a los servicios al cliente en línea de Microsoft con el fin de obtener la revisión. Para enviar una solicitud en línea y obtener la revisión, visite el siguiente sitio web de Microsoft:
http://go.microsoft.com/?linkid=6294451
Nota: si se producen más problemas o si es necesario investigar la causa de los problemas, es posible que tenga que crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicarán a las preguntas y temas de soporte técnico adicionales que no reúnan las condiciones necesarias para esta revisión en cuestión. Para crear una solicitud de servicio independiente, visite el siguiente sitio web de Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
La versión en inglés de esta revisión tiene los atributos de archivo mostrados en la siguiente tabla (u otros posteriores). Las fechas y las horas de estos archivos se muestran según el horario universal coordinado (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.
Información de archivos
Contraer esta tablaAmpliar esta tabla
FechaVersiónTamañoNombre de archivoPlataforma
03-05-20055.2.3790.2436642.048Rpcrt4.dllx86
03-05-20055.2.3790.24361.714.688Rpcrt4.dllx64
03-05-20055.2.3790.24362.462.208Rpcrt4.dllIA-64

Más información

Cuando se produce este problema, los clientes de Microsoft Outlook no pueden conectar con el servidor de Exchange. Por tanto, los administradores deben evaluar si las definiciones de filtro RPC en los dispositivos de la infraestructura de red son compatibles con el tráfico RPC de Windows Server 2003 SP1 o de Windows Vista. Un administrador debe hacer esta evaluación antes de implementar cualquier dispositivo de servidor de seguridad o VPN, Windows Server 2003 SP1 o Windows Vista en los entornos de producción donde se implementan tales dispositivos de red.

La evaluación resulta especialmente adecuada en el caso de que los servidores de seguridad puedan filtrar el tráfico de replicación basado en RPC entre los controladores de dominio. El filtrado del tráfico de replicación basado en RPC entre los controladores de dominio puede producir una interrupción de la replicación de Active Directory a largo plazo.

En concreto, los administradores deben tratar de utilizar software de supervisión para asegurarse de que todos los controladores de dominio de un bosque realizan la replicación entrante dentro de un número de días de restauración del período de vida de objetos de desecho. De forma predeterminada, el número de días de restauración del período de vida de objetos de desecho es 60. Los controladores de dominio que no puedan realizar la replicación entrante del conocimiento de cada eliminación única dentro del número de días del período de vida de objetos de desecho anterior serán incoherentes para esos cambios hasta que intervenga un administrador.

Los sucesos del registro de sucesos de Servicio de directorio que indican que está produciéndose un error en la replicación de Active Directory en controladores de dominio basados en Windows Server 2003 incluyen los siguientes:
  • 1862: ?el controlador de dominio local no recibió recientemente información de replicación de varios controladores de dominio? (interno)
  • 1864: ?el controlador de dominio local no recibió recientemente información de replicación de varios controladores de dominio? (entre sitios)
  • 2042: ?ha transcurrido mucho tiempo desde que este equipo se replicó por última vez con el equipo de origen indicado? (nº TSL de días)
Si los administradores no tienen una solución de supervisión, pueden utilizar las credenciales de administrador de la organización para ejecutar diariamente el siguiente comando REPADMIN de Windows Server 2003:
repadmin /showrepl * /csv >showrepl.csv
Los administradores pueden ver el archivo Showrepl.csv en un programa como Microsoft Excel que analice texto separado por comas. Una tarea de alta prioridad incluye solucionar los errores de replicación en los controladores de dominio de destino que han producido un error en la replicación entrante durante más tiempo.

Repadmin.exe se encuentra en el archivo Support\Tools\Suptools.msi en los discos de instalación de Windows Server 2003.

Para obtener más información acerca de cómo quitar objetos persistentes, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
870695 Los objetos de Active Directory desfasados generan el Id. de suceso 1988 en Windows Server 2003
Para obtener más información acerca de los programas de Checkpoint Software Technologies, visite el siguiente sitio web de Checkpoint Software Technologies:
http://www.checkpoint.com
Para obtener más información acerca de ISA Server, visite el siguiente sitio web de Microsoft:
http://www.microsoft.com/spain/isaserver/default.mspx
Microsoft no conoce ningún enrutador o conmutador que realice el filtrado de nivel de programa e interfiera con operaciones basadas en RPC en Windows Server 2003 SP1 o en Windows Vista.

Los componentes muestran normalmente el mensaje de error siguiente cuando un servidor de seguridad rechaza las tramas RPC con sintaxis de transferencia múltiple o cuando una VPN genera un error 1727 de Windows 32:
Error en la llamada a procedimiento remoto y no se ha ejecutado.
Este código de error genérico tiene varias causas y no identifica únicamente el bloqueo de tramas RPC procedentes de equipos basados en Windows Server 2003 SP1 o en Windows Vista.

Para obtener más información acerca de la especificación DCE RPC, visite el siguiente sitio web de Opengroup:
http://www.opengroup.org/onlinepubs/009629399/toc.htm
Para obtener información acerca de la compatibilidad de la sintaxis de transferencia múltiple en la especificación DCE RPC, visite el siguiente sitio web de Opengroup:
http://www.opengroup.org/onlinepubs/009629399/chap12.htm#tagcjh_17_06_04_03
Los productos de terceros que se analizan en este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, con respecto al rendimiento o la fiabilidad de estos productos.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:". Este problema se corrigió primero en Windows Server 2003 Service Pack 2.

Propiedades

Id. de artículo: 899148 - Última revisión: jueves, 19 de julio de 2007 - Versión: 10.2
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003 Service Pack 1 sobre las siguientes plataformas
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Windows Vista Business
  • Windows Vista Home Basic
  • Windows Vista Enterprise
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
Palabras clave: 
kbtshoot kbqfe kbprb kbconfig kbwinservnetwork kbconnectivity kbnetwork_techconfigissue kbexpertiseadvanced kbhotfixserver kbwinserv2003sp2fix KB899148

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com