Niektóre zapory mog¹ odrzucaæ ruch sieciowy pochodz¹cy z komputerów, na których uruchomiono system Windows Server 2003 z dodatkiem Service Pack 1 lub system Windows Vista

Operacje oparte na zdalnym wywo³ywaniu procedur (RPC, Remote Procedure Call) mog¹ koñczyæ siê niepowodzeniem, jeœli okreœlone produkty zapewniaj¹ce funkcje zapory sieciowej i wirtualnej sieci prywatnej (VPN, Virtual Private Network) odrzucaj¹ ¿¹dania sieciowe. Te odmowy wystêpuj¹, jeœli ¿¹dania sieciowe pochodz¹ od komputerów z systemami Microsoft Windows Server 2003 z dodatkiem Service Pack 1 i Windows Vista. Te ¿¹dania sieciowe mog¹ koñczyæ siê niepowodzeniem na komputerach, na których zastosowano dodatek Service Pack 1 (SP1) dla systemu Windows Server 2003, albo gdy noœnik instalacji OEM lub detalicznej zawiera aktualizacje dodatku SP1. Nastêpuj¹ce produkty mog¹ odrzucaæ takie ¿¹dania sieciowe:

• Produkty zapory sieciowej lub wirtualnej sieci prywatnej (VPN) firmy Checkpoint Software Technologies
• Program Microsoft Internet Security and Acceleration (ISA) Server
• Oprogramowanie Cisco VPN Client 5.0.0.0340

Uwaga Wed³ug danych z maja 2005 roku powy¿sza lista obejmuje produkty, które mog¹ odrzucaæ te ¿¹dania sieciowe. Jednak na powy¿szej liœcie mog³y nie zostaæ uwzglêdnione wszystkie mo¿liwe produkty, które przeprowadzaj¹ filtrowanie na poziomie aplikacji i mog¹ odrzucaæ ¿¹dania sieciowe. Sprzêt i oprogramowanie pochodz¹ce od innych producentów i przeprowadzaj¹ce filtrowanie na poziomie aplikacji równie¿ mog¹ odrzucaæ ¿¹dania zdalnego wywo³ywania procedur (RPC) pochodz¹ce z komputerów z systemem Windows Server 2003 z dodatkiem Service Pack 1 (SP1) lub Windows Vista.

Ten problem wystêpuje, poniewa¿ w systemach Windows Server 2003 z dodatkiem SP1 oraz Windows Vista do implementacji RPC dodano obs³ugê pewnych nowych sk³adni zwi¹zanych z transferem. Te nowe sk³adnie zwi¹zane z transferem s¹ zwane „negocjacj¹ wielu sk³adni zwi¹zanych z transferem”. U³atwiaj¹ one komputerom z systemami 32-bitowymi i 64-bitowymi dzia³anie przy znacznym obci¹¿eniu. Ponadto czêsto umo¿liwiaj¹ one szybsze dzia³anie komputerów z systemami 32-bitowymi i 64-bitowymi.

W szczególnoœci produkty zapory i sieci VPN, które nie akceptuj¹ wielokrotnej zawartoœci zwi¹zanej z prezentacj¹ w jednostce danych protoko³u (PDU) zwi¹zanej ze zdalnym wywo³ywaniem procedur (RPC), mog¹ wywo³ywaæ nastêpuj¹ce symptomy:

• Porzucanie ramek zdalnego wywo³ywania procedur w sieci
• Przedwczesne zamykanie po³¹czeñ z komputerami, na których jest uruchomiony system Windows Server 2003 z dodatkiem SP1 lub system Windows Vista

Jeœli operacje oparte na zdalnym wywo³ywaniu procedur nie s¹ pomyœlnie przesy³ane przez wirtualn¹ sieæ prywatn¹ lub zaporê sieciow¹ na komputerach z systemem Windows Server 2003 z dodatkiem SP1 lub Windows Vista bezpoœrednio po zainstalowaniu systemu operacyjnego, w celu rozwi¹zania tego problemu nale¿y skontaktowaæ siê z dostawc¹ zapory lub sieci VPN, aby sprawdziæ, czy s¹ dostêpne zaktualizowane wersje filtrów RPC tych produktów. Je¿eli operacje oparte na zdalnym wywo³ywaniu procedur s¹ blokowane przez filtry na komputerach z programami Microsoft Internet Security and Acceleration Server (ISA) 2000 lub ISA Server 2004 Standard Edition, zobacz nastêpuj¹cy artyku³ bazy wiedzy Microsoft Knowledge: Jeœli operacje oparte na zdalnym wywo³ywaniu procedur s¹ blokowane przez filtry produktów firmy Check Point Software, zobacz artyku³ SK30784 z bazy wiedzy Check Point Software SecureKnowledge lub odwiedŸ nastêpuj¹c¹ witrynê firmy Checkpoint Software w sieci Web:

W celu obejœcia tego problemu nale¿y skorzystaæ z jednej z nastêpuj¹cych metod.

Metoda 1

Mo¿na wy³¹czyæ filtry RPC w zaporach i sieciach VPN, o ile pozwalaj¹ na to wymagania sieciowe.

Metoda 2

Wa¿ne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotycz¹ce modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru mo¿e jednak byæ przyczyn¹ powa¿nych problemów. Dlatego nale¿y uwa¿nie wykonywaæ podane kroki. Aby zapewniæ dodatkow¹ ochronê, przed zmodyfikowaniem rejestru nale¿y wykonaæ jego kopiê zapasow¹. Dziêki temu bêdzie mo¿na przywróciæ rejestr w przypadku wyst¹pienia problemu. Aby uzyskaæ wiêcej informacji dotycz¹cych wykonywania kopii zapasowej i przywracania rejestru, kliknij nastêpuj¹cy numer artyku³u w celu wyœwietlenia tego artyku³u z bazy wiedzy Microsoft Knowledge Base:

Jeœli dzia³anie operacji opartych na zdalnym wywo³ywaniu procedur jest potrzebne natychmiast, a nie ma mo¿liwoœci zaktualizowania w odpowiednim czasie zapory i sieci VPN, nale¿y zainstalowaæ poprawkê opisan¹ w tej sekcji, a nastêpnie wykonaæ nastêpuj¹ce kroki.

Wa¿ne System Windows Vista nie wymaga poprawki. Nale¿y jednak wykonaæ te kroki, aby zmodyfikowaæ rejestr na komputerze z systemem Windows Vista.

1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a nastêpnie kliknij przycisk OK.
2. Zlokalizuj, a nastêpnie kliknij nastêpuj¹cy podklucz rejestru:
   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
3. Kliknij menu Edycja, wska¿ polecenie Nowy, a nastêpnie kliknij polecenie Wartoœæ DWORD.
4. Wpisz
   Server2003NegotiateDisable
   jako nazwê nowej wartoœci DWORD.
5. Kliknij prawym przyciskiem myszy klucz
   Server2003NegotiateDisable
   , a nastêpnie kliknij polecenie Modyfikuj.
6. W polu Dane wartoœci wpisz 1, a nastêpnie kliknij przycisk OK.
   
   Uwaga: To ustawienie wy³¹cza obs³ugê negocjacji czasu wi¹zania i wielokrotnej negocjacji sk³adni transferu.
7. Zamknij Edytor rejestru. Ponownie uruchom komputer.
8. Po zapewnieniu zgodnoœci urz¹dzeñ zapory i sieci VPN ze zdalnym wywo³ywaniem procedur na komputerze, ustaw wartoœæ wpisu
   Server2003NegotiateDisable
   w rejestrze równ¹ 0. Nastêpnie ponownie uruchom komputer.

System Windows Server 2003 z dodatkiem Service Pack 1

Firma Microsoft udostêpni³a obs³ugiwan¹ poprawkê. Jednak jest ona przeznaczona tylko do usuniêcia problemu opisanego w tym artykule. Tê poprawkê nale¿y stosowaæ tylko w tych systemach, w których wystêpuje opisany problem. Poprawka mo¿e byæ nadal w fazie testowania. Je¿eli dany system nie jest powa¿nie nara¿ony na ten problem, firma Microsoft zaleca, aby poczekaæ na nastêpn¹ aktualizacjê oprogramowania zawieraj¹c¹ tê poprawkê.

Jeœli poprawka jest dostêpna do pobrania, na pocz¹tku tego artyku³u z bazy wiedzy Knowledge Base jest umieszczona sekcja „Poprawka dostêpna do pobrania”. Jeœli nie ma tej sekcji, skontaktuj siê z dzia³em pomocy technicznej firmy Microsoft w celu uzyskania poprawki.

Uwaga W przypadku wyst¹pienia dodatkowych b³êdów lub koniecznoœci rozwi¹zania problemu mo¿e byæ wymagane utworzenie osobnego zlecenia us³ugi. Typowe op³aty za korzystanie z pomocy technicznej bêd¹ pobierane tylko w przypadku dodatkowych pytañ i problemów, których nie mo¿na rozwi¹zaæ przy u¿yciu tej poprawki. Aby uzyskaæ pe³n¹ listê numerów telefonów Pomocy technicznej firmy Microsoft lub utworzyæ osobne zlecenie us³ugi, odwiedŸ nastêpuj¹c¹ witrynê firmy Microsoft w sieci Web: Uwaga Sekcja „Poprawka dostêpna do pobrania” zawiera listê jêzyków, dla których ta poprawka jest dostêpna. Jeœli odpowiedni jêzyk nie jest widoczny, oznacza to, ¿e ta poprawka nie jest dostêpna dla tego jêzyka. Wersja anglojêzyczna tej poprawki ma atrybuty plików pokazane w poni¿szej tabeli (lub nowsze). Daty i godziny ostatniej modyfikacji plików podane zgodnie z czasem UTC (Coordinated Universal Time). S¹ one zamieniane na czas lokalny po wyœwietleniu informacji o pliku. Aby zobaczyæ ró¿nicê miêdzy czasem UTC i czasem lokalnym, nale¿y skorzystaæ z karty Strefa czasowa apletu Data i godzina w Panelu sterowania.

Informacje o plikach

System Windows Server 2003 z dodatkiem Service Pack 2

Wa¿ne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotycz¹ce modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru mo¿e jednak byæ przyczyn¹ powa¿nych problemów. Dlatego nale¿y uwa¿nie wykonywaæ podane kroki. Aby zapewniæ dodatkow¹ ochronê, przed zmodyfikowaniem rejestru nale¿y wykonaæ jego kopiê zapasow¹. Dziêki temu bêdzie mo¿na przywróciæ rejestr w przypadku wyst¹pienia problemu. Aby uzyskaæ wiêcej informacji dotycz¹cych wykonywania kopii zapasowej i przywracania rejestru, kliknij nastêpuj¹cy numer artyku³u w celu wyœwietlenia tego artyku³u z bazy wiedzy Microsoft Knowledge Base:

Ten problem zosta³ rozwi¹zany w dodatku Service Pack 2 dla systemu Windows Server 2003. Aby uzyskaæ wiêcej informacji dotycz¹cych dodatku Service Pack 2 dla systemu Windows Server 2003, kliknij nastêpuj¹cy numer artyku³u w celu wyœwietlenia tego artyku³u z bazy wiedzy Microsoft Knowledge Base: Po zastosowaniu dodatku SP2 dla systemu Windows Server 2003 nale¿y wykonaæ nastêpuj¹ce kroki w celu zmodyfikowania rejestru:

1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a nastêpnie kliknij przycisk OK.
2. Zlokalizuj i kliknij nastêpuj¹cy podklucz rejestru:
   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
3. Kliknij menu Edycja, wska¿ polecenie Nowy, a nastêpnie kliknij polecenie Wartoœæ DWORD.
4. Wpisz nazwê nowej wartoœci DWORD: Server2003NegotiateDisable
5. Kliknij prawym przyciskiem myszy wartoœæ Server2003NegotiateDisable, a nastêpnie kliknij polecenie Modyfikuj.
6. W polu Dane wartoœci wpisz wartoœæ 1, a nastêpnie kliknij przycisk OK.
   
   Uwaga To ustawienie wy³¹cza negocjacjê czasu powi¹zania i negocjacjê wielu sk³adni transferu.
7. Zamknij Edytor rejestru, a nastêpnie ponownie uruchom komputer.
8. Po zapewnieniu na komputerze zgodnoœci urz¹dzeñ zapór i sieci VPN z us³ugami zdalnego wywo³ywania procedur ustaw wartoœæ wpisu rejestru Server2003NegotiateDisable na 0. Nastêpnie ponownie uruchom komputer.

Gdy wystêpuje ten problem, klienci programu Microsoft Outlook nie mog¹ nawi¹zywaæ po³¹czeñ z serwerem Exchange. Dlatego administratorzy powinni oceniæ, czy definicje filtrów RPC w urz¹dzeniach infrastruktury sieciowej s¹ zgodne z ruchem RPC w systemach Windows Server 2003 z dodatkiem SP1 lub Windows Vista. Administrator powinien dokonaæ tej oceny przed wdro¿eniem urz¹dzeñ zapory i sieci VPN, systemu Windows Server 2003 z dodatkiem SP1 lub systemu Windows Vista w œrodowiskach produkcyjnych, w których takie urz¹dzenia sieciowe s¹ wdra¿ane.

Przeprowadzenie oceny jest szczególnie uzasadnione, gdy zapory sieciowe mog¹ filtrowaæ oparty na zdalnym wywo³aniu procedur ruch replikacji miêdzy kontrolerami domeny. Filtracja ruchu replikacyjnego opartego na zdalnym wywo³ywaniu procedur miêdzy kontrolerami domeny mo¿e byæ przyczyn¹ d³ugoterminowej przerwy w replikacji us³ugi Active Directory.

W szczególnoœci administratorzy powinni staraæ siê korzystaæ z oprogramowania monitoruj¹cego w celu upewnienia siê, ¿e wszystkie kontrolery domeny w lesie wykonuj¹ replikacjê przychodz¹c¹ w okresie istnienia reliktu liczonym w dniach. Domyœlnie okres istnienia reliktu wynosi 60 dni. Kontrolery domeny, które nie bêd¹ mog³y wykonaæ przychodz¹cej replikacji wiedzy o ka¿dym unikatowym usuniêciu w poprzednim okresie istnienia reliktu, pozostan¹ na zawsze niespójne pod wzglêdem tych zmian, dopóki nie zainterweniuje administrator.

Nastêpuj¹ce zdarzenia w dzienniku zdarzeñ us³ugi katalogowej informuj¹ o niepowodzeniu replikacji us³ugi Active Directory na komputerze z systemem Windows Server 2003:

• 1862: „the local DC has not recently received replication information from a number of domain controllers” (intersite) (lokalny kontroler domeny nie odbiera³ ostatnio informacji replikacyjnych od kilku kontrolerów domeny; w obrêbie lokacji)
• 1864: „the local DC has not recently received replication information from a number of domain controllers” (intrasite) (lokalny kontroler domeny nie odbiera³ ostatnio informacji replikacyjnych od kilku kontrolerów domeny; miêdzy lokacjami)
• 2042: „it has been too long since this machine last replicated with the named source” (TSL # of days) (up³yn¹³ zbyt d³ugi czas od ostatniej replikacji komputera z nazwanym Ÿród³em; liczba dni TSL)

Jeœli administratorzy nie dysponuj¹ rozwi¹zaniami do monitorowania, mog¹ u¿ywaæ poœwiadczeñ administratora przedsiêbiorstwa, aby codziennie uruchamiaæ nastêpuj¹ce polecenie REPADMIN systemu Windows Server 2003: Administratorzy mog¹ przegl¹daæ plik Showrepl.csv w programie takim jak Microsoft Excel, który rozdziela tekst oddzielony przecinkami. Niezwykle wa¿nym zadaniem jest te¿ rozwi¹zanie problemów niepowodzeñ replikacji na docelowych kontrolerach domeny, które najd³u¿ej nie s¹ w stanie wykonaæ replikacji przychodz¹cej.

Plik Repadmin.exe znajduje siê w pliku Support\Tools\Suptools.msi na noœniku instalacyjnym systemu Windows Server 2003.

Aby uzyskaæ dodatkowe informacje dotycz¹ce sposobu usuwania obiektów pokutuj¹cych, kliknij nastêpuj¹cy numer artyku³u w celu wyœwietlenia tego artyku³u z bazy wiedzy Microsoft Knowledge Base: Aby uzyskaæ wiêcej informacji o programach firmy Checkpoint Software Technologies, odwiedŸ nastêpuj¹c¹ witrynê firmy Checkpoint Software Technologies w sieci Web:Aby uzyskaæ wiêcej informacji o programie ISA Server, odwiedŸ nastêpuj¹c¹ witrynê firmy Microsoft w sieci Web:Firma Microsoft nie dysponuje ¿adn¹ wiedz¹ na temat jakichkolwiek routerów lub prze³¹czników wykonuj¹cych filtrowanie programowe, które mog³oby zak³óciæ operacje oparte na zdalnym wywo³ywaniu procedur w systemie Windows Server 2003 z dodatkiem SP1 lub w systemie Windows Vista.

Nastêpuj¹cy komunikat o b³êdzie jest zazwyczaj wyœwietlany przez sk³adniki, gdy ramki zdalnego wywo³ywania procedur z wieloma sk³adniami transferu s¹ odrzucane przez zaporê lub gdy sieæ VPN generuje b³¹d Windows 32 o kodzie 1727: Ten ogólny kod b³êdu mo¿e wynikaæ z wielu przyczyn i nie identyfikuje w unikatowy sposób blokowania ramek RPC przekazywanych z komputera z systemem Windows Server 2003 z dodatkiem SP1 lub z systemem Windows Vista.

Aby uzyskaæ informacje o specyfikacji DCE RPC, odwiedŸ nastêpuj¹c¹ witrynê organizacji Opengroup w sieci Web:Aby uzyskaæ informacje o obs³udze wielu sk³adni transferu w specyfikacji DCE RPC, odwiedŸ nastêpuj¹c¹ witrynê organizacji Opengroup w sieci Web:Produkty omówione w tym artykule s¹ wytwarzane przez producentów niezale¿nych od firmy Microsoft. Firma Microsoft nie udziela ¿adnych gwarancji, domyœlnych ani ¿adnego innego rodzaju, odnoœnie do wydajnoœci lub niezawodnoœci tych produktów.

Firma Microsoft potwierdzi³a, ¿e jest to problem wystêpuj¹cy w produktach firmy Microsoft wymienionych w sekcji „Informacje zawarte w tym artykule dotycz¹”. Ten problem zosta³ po raz pierwszy rozwi¹zany w dodatku Service Pack 2 dla systemu Windows Server 2003.