Rifiuto da parte di alcuni firewall del traffico di rete originato da computer basati su Windows Server 2003 Service Pack 1 o su Windows Vista

Traduzione articoli Traduzione articoli
Identificativo articolo: 899148 - Visualizza i prodotti a cui si riferisce l?articolo.
Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema. Prima di modificare il Registro di sistema, assicurarsi di eseguirne una copia di backup e di sapere come ripristinarlo qualora si verifichino dei problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986 Descrizione del Registro di sistema di Microsoft Windows
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Le operazioni basate su chiamate di procedura remota (RPC, Remote Procedure Call) potrebbero non essere eseguite se alcuni prodotti firewall e VPN rifiutano le richieste di rete. Il rifiuto si verifica se le richieste di rete provengono da computer basati su Microsoft Windows Server 2003 Service Pack 1 o su Windows Vista. Queste richieste di rete potrebbero non essere eseguite in computer nei quali Windows Server 2003 Service Pack 1 (SP1) Ŕ stato applicato a Windows Server 2003 oppure nei quali i supporti di installazione della versione del sistema operativo fornita dalla casa produttrice dell'hardware originale o della versione definitiva includono l'aggiornamento a SP1. I seguenti prodotti potrebbero rifiutare tali richieste di rete:
  • Prodotti firewall o di rete privata virtuale (VPN, Virtual Private Network) di Checkpoint Software Technologies
  • Microsoft Internet Security and Acceleration (ISA) Server
Nota A partire dal maggio 2005, l'elenco precedente include i prodotti per i quali Microsoft ha verificato il rifiuto di queste richieste di rete. Tuttavia, l'elenco precedente potrebbe non includere ogni possibile prodotto che esegue il filtraggio a livello di applicazione e che potrebbe rifiutare le richieste di rete. Anche alcuni prodotti hardware e software di altre case produttrici che eseguono il filtraggio a livello di applicazione potrebbero rifiutare le richieste RPC provenienti da computer che eseguono Windows Server 2003 Service Pack 1 (SP1) o Windows Vista.

Cause

Questo problema si verifica perchÚ Windows Server 2003 SP1 o Windows Vista aggiunge il supporto per alcune nuove sintassi di trasferimento all'implementazione RPC. Queste nuove sintassi di trasferimento sono note come "negoziazione di pi¨ sintassi di trasferimento". Consentono ai computer a 32 e 64 bit di gestire carichi di lavoro maggiori. Inoltre, permettono spesso ai computer a 32 e 64 bit di funzionare pi¨ velocemente.

In particolare, i firewall e i prodotti VPN che non consentono la presenza di pi¨ di un contesto di presentazione in un'unitÓ PDU (Protocol Data Unit) RPC associata potrebbero causare uno dei sintomi seguenti:
  • Frame RPC ignorati nella rete
  • Chiusura prematura delle connessioni provenienti da computer basati su Windows Server 2003 SP1 o su Windows Vista

Risoluzione

Per risolvere questo problema, qualora le operazioni basate su RPC in computer con Windows Server 2003 o con Windows Vista non vengano eseguite in una rete VPN o in un firewall immediatamente dopo aver installato Windows Server 2003 SP1 o Windows Vista, rivolgersi al fornitore del prodotto firewall o VPN per verificare la disponibilitÓ di una versione aggiornata del filtro RPC. Se le operazioni basate su RPC vengono bloccate dai filtri sui computer Microsoft Internet Security and Acceleration Server (ISA) 2000 o ISA Server 2004 Standard Edition, vedere l'articolo seguente della Microsoft Knowledge Base: 887222:
887222 Il filtro RPC di ISA Server blocca il traffico RPC dopo l'installazione di Windows Server 2003 Service Pack 1 in un computer che esegue ISA Server 2004 o ISA Server 2000

Il filtro RPC di ISA Server blocca il traffico RPC dopo l'installazione di Windows Server 2003 SP1 e di Windows Vista. Se le operazioni basate su RPC vengono bloccate dai filtri nei prodotti Check Point Software, vedere l'articolo SK30784 della Check Point Software SecureKnowledge oppure visitare il seguente sito Web Checkpoint Software (informazioni in lingua inglese):
http://www.checkpoint.com/

Workaround

Per risolvere questo problema, utilizzare uno dei metodi descritti di seguito:

Metodo 1

╚ possibile disattivare i filtri RPC nei firewall e nei prodotti VPN, se i requisiti di rete lo rendono possibile.

Metodo 2

Avviso L'errato utilizzo dell'editor del Registro di sistema o di un altro metodo pu˛ causare seri problemi, che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce la soluzione di eventuali problemi derivanti dall'errata modifica del Registro di sistema. La modifica del Registro di sistema Ŕ a rischio e pericolo dell'utente.

Se Ŕ necessario che le operazioni basate su RPC funzionino immediatamente e non Ŕ possibile aggiornare tempestivamente i firewall e le reti VPN, installare l'hotfix descritto in questa sezione e attenersi alla seguente procedura:

Importante Per Windows Vista non Ŕ necessario alcun hotfix. ╚ tuttavia necessario attenersi alla seguente procedura per modificare il Registro di sistema nei computer basati su Windows Vista.
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit, quindi scegliere OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. Scegliere Nuovo dal menu Modifica, quindi Valore DWORD.
  4. Digitare
    Server2003NegotiateDisable
    come nome per il nuovo valore DWORD.
  5. Fare clic con il pulsante destro del mouse su
    Server2003NegotiateDisable
    e scegliere Modifica.
  6. Nella casella Dati valore digitare 1, quindi scegliere OK.

    Nota Questa impostazione consente di disattivare la negoziazione della durata del binding e la negoziazione di pi¨ sintassi di trasferimento.
  7. Chiudere l'editor del Registro di sistema. Riavviare il computer.
  8. Dopo avere reso compatibili i firewall e i dispositivi VPN con la funzionalitÓ RPC sul computer, impostare il valore per la voce
    Server2003NegotiateDisable
    nel Registro di sistema su 0. Riavviare il computer.

Informazioni sul service pack per Windows Server 2003

Per risolvere questo problema, Ŕ necessario ottenere il service pack pi¨ recente per Windows Server 2003. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
889100 Informazioni su come ottenere il service pack pi¨ recente per Windows Server 2003

Informazioni sull'hotfix per Windows Server 2003

╚ disponibile un hotfix supportato da Microsoft, che Ŕ tuttavia destinato esclusivamente alla risoluzione del problema descritto in questo articolo. Applicarlo solo ai sistemi in cui si verifica questo problema specifico. ╚ possibile che su questo hotfix vengano eseguite ulteriori verifiche. Se il problema in questione non costituisce una seria minaccia per il sistema, si consiglia pertanto di attendere il rilascio del prossimo service pack di Windows Server 2003 contenente questo hotfix.

Per risolvere immediatamente il problema, contattare il Servizio Supporto Tecnico Clienti Microsoft per ottenere l'hotfix. Per un elenco completo di numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft e per informazioni sui costi dell'assistenza, visitare il sito Web Microsoft all'indirizzo:
http://support.microsoft.com/contactus/?ws=support
Nota In casi particolari le spese normalmente addebitate per le chiamate al Servizio Supporto Tecnico Clienti Microsoft potrebbero essere annullate qualora un addetto del Servizio Supporto Tecnico Clienti Microsoft dovesse determinare che uno specifico aggiornamento risolverÓ il problema. I normali costi del Servizio Supporto Tecnico Clienti Microsoft verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione. La versione in lingua inglese di questo hotfix presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC (Universal Time Coordinate). Quando si visualizzano le informazioni sui file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
Informazioni sui file
   Data        Versione      Dimensione  Nome file   Piattaforma
   -------------------------------------------------------------
   05/03/2005  5.2.3790.2436    642.048  Rpcrt4.dll  x86
   05/03/2005  5.2.3790.2436  1.714.688  Rpcrt4.dll  x64
   05/03/2005  5.2.3790.2436  2.462.208  Rpcrt4.dll  IA-64

Informazioni

╚ opportuno che gli amministratori valutino se le definizioni dei filtri RPC nei dispositivi dell'infrastruttura di rete sono compatibili con il traffico RPC generato da Windows Server 2003 SP1 o da Windows Vista. Tale valutazione deve essere effettuata prima della distribuzione di dispositivi firewall e/o VPN, di Windows Server 2003 SP1 o di Windows Vista negli ambienti di produzione in cui tali dispositivi vengono distribuiti.

La valutazione Ŕ appropriata soprattutto laddove i firewall possono filtrare il traffico di replica basato su RPC tra un controller di dominio e l'altro. Il filtraggio del traffico di replica basato su RPC tra un controller di dominio e l'altro pu˛ causare un'interruzione a lungo termine della replica di Active Directory.

In particolare, Ŕ consigliabile che gli amministratori utilizzino il software di monitoraggio per assicurarsi che tutti i controller di dominio di una foresta eseguano la replica in ingresso entro un certo numero di giorni correlato alla durata rimozione. Per impostazione predefinita, il numero di giorni correlato alla durata rimozione Ŕ 60. I controller di dominio che non sono in grado di eseguire la replica in ingresso delle informazioni di ogni eliminazione univoca entro il numero di giorni correlato alla durata rimozione saranno sempre incoerenti in riferimento a tali modifiche fino al successivo intervento di un amministratore.

Gli eventi presenti nel registro eventi del servizio directory che indicano che la replica di Active Directory non viene eseguita nei controller di dominio basati su Windows Server 2003 sono simili ai seguenti:
  • 1862: "Il controller di dominio locale di recente non ha ricevuto le informazioni di replica da vari controller di dominio" (replica tra siti)
  • 1864: "Il controller di dominio locale di recente non ha ricevuto le informazioni di replica da vari controller di dominio" (replica all'interno del sito)
  • 2042: "╚ trascorso troppo tempo dall'ultima volta in cui questo computer ha eseguito la replica con l'origine indicata" (numero di giorni TSL)
Se gli amministratori non dispongono di una soluzione per il monitoraggio, possono utilizzare le credenziali amministrative aziendali per eseguire giornalmente il seguente comando REPADMIN di Windows Server 2003:
repadmin /showrepl * /csv >showrepl.csv
Gli amministratori possono visualizzare il file Showrepl.csv in un programma, quale Microsoft Excel, che analizza il testo separato da virgole. Un'attivitÓ ad alta prioritÓ include la risoluzione degli errori di replica sui controller di dominio di destinazione che non hanno eseguito la replica in ingresso per il maggiore periodo di tempo.

Repadmin.exe si trova nel file Support\Tools\Suptools.msi sul supporto di installazione di Windows Server 2003.

Per ulteriori informazioni sulla rimozione di oggetti obsoleti, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
870695 ID evento 1988 generato in Windows Server 2003 dagli oggetti obsoleti di Active Directory
Per ulteriori informazioni sui programmi di Checkpoint Software Technologies, visitare il seguente sito Web Checkpoint Software Technologies (informazioni in lingua inglese):
http://www.checkpoint.com
Per ulteriori informazioni su ISA Server, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/italy/isaserver/default.mspx
Microsoft non Ŕ a conoscenza di router o switch che eseguono il filtraggio a livello di programma e che interferiscono con le operazioni basate su RPC in Windows Server 2003 SP1 o in Windows Vista.

In genere, quando i frame RPC con pi¨ sintassi di trasferimento vengono rifiutati da un firewall o quando una rete VPN genera l'errore 1727 di Windows a 32 bit, viene visualizzato un messaggio di errore analogo al seguente:
La chiamata di procedura remota non Ŕ riuscita e non Ŕ stata eseguita
Questo codice di errore generico ha pi¨ cause e non identifica unicamente il blocco dei frame RPC provenienti da computer basati su Windows Server 2003 SP1 o su Windows Vista.

Per ulteriori informazioni sulla specifica DCE RPC, visitare il seguente sito Web Opengroup (informazioni in lingua inglese):
http://www.opengroup.org/onlinepubs/009629399/toc.htm
Per informazioni sul supporto per pi¨ sintassi di trasferimento nella specifica RPC DCE, visitare il seguente sito Web Opengroup (informazioni in lingua inglese):
http://www.opengroup.org/onlinepubs/009629399/chap12.htm#tagcjh_17_06_04_03
I prodotti di terze parti citati in questo articolo sono forniti da produttori indipendenti. Microsoft non rilascia alcuna garanzia implicita o esplicita relativa alle prestazioni o all'affidabilitÓ di tali prodotti.

Status

Microsoft ha confermato che questo problema si verifica con i prodotti elencati nella sezione "Le informazioni in questo articolo si applicano a" di questo articolo. Questo problema Ŕ stato corretto per la prima volta in Windows Server 2003 Service Pack 2.

ProprietÓ

Identificativo articolo: 899148 - Ultima modifica: lunedý 23 aprile 2007 - Revisione: 9.2
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003 Service Pack 1áalle seguenti piattaforme
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Windows Vista Business
  • Windows Vista Home Basic
  • Windows Vista Enterprise
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
Chiavi:á
kbtshoot kbqfe kbprb kbconfig kbwinservnetwork kbconnectivity kbnetwork_techconfigissue kbexpertiseadvanced kbhotfixserver kbwinserv2003sp2fix KB899148
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com