На компьютерах с системой Windows Server 2003 с пакетом обновления 1 (SP1) или Windows Vista некоторые брандмауэры могут блокировать сетевой трафик

Переводы статьи Переводы статьи
Код статьи: 899148 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

Ошибки операций удаленного вызова процедур могут возникать в том случае, если брандмауэр и средства VPN блокируют сетевые запросы. Это происходит, если сетевые запросы отправляются с компьютеров с ОС Windows Server 2003 с пакетом обновления 1 (SP1) или Windows Vista. Сетевые запросы могут блокироваться в том случае, если на компьютерах под управлением Windows Server 2003 устанавливается пакет обновления 1 (SP1) либо ОЕМ или если установочный диск уже включает в себя пакет обновления. Сетевые запросы могут блокироваться следующими программами.
  • Брандмауэры и средства VPN производства компании Checkpoint Software Technologies
  • Microsoft Internet Security and Acceleration (ISA) Server
  • VPN-клиент Cisco 5.0.0.0340
Примечание.С мая 2005 г. в приведенный список включены программы, которые могут блокировать сетевые запросы. Однако данный список может включать в себя не все возможные программы с фильтрацией на уровне приложения, которые могут блокировать сетевые запросы. Аппаратное и программное обеспечение других производителей, выполняющее фильтрацию на уровне приложений, может также блокировать запросы удаленного вызова процедур (RPC) с компьютеров с ОС Windows Server 2003 с пакетом обновления 1 (SP1) или Windows Vista.

Причина

Эта проблема возникает из-за того, что в ОС Windows Server 2003 с пакетом обновления 1 (SP1) или Windows Vista добавляется поддержка некоторых новых синтаксисов передачи для работы RPC. Эти новые синтаксисы передачи известны как «согласование множественных синтаксисов передачи». Они помогают 32- и 64-разрядным компьютерам справляться с большими нагрузками. Кроме того, они часто способствуют быстродействию 32- и 64-разрядных компьютеров.

В частности, брандмауэры и средства VPN, допускающие присутствие более одного презентационного контекста в связанном элементе данных протокола RPC, могут служить причиной одного из следующих симптомов:
  • блокирование RPC-кадров в сети;
  • преждевременное закрытие подключений, устанавливаемых с компьютеров с ОС Windows Server 2003 с пакетом обновления 1 (SP1) или Windows Vista.

Решение

Чтобы устранить проблему, связанную с ошибкой выполнения операций удаленного вызова процедур на компьютерах с ОС Windows Server 2003 с пакетом обновления 1 (SP1) или Windows Vista в виртуальных частных сетях или на брандмауэрах после установки этих операционных систем, свяжитесь со своим поставщиком брандмауэра или виртуальной частной сети для получения обновленной версии RPC-фильтра. Если подобные операции блокируются фильтрами на компьютерах с Microsoft Internet Security and Acceleration Server (ISA) 2000 или ISA Server 2004 Standard Edition, см. статью базы знаний Майкрософт:
887222 Фильтр RPC ISA-сервера блокирует трафик RPC после установки пакета обновления 1 (SP1) для Windows Server 2003 на компьютер с ISA Server 2004 или ISA Server 2000 (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Если операции удаленного вызова процедур блокируются фильтрами в продуктах компании Check Point Software, обратитесь к статье SK30784 базы знаний Check Point Software или посетите следующий веб-узел компании Checkpoint Software:
http://www.checkpoint.com/

Временное решение

Для решения этой проблемы можно использовать один из перечисленных ниже способов.

Способ 1

На брандмауэрах и в VPN-продуктах можно отключить RPC-фильтры, если это допустимо требованиями к работе сети.

Способ 2

Внимание! В данный раздел, описание метода или задачи включены сведения об изменении параметров реестра, однако их неправильное изменение может привести к возникновению серьезных проблем. Поэтому при выполнении таких действий строго соблюдайте инструкции. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. Это позволит восстановить реестр при возникновении неполадок. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756 Создание резервной копии, редактирование и восстановление реестра Windows XP и Windows Server 2003


Если необходимо немедленно включить операции удаленного вызова процедур и при этом невозможно своевременно обновить брандмауэры и виртуальные частные сети, установите исправление, описанное в этом разделе, и выполните следующие действия.

Внимание! Для системы Windows Vista исправление не требуется. Тем не менее, для внесения изменений в реестр на компьютерах с системой Windows Vista необходимо выполнить следующие действия.
  1. Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку .
  2. Найдите и выберите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. В меню Правка выберите пункт Создать, а затем — Параметр DWORD.
  4. Введите следующее имя в качестве нового значения параметра DWORD:
    Server2003NegotiateDisable
  5. Щелкните правой кнопкой мыши
    Server2003NegotiateDisable
    и выберите команду Изменить.
  6. В поле Значение введите 1 и нажмите кнопку .

    Примечание. Эти настройки отключают согласование времени связывания и согласование множественных синтаксисов передачи.
  7. Закройте редактор реестра. Перезагрузите компьютер.
  8. После того, как брандмауэры и VPN-устройства станут совместимы со средством удаленного вызова процедур на компьютере, установите значение параметра
    Server2003NegotiateDisable
    на 0. После этого перезагрузите компьютер.

пакет обновления 1 (SP1) для Windows Server 2003

Корпорация Майкрософт выпустила исправление, однако оно предназначено исключительно для устранения проблемы, описанной в этой статье. Это исправление необходимо применять только в тех системах, в которых наблюдается данная проблема. Исправление может проходить дополнительное тестирование. По этой причине корпорация Майкрософт рекомендует во всех случаях, когда проблема не представляет особой важности, отложить ее решение до выхода ближайшего пакета обновления, содержащего это исправление.

Если исправление доступно для загрузки, в верхей части статьи базы знаний отображается раздел «Исправление доступно для загрузки». Если этот раздел не отображается, обратитесь в службу поддержки пользователей Майкрософт, чтобы получить данное исправление.

Примечание. Если возникли другие проблемы или необходимо устранить неполадки, возможно, потребуется создать отдельный запрос. Дополнительные услуги по технической поддержке, не связанные с данным исправлением, оплачиваются на стандартных условиях. Чтобы получить полный список телефонных номеров службы поддержки пользователей корпорации Майкрософт или создать отдельный запрос, посетите веб-узел корпорации Майкрософт по следующему адресу:
http://support.microsoft.com/contactus/?ws=support
Примечание. В форме «Исправление доступно для загрузки» отображаются языки, для которых доступно исправление. Если нужный язык не отображается, это означает, что исправление для данного языка отсутствует. Английская версия исправления содержит атрибуты файлов, приведенные в следующей таблице, или более поздние. Дата и время для файлов указаны в формате UTC. При просмотре сведений о файле в системе происходит перевод соответствующих значений в местное время. Чтобы узнать разницу между временем в формате UTC и местным временем, откройте вкладку Часовой пояс элемента Дата и время панели управления.
Сведения о файлах
   Дата        Версия        Размер       Имя файла   Платформа ---------------------------------------------------------- 05-03-2005  5.2.3790.2436   642,048   Rpcrt4.dll  x86 05-03-2005  5.2.3790.2436  1,714,688  Rpcrt4.dll  x64 05-03-2005  5.2.3790.2436  2,462,208  Rpcrt4.dll  IA-64

пакет обновления 2 (SP2) для Windows Server 2003

Внимание! В данный раздел, описание метода или задачи включены сведения об изменении параметров реестра, однако их неправильное изменение может привести к возникновению серьезных проблем. Поэтому при выполнении таких действий строго соблюдайте инструкции. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. Это позволит восстановить реестр при возникновении неполадок. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756 Создание резервной копии, редактирование и восстановление реестра Windows XP и Windows Server 2003


Данная проблема была исправлена в пакете обновления 2 (SP2) для Windows Server 2003. Дополнительные сведения о пакете обновления 2 (SP2) для Windows Server 2003 см. в следующей статье базы знаний Майкрософт:
889100 Получение последнего пакета обновления для Windows Server 2003
После установки пакета обновления 2 (SP2) для Windows Server 2003 необходимо внести изменения в системный реестр, выполнив следующие действия.
  1. Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
  2. Найдите и выберите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. В меню Правка выберите пункт Создать, а затем — Параметр DWORD.
  4. Введите Server2003NegotiateDisable в качестве имени нового значения параметра DWORD
  5. Щелкните параметр Server2003NegotiateDisable правой кнопкой мыши и выберите в появившемся меню пункт Изменить.
  6. В поле Значение введите 1 и нажмите кнопку ОК.

    Примечание. Эти настройки отключают согласование времени связывания и согласование множественных синтаксисов передачи.
  7. Закройте редактор реестра и перезагрузите компьютер.
  8. После того как брандмауэры и VPN-устройства станут совместимы со средством удаленного вызова процедур на компьютере, установите для параметра Server2003NegotiateDisable значение 0. После этого перезагрузите компьютер.

Дополнительная информация

При наличии этой проблемы клиенты Microsoft Outlook не могут подключиться к серверу Exchange. Поэтому администраторам рекомендуется проверить совместимость определений RPC-фильтров в устройствах инфраструктуры сети с RPC-трафиком системы Windows Server 2003 с пакетом обновления 1 (SP1) или Windows Vista. Администраторам следует выполнить эту проверку до развертывания брандмауэра или VPN-устройств, системы Windows Server 2003 с пакетом обновления 1 (SP1) или Windows Vista в рабочих средах, в которых применяются такие сетевые устройства.

Особенно полезной такая оценка может оказаться в случаях, когда брандмауэры могут фильтровать RPC-трафик при репликации между контроллерами домена. Фильтрация RPC-трафика при репликации между контроллерами домена может привести к длительному прерыванию репликации Active Directory.

Администраторам следует использовать специальные программы, обеспечивающие выполнение всеми контроллерами доменов репликацию входящих изменений в течение дней, число которых определено параметром Tombstone Lifetime. По умолчанию это число дней равно 60. Данные на контроллерах доменов, не реплицировавших входящие сведения о каждом уникальном удалении в течение предыдущего числа дней, определяемого параметром Tombstone Lifetime, будут противоречивыми до вмешательства администратора.

Если репликация Active Directory между контроллерами доменов Windows Server 2003 не происходит, в журнале событий службы каталогов появляются следующие события:
  • 1862: “локальный контроллер домена давно не получал сведений о репликации от ряда контроллеров доменов” (межузловое)
  • 1864: «локальный контроллер домена давно не получал сведений о репликации от ряда контроллеров доменов» (внутриузловое)
  • 2042: «прошло слишком много времени с момента последней репликации с источником» (число дней TSL)
Если администратор не использует специальные программы мониторинга, он может использовать права администратора предприятия для ежедневного запуска следующей команды Windows Server 2003: REPADMIN:
repadmin /showrepl * /csv >showrepl.csv
Администратор может просмотреть файл Showrepl.csv file в любой программе, использующей запятые для разделения элементов списка (например, Microsoft Excel). Задача с высоким приоритетом состоит в устранении ошибок репликации на контроллерах доменов назначения, на которых репликация входящих изменений не происходила дольше всего.

Программа Repadmin.exe находится в файле Support\Tools\ Suptools.msi установочного диска Windows Server 2003.

Дополнительные сведения об удалении устаревших объектов см. в следующей статье базы знаний Майкрософт:
870695 Устаревшие объекты Active Directory генерируют код события 1988 в Windows Server 2003 (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Дополнительные сведения о программах компании Checkpoint Software Technologies см. на следующем веб-узле Checkpoint Software Technologies:
http://www.checkpoint.com
Дополнительные сведения о ISA-сервере см. на следующем веб-узле Майкрософт:
http://www.microsoft.com/rus/isaserver/default.mspx
Корпорация Майкрософт не располагает сведениями о каких-либо маршрутизаторах или коммутаторах, выполняющих фильтрацию на программном уровне, которые могут создавать проблемы при выполнении операций удаленного вызова процедур в системе Windows Server 2003 с пакетом обновления 1 (SP1) или Windows Vista.

В случае если RPC-фреймы с множественным синтаксисом передачи блокируются брандмауэром либо VPN генерирует ошибку 1727 Windows 32, как правило, появляется следующее сообщение об ошибке.
Удаленный вызов процедур не был выполнен
Этот генерируемый код ошибки может быть вызван различными причинами и не обязательно обозначает блокирование RPC-кадров, поступающих с компьютеров с ОС Windows Server 2003 с пакетом обновления 1 (SP1) или Windows Vista.

Информацию о спецификациях DCE RPC можно получить на следующем веб-узле Opengroup:
http://www.opengroup.org/onlinepubs/009629399/toc.htm
Информацию о поддержке множественного синтаксиса передачи в спецификациях DCE RPC можно получить на следующем веб-узле Opengroup:
http://www.opengroup.org/onlinepubs/009629399/chap12.htm#tagcjh_17_06_04_03
В этой статье упомянуты программные продукты других производителей. Корпорация Майкрософт не предоставляет никаких гарантий относительно производительности или надежности этих продуктов.

Статус

Данное поведение является подтвержденной ошибкой продуктов Майкрософт, перечисленных в разделе «Информация в данной статье применима к». Первое исправление этой проблемы появилось в пакете обновления 2 (SP2) для Windows Server 2003.

Свойства

Код статьи: 899148 - Последний отзыв: 11 сентября 2008 г. - Revision: 11.2
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003 Service Pack 1 на следующих платформах
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Windows Vista Business
  • Windows Vista Home Basic
  • Windows Vista Enterprise
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
Ключевые слова: 
kbautohotfix kbwinserv2003sp2fix kbhotfixserver kbqfe kbwinservnetwork kbnetwork_techconfigissue kbconnectivity kbconfig kbexpertiseadvanced kbtshoot kbprb KB899148

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com