Bepaalde firewalls weigeren netwerkverkeer dat afkomstig is van computers met Windows Server 2003 Service Pack 1 of Windows Vista

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 899148 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Symptomen

Remote Procedure Call-bewerkingen kunnen mislukken als bepaalde firewall- en VPN-producten netwerkaanvragen weigeren. Deze weigering treedt op als de netwerkaanvragen afkomstig zijn van Microsoft Windows Server 2003 Service Pack 1- of Windows Vista-computers. Deze netwerkaanvragen kunnen mislukken op computers waarop u Windows Server 2003 Service Pack 1 (SP1) installeert op een Windows Server 2003-computer of als de installatiemedia van uw OEM of leverancier SP1-updates bevatten. Het is mogelijk dat de volgende producten deze netwerkaanvragen weigeren:
  • Firewall- of VPN-producten (Virtual Private Network) van Checkpoint Software Technologies
  • Microsoft Internet Security and Acceleration (ISA) Server
  • Cisco VPN Client 5.0.0.0340
Opmerking Vanaf mei 2005 staan op de bovenstaande lijst ook de producten die deze netwerkaanvragen mogelijk weigeren. De bovenstaande lijst bevat echter mogelijk niet alle producten die filteren op toepassingsniveau en die netwerkaanvragen kunnen weigeren. Hardware en software van andere fabrikanten waarmee wordt gefilterd op toepassingsniveau, kunnen ook RPC-aanvragen (Remote Procedure Call) weigeren van computers waarop Windows Server 2003 Service Pack 1 (SP1) of Windows Vista wordt uitgevoerd.

Oorzaak

Dit probleem treedt op omdat Windows Server 2003 SP1 of Windows Vista voor bepaalde nieuwe overdrachtsyntaxisexemplaren ondersteuning toevoegt aan de RPC-implementatie. Deze nieuwe overdrachtsyntaxisexemplaren worden 'onderhandeling over meerdere overdrachtsyntaxisexemplaren' genoemd. Deze zorgen ervoor dat 32-bits en 64-bits computers een grotere werklast aankunnen. Bovendien zorgen ze er vaak voor dat 32-bits en 64-bits computers sneller werken.

Het zijn vooral de firewalls en VPN-producten die meer dan één presentatiecontext toestaan in een gekoppelde RPC-protocolgegevenseenheid (PDU), die de volgende symptomen kunnen veroorzaken:
  • RPC-frames op het netwerk verwijderen
  • Verbindingen van Windows Server 2003 SP1- of Windows Vista-computers voortijdig sluiten

Oplossing

Als u dit probleem wilt oplossen en als RPC-bewerkingen op Windows Server 2003 SP1- of Windows Vista-computers mislukken via een VPN of firewall onmiddellijk nadat u Windows Server 2003 SP1 of Windows Vista hebt geïnstalleerd, neemt u contact op met de leverancier van de firewall of VPN om te vragen naar een bijgewerkte versie van hun RPC-filter. Als RPC-bewerkingen worden geblokkeerd door filters op Microsoft Internet Security- en Acceleration Server (ISA) 2000- of ISA Server 2004 Standard Edition-computers, raadpleegt u het volgende Microsoft Knowledge Base-artikel:
887222 Het RPC-filter van ISA Server blokkeert RPC-verkeer na installatie van Windows Server 2003 Service Pack 1 op een computer met ISA Server 2004 of ISA Server 2000 (Het Engels)
Als RPC-bewerkingen worden geblokkeerd door filters op Check Point Software-producten, raadpleegt u het Check Point Software SecureKnowledge-artikel SK30784 of gaat u naar de volgende Checkpoint Software-website:
http://www.checkpoint.com/

Workaround

Ga op een van de volgende manieren te werk om dit probleem te omzeilen:

Methode 1

U kunt RPC-filters op firewalls en VPN-producten uitschakelen als de netwerkvereisten dit toestaan.

Methode 2

Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register onjuist bewerkt, kunnen echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
322756 Procedure: Een back-up van het register maken en het register bewerken en terugzetten in Windows XP en Windows Server 2003


Als RPC-bewerkingen onmiddellijk moeten functioneren en u geen tijd hebt om firewalls en VPN's bij te werken, installeert u de hotfix die wordt beschreven in deze sectie en voert u de volgende stappen uit.

Belangrijk Voor Windows Vista is geen hotfix vereist. U moet deze stappen echter wel uitvoeren om het register op Windows Vista-computers aan te passen.
  1. Klik op Start, klik op Uitvoeren, typ regedit en klik op OK.
  2. Klik op de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. Open het menu Bewerken, wijs Nieuw aan en klik op DWORD-waarde.
  4. Typ
    Server2003NegotiateDisable
    als de naam van de nieuwe DWORD-waarde.
  5. Klik met de rechtermuisknop op
    Server2003NegotiateDisable
    en klik op Wijzigen.
  6. Typ 1 in het vak Waardegegevens en klik op OK.

    Opmerking Met deze instelling schakelt u de onderhandeling uit over de bindingstijd en over meerdere overdrachtsyntaxisexemplaren.
  7. Sluit de Register-editor af. Start de computer opnieuw op.
  8. Nadat de firewalls en VPN-apparaten op de computer compatibel zijn gemaakt met RPC, stelt u de waarde voor de vermelding
    Server2003NegotiateDisable
    in het register in op 0. Start nu de computer opnieuw op.

Windows Server 2003 Service Pack 1

Een ondersteunde hotfix is beschikbaar bij Microsoft. Deze hotfix is echter alleen bedoeld als oplossing van het probleem dat in dit artikel wordt beschreven. Voer deze hotfix alleen uit op systemen waarop dit specifieke probleem zich voordoet. Deze hotfix moet mogelijk extra worden getest. Als u geen ernstige problemen ondervindt, raadt Microsoft u daarom aan te wachten op de volgende update waarin deze hotfix is opgenomen.

Als de hotfix kan worden gedownload, is aan het begin van dit Knowledge Base-artikel een sectie 'Hotfix kan worden gedownload' opgenomen. Als een dergelijke sectie niet aanwezig is, kunt u de hotfix aanvragen bij de klantondersteuning van Microsoft.

Opmerking Als er nog andere problemen optreden of als er oplossingen vereist zijn, moet u mogelijk een afzonderlijk serviceverzoek indienen. De normale ondersteuningskosten gelden voor extra ondersteuningsvragen die niet in aanmerking komen voor deze specifieke hotfix. Bezoek de volgende website van Microsoft voor een volledige lijst met telefoonnummers van de klantondersteuning van Microsoft of om een afzonderlijk serviceverzoek te maken:
http://support.microsoft.com/contactus/?ws=support
Opmerking Op het formulier 'Hotfix kan worden gedownload' zijn de talen vermeld waarvoor de hotfix beschikbaar is. Als uw taal daar niet bij staat, is de hotfix niet voor die taal beschikbaar. De Engelse versie van deze hotfix heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere bestandskenmerken). De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van de optie Datum en tijd in het Configuratiescherm.
Informatie over bestanden
   Datum        Versie        Grootte       Bestandsnaam   Platform ---------------------------------------------------------- 05-03-2005  5.2.3790.2436   642.048   Rpcrt4.dll  x86 05-03-2005  5.2.3790.2436  1.714.688  Rpcrt4.dll  x64 05-03-2005  5.2.3790.2436  2.462.208  Rpcrt4.dll  IA-64

Windows Server 2003 Service Pack 2

Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register onjuist bewerkt, kunnen echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
322756 Procedure: Een back-up van het register maken en het register bewerken en terugzetten in Windows XP en Windows Server 2003


Dit probleem is gecorrigeerd in Windows Server 2003 Service Pack 2. Als u meer informatie wilt over Service Pack 2 voor Windows Server 2003, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
889100 Het nieuwste servicepack voor Windows Server 2003 ophalen
Nadat u Windows Server 2003 SP2 hebt geïnstalleerd, moet u de volgende stappen uitvoeren om het register te wijzigen:
  1. Klik op Start, klik op Uitvoeren, typ regedit en klik op OK.
  2. Klik op de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. Open het menu Bewerken, wijs Nieuw aan en klik op DWORD-waarde.
  4. Typ Server2003NegotiateDisable als de naam van de nieuwe DWORD-waarde.
  5. Klik met de rechtermuisknop op Server2003NegotiateDisable en klik op Wijzigen.
  6. Typ 1 in het vak Waardegegevens en klik op OK.

    Opmerking Met deze instelling schakelt u de onderhandeling uit over de bindingstijd en over meerdere overdrachtsyntaxisexemplaren.
  7. Sluit de Register-editor af en start de computer opnieuw op.
  8. Nadat de firewalls en VPN-apparaten op de computer compatibel zijn gemaakt met RPC, stelt u de waarde voor de registervermelding Server2003NegotiateDisable in op 0. Start nu de computer opnieuw op.

Meer informatie

Als dit probleem optreedt, kunnen Microsoft Outlook-clients geen verbinding maken met de Exchange-server. Beheerders wordt daarom aangeraden te controleren of RPC-filterdefinities in netwerkinfrastructuurapparaten compatibel zijn met het Windows Server 2003 SP1- of Windows Vista RPC-verkeer. Beheerders moeten deze controle uitvoeren voorafgaand aan de implementatie van firewall-/VPN-apparaten, Windows Server 2003 SP1 of Windows Vista in productieomgevingen waarin dergelijke netwerkapparaten zijn geïmplementeerd.

Dit is vooral nodig wanneer firewalls RPC-replicatieverkeer tussen domeincontrollers kunnen filteren. Het filteren van RPC-replicatieverkeer tussen domeincontrollers kan leiden tot een langdurige onderbreking van de Active Directory-replicatie.

Het is vooral van belang dat beheerders controlesoftware gebruiken om te controleren of alle domeincontrollers in een forest binnenkomende replicatie uitvoeren binnen de Rolling Tombstone-levensduur. De Rolling Tombstone-levensduur is standaard 60 dagen. Domeincontrollers die geen binnenkomende replicatie van kennis van elke unieke verwijdering kunnen uitvoeren binnen de vorige Tombstone-levensduur, blijven permanent inconsistent voor wat betreft die wijzigingen totdat een beheerder ingrijpt.

Tot de gebeurtenissen in het Active Directory-gebeurtenislogboek die aangeven dat de Active Directory-replicatie mislukt op Windows Server 2003-domeincontrollers, behoren onder andere:
  • 1862: de lokale domeincontroller heeft van een aantal domeincontrollers al geruime tijd geen replicatiegegevens meer ontvangen (intersite)
  • 1864: de lokale domeincontroller heeft van een aantal domeincontrollers al geruime tijd geen replicatiegegevens meer ontvangen (intrasite)
  • 2042: het is te lang geleden dat deze machine is gerepliceerd met de opgegeven bron (Tombstone-levensduur)
Als beheerders niet beschikken over een controleoplossing, kunnen ze ondernemingsbeheerderreferenties gebruiken om de volgende Windows Server 2003 REPADMIN-opdracht dagelijks uit te voeren:
repadmin /showrepl * /csv >showrepl.csv
Beheerders kunnen het bestand Showrepl.csv weergeven in een programma zoals Microsoft Excel dat door komma's gescheiden tekst parseert. Een taak met hoge prioriteit omvat het oplossen van replicatiefouten op doeldomeincontrollers die binnenkomende replicaties het langst hebben geweigerd.

Repadmin.exe bevindt zich in het bestand Support\Tools\ Suptools.msi op de Windows Server 2003-installatiemedia.

Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over het verwijderen van achtergebleven objecten:
870695 Verouderde Active Directory-objecten veroorzaken gebeurtenis-id 1988 in Windows Server 2003 (Het Engels)
Voor meer informatie over programma's van Checkpoint Software Technologies gaat u naar de volgende Checkpoint Software Technologies-website:
http://www.checkpoint.com
Voor meer informatie over ISA Server gaat u naar de volgende Microsoft-website:
http://www.microsoft.com/isaserver/default.mspx
Microsoft kent geen routers of schakelopties die filteren op programmaniveau en zo RPC-bewerkingen verstoren in Windows Server 2003 SP1 of Windows Vista.

Het volgende foutbericht wordt standaard door onderdelen weergegeven wanneer RPC-frames met meerdere overdrachtsyntaxisexemplaren worden geweigerd door een firewall of wanneer een VPN Windows 32-fout 1727 genereert:
De RPC is mislukt en niet uitgevoerd.
Deze algemene foutcode heeft meerdere hoofdoorzaken en vormt geen unieke identificatie voor het blokkeren van RPC-frames van Windows Server 2003 SP1- of Windows Vista-computers.

Voor informatie over de DCE RPC-specificatie gaat u naar de volgende Opengroup-website:
http://www.opengroup.org/onlinepubs/009629399/toc.htm
Voor informatie over ondersteuning voor meerdere overdrachtsyntaxisexemplaren in de DCE RPC-specificatie gaat u naar de volgende Opengroup-website:
http://www.opengroup.org/onlinepubs/009629399/chap12.htm#tagcjh_17_06_04_03
De niet-Microsoft-producten die in dit artikel worden vermeld, worden vervaardigd door fabrikanten die geheel onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten.

Status

Microsoft heeft bevestigd dat dit probleem zich kan voordoen in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'. In Windows Server 2003 Service Pack 2 is voor het eerst een correctie aangebracht voor dit probleem.

Eigenschappen

Artikel ID: 899148 - Laatste beoordeling: donderdag 11 september 2008 - Wijziging: 11.2
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows Server 2003 Service Pack 1 op de volgende platformen
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Windows Vista Business
  • Windows Vista Home Basic
  • Windows Vista Enterprise
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
Trefwoorden: 
kbautohotfix kbwinserv2003sp2fix kbhotfixserver kbqfe kbwinservnetwork kbnetwork_techconfigissue kbconnectivity kbconfig kbexpertiseadvanced kbtshoot kbprb KB899148

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com