Niektóre zapory mogą odrzucać ruch sieciowy pochodzący z komputerów, na których uruchomiono system Windows Server 2003 z dodatkiem Service Pack 1 lub system Windows Vista

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 899148 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Symptomy

Operacje oparte na zdalnym wywoływaniu procedur (RPC, Remote Procedure Call) mogą kończyć się niepowodzeniem, jeśli określone produkty zapewniające funkcje zapory sieciowej i wirtualnej sieci prywatnej (VPN, Virtual Private Network) odrzucają żądania sieciowe. Te odmowy występują, jeśli żądania sieciowe pochodzą od komputerów z systemami Microsoft Windows Server 2003 z dodatkiem Service Pack 1 i Windows Vista. Te żądania sieciowe mogą kończyć się niepowodzeniem na komputerach, na których zastosowano dodatek Service Pack 1 (SP1) dla systemu Windows Server 2003, albo gdy nośnik instalacji OEM lub detalicznej zawiera aktualizacje dodatku SP1. Następujące produkty mogą odrzucać takie żądania sieciowe:
  • Produkty zapory sieciowej lub wirtualnej sieci prywatnej (VPN) firmy Checkpoint Software Technologies
  • Program Microsoft Internet Security and Acceleration (ISA) Server
  • Oprogramowanie Cisco VPN Client 5.0.0.0340
Uwaga Według danych z maja 2005 roku powyższa lista obejmuje produkty, które mogą odrzucać te żądania sieciowe. Jednak na powyższej liście mogły nie zostać uwzględnione wszystkie możliwe produkty, które przeprowadzają filtrowanie na poziomie aplikacji i mogą odrzucać żądania sieciowe. Sprzęt i oprogramowanie pochodzące od innych producentów i przeprowadzające filtrowanie na poziomie aplikacji również mogą odrzucać żądania zdalnego wywoływania procedur (RPC) pochodzące z komputerów z systemem Windows Server 2003 z dodatkiem Service Pack 1 (SP1) lub Windows Vista.

Przyczyna

Ten problem występuje, ponieważ w systemach Windows Server 2003 z dodatkiem SP1 oraz Windows Vista do implementacji RPC dodano obsługę pewnych nowych składni związanych z transferem. Te nowe składnie związane z transferem są zwane „negocjacją wielu składni związanych z transferem”. Ułatwiają one komputerom z systemami 32-bitowymi i 64-bitowymi działanie przy znacznym obciążeniu. Ponadto często umożliwiają one szybsze działanie komputerów z systemami 32-bitowymi i 64-bitowymi.

W szczególności produkty zapory i sieci VPN, które nie akceptują wielokrotnej zawartości związanej z prezentacją w jednostce danych protokołu (PDU) związanej ze zdalnym wywoływaniem procedur (RPC), mogą wywoływać następujące symptomy:
  • Porzucanie ramek zdalnego wywoływania procedur w sieci
  • Przedwczesne zamykanie połączeń z komputerami, na których jest uruchomiony system Windows Server 2003 z dodatkiem SP1 lub system Windows Vista

Rozwiązanie

Jeśli operacje oparte na zdalnym wywoływaniu procedur nie są pomyślnie przesyłane przez wirtualną sieć prywatną lub zaporę sieciową na komputerach z systemem Windows Server 2003 z dodatkiem SP1 lub Windows Vista bezpośrednio po zainstalowaniu systemu operacyjnego, w celu rozwiązania tego problemu należy skontaktować się z dostawcą zapory lub sieci VPN, aby sprawdzić, czy są dostępne zaktualizowane wersje filtrów RPC tych produktów. Jeżeli operacje oparte na zdalnym wywoływaniu procedur są blokowane przez filtry na komputerach z programami Microsoft Internet Security and Acceleration Server (ISA) 2000 lub ISA Server 2004 Standard Edition, zobacz następujący artykuł bazy wiedzy Microsoft Knowledge:
887222 Po zainstalowaniu dodatku Service Pack 1 dla systemu Windows Server 2003 na komputerze, na którym działa program ISA Server 2004 lub ISA Server 2000, filtr RPC programu ISA Server blokuje ruch RPC (j. ang.)
Jeśli operacje oparte na zdalnym wywoływaniu procedur są blokowane przez filtry produktów firmy Check Point Software, zobacz artykuł SK30784 z bazy wiedzy Check Point Software SecureKnowledge lub odwiedź następującą witrynę firmy Checkpoint Software w sieci Web:
http://www.checkpoint.com/

Obejście problemu

W celu obejścia tego problemu należy skorzystać z jednej z następujących metod.

Metoda 1

Można wyłączyć filtry RPC w zaporach i sieciach VPN, o ile pozwalają na to wymagania sieciowe.

Metoda 2

Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane kroki. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonywać kopię zapasową rejestru, edytować go i przywracać w systemach Windows XP i Windows Server 2003


Jeśli działanie operacji opartych na zdalnym wywoływaniu procedur jest potrzebne natychmiast, a nie ma możliwości zaktualizowania w odpowiednim czasie zapory i sieci VPN, należy zainstalować poprawkę opisaną w tej sekcji, a następnie wykonać następujące kroki.

Ważne System Windows Vista nie wymaga poprawki. Należy jednak wykonać te kroki, aby zmodyfikować rejestr na komputerze z systemem Windows Vista.
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
  2. Zlokalizuj, a następnie kliknij następujący podklucz rejestru:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. Kliknij menu Edycja, wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
  4. Wpisz
    Server2003NegotiateDisable
    jako nazwę nowej wartości DWORD.
  5. Kliknij prawym przyciskiem myszy klucz
    Server2003NegotiateDisable
    , a następnie kliknij polecenie Modyfikuj.
  6. W polu Dane wartości wpisz 1, a następnie kliknij przycisk OK.

    Uwaga: To ustawienie wyłącza obsługę negocjacji czasu wiązania i wielokrotnej negocjacji składni transferu.
  7. Zamknij Edytor rejestru. Ponownie uruchom komputer.
  8. Po zapewnieniu zgodności urządzeń zapory i sieci VPN ze zdalnym wywoływaniem procedur na komputerze, ustaw wartość wpisu
    Server2003NegotiateDisable
    w rejestrze równą 0. Następnie ponownie uruchom komputer.

System Windows Server 2003 z dodatkiem Service Pack 1

Firma Microsoft udostępniła obsługiwaną poprawkę. Jednak jest ona przeznaczona tylko do usunięcia problemu opisanego w tym artykule. Tę poprawkę należy stosować tylko w tych systemach, w których występuje opisany problem. Poprawka może być nadal w fazie testowania. Jeżeli dany system nie jest poważnie narażony na ten problem, firma Microsoft zaleca, aby poczekać na następną aktualizację oprogramowania zawierającą tę poprawkę.

Jeśli poprawka jest dostępna do pobrania, na początku tego artykułu z bazy wiedzy Knowledge Base jest umieszczona sekcja „Poprawka dostępna do pobrania”. Jeśli nie ma tej sekcji, skontaktuj się z działem pomocy technicznej firmy Microsoft w celu uzyskania poprawki.

Uwaga W przypadku wystąpienia dodatkowych błędów lub konieczności rozwiązania problemu może być wymagane utworzenie osobnego zlecenia usługi. Typowe opłaty za korzystanie z pomocy technicznej będą pobierane tylko w przypadku dodatkowych pytań i problemów, których nie można rozwiązać przy użyciu tej poprawki. Aby uzyskać pełną listę numerów telefonów Pomocy technicznej firmy Microsoft lub utworzyć osobne zlecenie usługi, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://support.microsoft.com/contactus/?ws=support
Uwaga Sekcja „Poprawka dostępna do pobrania” zawiera listę języków, dla których ta poprawka jest dostępna. Jeśli odpowiedni język nie jest widoczny, oznacza to, że ta poprawka nie jest dostępna dla tego języka. Wersja anglojęzyczna tej poprawki ma atrybuty plików pokazane w poniższej tabeli (lub nowsze). Daty i godziny ostatniej modyfikacji plików podane zgodnie z czasem UTC (Coordinated Universal Time). Są one zamieniane na czas lokalny po wyświetleniu informacji o pliku. Aby zobaczyć różnicę między czasem UTC i czasem lokalnym, należy skorzystać z karty Strefa czasowa apletu Data i godzina w Panelu sterowania.
Informacje o plikach
   Data        Wersja        Rozmiar       Nazwa pliku   Platforma ---------------------------------------------------------- 05-03-2005  5.2.3790.2436   642 048   Rpcrt4.dll  x86 05-03-2005  5.2.3790.2436  1 714 688  Rpcrt4.dll  x64 05-03-2005  5.2.3790.2436  2 462 208  Rpcrt4.dll  IA-64

System Windows Server 2003 z dodatkiem Service Pack 2

Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane kroki. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonywać kopię zapasową rejestru, edytować go i przywracać w systemach Windows XP i Windows Server 2003


Ten problem został rozwiązany w dodatku Service Pack 2 dla systemu Windows Server 2003. Aby uzyskać więcej informacji dotyczących dodatku Service Pack 2 dla systemu Windows Server 2003, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
889100 Jak uzyskać najnowszy dodatek Service Pack dla systemu Windows Server 2003
Po zastosowaniu dodatku SP2 dla systemu Windows Server 2003 należy wykonać następujące kroki w celu zmodyfikowania rejestru:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
  2. Zlokalizuj i kliknij następujący podklucz rejestru:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. Kliknij menu Edycja, wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
  4. Wpisz nazwę nowej wartości DWORD: Server2003NegotiateDisable
  5. Kliknij prawym przyciskiem myszy wartość Server2003NegotiateDisable, a następnie kliknij polecenie Modyfikuj.
  6. W polu Dane wartości wpisz wartość 1, a następnie kliknij przycisk OK.

    Uwaga To ustawienie wyłącza negocjację czasu powiązania i negocjację wielu składni transferu.
  7. Zamknij Edytor rejestru, a następnie ponownie uruchom komputer.
  8. Po zapewnieniu na komputerze zgodności urządzeń zapór i sieci VPN z usługami zdalnego wywoływania procedur ustaw wartość wpisu rejestru Server2003NegotiateDisable na 0. Następnie ponownie uruchom komputer.

Więcej informacji

Gdy występuje ten problem, klienci programu Microsoft Outlook nie mogą nawiązywać połączeń z serwerem Exchange. Dlatego administratorzy powinni ocenić, czy definicje filtrów RPC w urządzeniach infrastruktury sieciowej są zgodne z ruchem RPC w systemach Windows Server 2003 z dodatkiem SP1 lub Windows Vista. Administrator powinien dokonać tej oceny przed wdrożeniem urządzeń zapory i sieci VPN, systemu Windows Server 2003 z dodatkiem SP1 lub systemu Windows Vista w środowiskach produkcyjnych, w których takie urządzenia sieciowe są wdrażane.

Przeprowadzenie oceny jest szczególnie uzasadnione, gdy zapory sieciowe mogą filtrować oparty na zdalnym wywołaniu procedur ruch replikacji między kontrolerami domeny. Filtracja ruchu replikacyjnego opartego na zdalnym wywoływaniu procedur między kontrolerami domeny może być przyczyną długoterminowej przerwy w replikacji usługi Active Directory.

W szczególności administratorzy powinni starać się korzystać z oprogramowania monitorującego w celu upewnienia się, że wszystkie kontrolery domeny w lesie wykonują replikację przychodzącą w okresie istnienia reliktu liczonym w dniach. Domyślnie okres istnienia reliktu wynosi 60 dni. Kontrolery domeny, które nie będą mogły wykonać przychodzącej replikacji wiedzy o każdym unikatowym usunięciu w poprzednim okresie istnienia reliktu, pozostaną na zawsze niespójne pod względem tych zmian, dopóki nie zainterweniuje administrator.

Następujące zdarzenia w dzienniku zdarzeń usługi katalogowej informują o niepowodzeniu replikacji usługi Active Directory na komputerze z systemem Windows Server 2003:
  • 1862: „the local DC has not recently received replication information from a number of domain controllers” (intersite) (lokalny kontroler domeny nie odbierał ostatnio informacji replikacyjnych od kilku kontrolerów domeny; w obrębie lokacji)
  • 1864: „the local DC has not recently received replication information from a number of domain controllers” (intrasite) (lokalny kontroler domeny nie odbierał ostatnio informacji replikacyjnych od kilku kontrolerów domeny; między lokacjami)
  • 2042: „it has been too long since this machine last replicated with the named source” (TSL # of days) (upłynął zbyt długi czas od ostatniej replikacji komputera z nazwanym źródłem; liczba dni TSL)
Jeśli administratorzy nie dysponują rozwiązaniami do monitorowania, mogą używać poświadczeń administratora przedsiębiorstwa, aby codziennie uruchamiać następujące polecenie REPADMIN systemu Windows Server 2003:
repadmin /showrepl * /csv >showrepl.csv
Administratorzy mogą przeglądać plik Showrepl.csv w programie takim jak Microsoft Excel, który rozdziela tekst oddzielony przecinkami. Niezwykle ważnym zadaniem jest też rozwiązanie problemów niepowodzeń replikacji na docelowych kontrolerach domeny, które najdłużej nie są w stanie wykonać replikacji przychodzącej.

Plik Repadmin.exe znajduje się w pliku Support\Tools\Suptools.msi na nośniku instalacyjnym systemu Windows Server 2003.

Aby uzyskać dodatkowe informacje dotyczące sposobu usuwania obiektów pokutujących, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
870695 Nieaktualne obiekty usługi Active Directory generują zdarzenie o identyfikatorze 1988 w systemie Windows Server 2003 (j. ang.)
Aby uzyskać więcej informacji o programach firmy Checkpoint Software Technologies, odwiedź następującą witrynę firmy Checkpoint Software Technologies w sieci Web:
http://www.checkpoint.com
Aby uzyskać więcej informacji o programie ISA Server, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/isaserver/default.mspx
Firma Microsoft nie dysponuje żadną wiedzą na temat jakichkolwiek routerów lub przełączników wykonujących filtrowanie programowe, które mogłoby zakłócić operacje oparte na zdalnym wywoływaniu procedur w systemie Windows Server 2003 z dodatkiem SP1 lub w systemie Windows Vista.

Następujący komunikat o błędzie jest zazwyczaj wyświetlany przez składniki, gdy ramki zdalnego wywoływania procedur z wieloma składniami transferu są odrzucane przez zaporę lub gdy sieć VPN generuje błąd Windows 32 o kodzie 1727:
Zdalne wywołanie procedur nie powiodło się i nie zostało wykonane
Ten ogólny kod błędu może wynikać z wielu przyczyn i nie identyfikuje w unikatowy sposób blokowania ramek RPC przekazywanych z komputera z systemem Windows Server 2003 z dodatkiem SP1 lub z systemem Windows Vista.

Aby uzyskać informacje o specyfikacji DCE RPC, odwiedź następującą witrynę organizacji Opengroup w sieci Web:
http://www.opengroup.org/onlinepubs/009629399/toc.htm
Aby uzyskać informacje o obsłudze wielu składni transferu w specyfikacji DCE RPC, odwiedź następującą witrynę organizacji Opengroup w sieci Web:
http://www.opengroup.org/onlinepubs/009629399/chap12.htm#tagcjh_17_06_04_03
Produkty omówione w tym artykule są wytwarzane przez producentów niezależnych od firmy Microsoft. Firma Microsoft nie udziela żadnych gwarancji, domyślnych ani żadnego innego rodzaju, odnośnie do wydajności lub niezawodności tych produktów.

Stan

Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Informacje zawarte w tym artykule dotyczą”. Ten problem został po raz pierwszy rozwiązany w dodatku Service Pack 2 dla systemu Windows Server 2003.

Właściwości

Numer ID artykułu: 899148 - Ostatnia weryfikacja: 11 września 2008 - Weryfikacja: 11.2
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows Server 2003 Service Pack 1 na następujących platformach
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Windows Vista Business
  • Windows Vista Home Basic
  • Windows Vista Enterprise
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
Słowa kluczowe: 
kbautohotfix kbwinserv2003sp2fix kbhotfixserver kbqfe kbwinservnetwork kbnetwork_techconfigissue kbconnectivity kbconfig kbexpertiseadvanced kbtshoot kbprb KB899148

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com