Některé brány firewall mohou odmítnout síťovou komunikaci z počítačů se systémem Windows Server 2003 Service Pack 1 nebo se systémem Windows Vista

Příznaky

Operace vzdáleného volání procedur mohou selhat, pokud některé brány firewall a sítě VPN odmítnout síťové požadavky. K tomuto odmítnutí dojde, pokud jsou síťové požadavky zadány z počítačů se systémem Microsoft Windows Server 2003 Service Pack 1 nebo Windows Vista. Tyto síťové požadavky mohou selhat v počítačích, kde použít Windows Server 2003 Service Pack 1 (SP1) do počítače se systémem Windows Server 2003 nebo výrobce OEM nebo maloobchodní instalační média obsahující aktualizaci SP1. Tyto produkty mohou odmítnout tyto síťové požadavky:
  • Brána firewall nebo virtuální privátní sítě (VPN) produkty společnosti Checkpoint Software Technologies
  • Microsoft Internet Security and Acceleration (ISA) Server
  • Cisco VPN Client 5.0.0.0340
Poznámka: Od května 2005 obsahuje výše uvedený seznam produkty, které mohou odmítnout tyto síťové požadavky. Tento seznam však nemusí zahrnovat všechny možné produkty, který provádí filtrování na úrovni aplikace a které mohou odmítnout síťové požadavky. Hardware a software od jiných výrobců, který provádí filtrování na úrovni aplikace může také odmítnout vzdálené procedury volání (RPC) požadavky z počítače se systémem Windows Server 2003 Service Pack 1 (SP1) nebo Windows Vista.

Příčina

K tomuto problému dochází, protože systém Windows Server 2003 SP1 nebo Windows Vista přidat podporu pro některé nové syntaxe převodu do implementace vzdáleného volání Procedur. Tyto nové syntaxe přenosu jsou známé jako "vyjednávání více syntaxí převodu." Pomáhají 32bitové a 64bitové počítače zpracovat větší pracovní vytížení. Navíc pomáhají často 32bitové a 64bitové počítače pracovat rychleji.


Konkrétně brány firewall a sítě VPN, které povolují více než jeden kontext prezentace v vazby RPC datové jednotky protokolu (PDU), mohou způsobit některé z následujících příznaků:
  • Přetažení rámce vzdáleného volání Procedur v síti
  • Předčasné ukončení připojení z počítačů se systémem Windows Server 2003 SP1 nebo systémem Windows Vista

Řešení

Chcete-li tento problém vyřešit, pokud operace vzdáleného volání procedur v počítačích se systémem Windows Server 2003 SP1 nebo systémem Windows Vista prostřednictvím sítě VPN nebo brány firewall selžou, ihned po instalaci aktualizace Windows Server 2003 SP1 nebo Windows Vista, obraťte se na brány firewall nebo virtuální privátní sítě dodavatele, pokud je k dispozici aktualizovaná verze filtru vzdáleného volání Procedur. Je-li operace vzdáleného volání procedur jsou blokovány na Microsoft Internet Security and Acceleration Server (ISA) 2000 nebo ISA Server 2004 Standard Edition počítače, naleznete v článku znalostní báze Microsoft Knowledge base:
887222 ISA Server vzdáleného volání Procedur filtr blokuje procedur po instalaci aktualizace Windows Server 2003 Service Pack 1 v počítači se systémem ISA Server 2004 nebo ISA Server 2000

Pokud jsou operace vzdáleného volání procedur blokovány filtry v produktech, naleznete v článku SK30784 znalostní zkontrolovat bod Software společnosti nebo naleznete následujícím webu společnosti Checkpoint Software:

Jak potíže obejít

Chcete-li tento problém vyřešit, použijte jednu z následujících metod.

Metoda 1

Procedur pro brány firewall a sítě VPN můžete zakázat, pokud síťové požadavky to umožňují.

Metoda 2

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows


Pokud potřebujete, aby operace vzdáleného volání Procedur fungovaly okamžitě a nemůžete rychle aktualizovat brány firewall a sítě VPN, nainstalujte opravu hotfix popsanou v této části a potom postupujte podle následujících kroků.

Důležité: Systém Windows Vista nevyžaduje opravu hotfix. Musí však postupujte takto upravit registr v počítačích se systémem Windows Vista.
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko
    Ok
  2. Vyhledejte a vyberte následující podklíč registru:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. V nabídce Úpravy , přejděte na
    Novýa potom klepněte na příkaz Hodnota DWORD.
  4. Zadejte Server2003NegotiateDisablejako název nové hodnoty DWORD.
  5. Klepněte pravým tlačítkem myši Server2003NegotiateDisablea potom klepněte na příkaz změnit.
  6. Do pole Údaj hodnoty zadejte
    1a klepněte na tlačítko OK.

    Poznámka: Toto nastavení zakáže 2048bitových doby vazby a vyjednávání více syntaxí přenosu.
  7. Ukončete Editor registru. Restartujte počítač.
  8. Když jsou brány firewall a počítače v síti VPN kompatibilní se vzdáleným voláním Procedur v počítači, nastavte hodnotu položky Server2003NegotiateDisablev registru na 0. Restartujte počítač.

Windows Server 2003 Service Pack 1

Společnost Microsoft má k dispozici podporovanou opravu hotfix. Tato oprava hotfix je však určena pouze problému popsanému v tomto článku. Použití této opravy hotfix pouze u systémů, ve kterých dochází k tomuto konkrétnímu problému. Tato oprava hotfix může být dále testována. Proto pokud nejste vážně ohrožen tímto problémem, doporučujeme počkat na další aktualizaci softwaru, která obsahuje tuto opravu hotfix.

Pokud je oprava hotfix k dispozici ke stažení, je v horní části tohoto článku znalostní báze Knowledge Base oddíl "Oprava Hotfix je dostupná ke stažení" . Pokud tato sekce není uvedena, obraťte se na Zákaznický servis a podporu společnosti Microsoft k získaní opravy hotfix.

Poznámka: Pokud nastanou další problémy nebo bude nutné další řešení potíží, bude možná třeba vytvořit další samostatný požadavek na služby. Běžná cena za technickou podporu se vztahuje k dodatečným otázkám podpory a k problémům, které se netýkají této konkrétní opravy hotfix. Úplný seznam telefonních čísel služeb zákazníkům společnosti Microsoft a podpoře nebo vytvořit zvláštní požadavek na službu naleznete na následujícím webu společnosti Microsoft:Poznámka: Ve formuláři „Oprava hotfix je dostupná ke stažení“ se zobrazují jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, to je protože oprava hotfix není k dispozici pro daný jazyk. Anglická verze této opravy hotfix má atributy souborů (nebo novější) uvedené v následující tabulce. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Při zobrazení informací o souboru je převeden na místní čas. Chcete-li najít rozdíl mezi časem UTC a místním časem, použijte kartu časové pásmo v položce datum a čas v okně Ovládací panely.
Informace o souborech
   Date        Version        Size       File name   Platform   ----------------------------------------------------------
05-03-2005 5.2.3790.2436 642,048 Rpcrt4.dll x86
05-03-2005 5.2.3790.2436 1,714,688 Rpcrt4.dll x64
05-03-2005 5.2.3790.2436 2,462,208 Rpcrt4.dll IA-64

Windows Server 2003 Service Pack 2

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows


Tento problém byl opraven v systému Windows Server 2003 Service Pack 2. Další informace o systému Windows Server 2003 Service Pack 2 klepněte na následující číslo článku databáze Microsoft Knowledge Base:

889100 jak získat nejnovější aktualizaci service pack pro systém Windows Server 2003

Po instalaci aktualizace Windows Server 2003 SP2, postupujte takto upravit registr:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko
    Ok
  2. Vyhledejte a vyberte následující podklíč registru:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. V nabídce Úpravy , přejděte na
    Novýa potom klepněte na příkaz Hodnota DWORD.
  4. Zadejte Server2003NegotiateDisablejako název nové hodnoty DWORD.
  5. Klepněte pravým tlačítkem myši Server2003NegotiateDisablea potom klepněte na příkaz změnit.
  6. Do pole Údaj hodnoty zadejte
    1a klepněte na tlačítko OK.

    Poznámka: Toto nastavení vypne vyjednávání doby vazby a vyjednávání více syntaxí přenosu.
  7. Ukončete Editor registru a restartujte počítač.
  8. Když jsou brány firewall a zařízení VPN kompatibilní se vzdáleným voláním Procedur v počítači, nastavte hodnotu pro Server2003NegotiateDisable v registru na 0. Restartujte počítač.

Další informace

Při tomto problému je k dispozici, aplikace Microsoft Outlook klienti nemohou připojit k serveru Exchange. Správci proto měli vyhodnotit, zda jsou definice filtrů vzdáleného volání Procedur v zařízeních síťové infrastruktury kompatibilní s Windows Server 2003 SP1 nebo Windows Vista RPC komunikace. Správce by měl provést toto vyhodnocení před nasazením brány firewall a sítě VPN zařízení, Windows Server 2003 SP1 nebo Windows Vista v provozním prostředí, kde se tato síťová zařízení používají.

Vyhodnocení je zvláště vhodné, pokud brány firewall mohou filtrovat přenosy vzdáleného volání procedur replikace mezi řadiči domény. Filtrace přenosy vzdáleného volání procedur replikace mezi řadiči domény může způsobit dlouhodobé přerušení replikace služby Active Directory.

Konkrétně Správci by měli použít monitorovací software a ujistěte se, že všechny řadiče domény v doménové struktuře provést příchozí replikaci v rámci postupné označení objektu jako neplatného počtu dní doby. Ve výchozím nastavení postupnou označení objektu jako neplatného počtu dní doby je 60 dnů. Řadiče domény, které nelze provést příchozí replikaci informací jednotlivých odstraněných v rámci předchozí neplatného počtu dní stále budou nekonzistentní pro tyto změny dokud nedojde k zásahu správce.

Události v protokolu událostí adresářové služby, které označují, že je chybné replikace služby Active Directory v řadičích domény se systémem Windows Server 2003 patří:
  • 1862: "Místní řadič domény neobdržel informace o replikaci z mnoha řadičů domény" (mezi sítěmi)
  • 1864: "Místní řadič domény neobdržel informace o replikaci z mnoha řadičů domény" (v rámci sítě)
  • . 2042: "byla příliš dlouhá od tohoto počítače replikován s názvem zdroje" (TSL počet dní)
Pokud správci nemají k dispozici monitorovací řešení, mohou použít pověření správce rozlehlé sítě a denně spustit následující příkaz systému Windows Server 2003 REPADMIN :
repadmin/showrepl * /csv > showrepl.csv

Správci mohou zobrazit soubor Showrepl.csv v programu, například Microsoft Excel, která analyzuje text oddělený čárkami. Nejdůležitější úkol zahrnuje vyřešení selhání replikace v cílových řadičích domény, u kterých selhala příchozí replikace pro co nejdelší dobu.

Repadmin.exe je umístěn v souboru Support\Tools\ Suptools.msi na instalačním médiu systému Windows Server 2003.

Další informace o odebrání permanentních objektů získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
870695 objekty zastaralé služby Active Directory generují ID události 1988 v systému Windows Server 2003

Další informace o programech společnosti Checkpoint Software Technologies naleznete na následujícím webu Checkpoint Software Technologies:Další informace o serveru ISA Server naleznete na následujícím webu společnosti Microsoft:Společnost Microsoft není vědoma existence žádných dalších směrovačů nebo přepínačů, které zajišťují filtrování na úrovni programů, které by mohlo narušovat operace vzdáleného volání Procedur v systému Windows Server 2003 SP1 nebo Windows Vista.

Následující chybová zpráva zobrazená součásti obvykle, pokud jsou rámce vzdáleného volání Procedur s více syntaxemi převodu odmítnuty bránou firewall nebo síť VPN systému Windows 32 chybu 1727:
Vzdálené volání procedury se nezdařilo a nebylo provedeno.
Tento kód generické chyby zahrnuje několik základních příčin a neidentifikuje jednoznačně blokující rámce vzdáleného volání Procedur v počítačích se systémem Windows Server 2003 SP1 nebo systémem Windows Vista.

Informace o specifikaci vzdáleného volání Procedur naleznete na následujícím webu skupiny Opengroup:Informace o podpoře více syntaxí přenosu ve specifikaci vzdáleného volání Procedur naleznete na následujícím webu skupiny Opengroup:Produkty třetích stran, které tento článek popisuje jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku, implicitně předpokládanou ani jinou týkající se výkonu nebo spolehlivosti těchto produktů.

Stav

Společnost Microsoft potvrdila, že se jedná o problém v produktech společnosti Microsoft, které jsou uvedeny v části "Platí pro".
Tento problém byl poprvé opraven v systému Windows Server 2003 Service Pack 2.
Vlastnosti

ID článku: 899148 - Poslední kontrola: 16. 1. 2017 - Revize: 2

Váš názor