Einige Firewalls lassen keinen Netzwerkverkehr zu, der von Computern mit Windows Server 2003 Service Pack 1 oder Windows Vista-Computern stammt

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
899148 Some firewalls may reject network traffic that originates from Windows Server 2003 Service Pack 1-based or Windows Vista-based computers

Problembeschreibung

RPC-Vorgänge (RPC = Remote Procedure Call) schlagen möglicherweise fehl, wenn bestimmte Firewalls und VPN-Produkte (VPN = Virtual Private Network) Netzwerkanfragen blockieren. Die Vorgänge werden dann blockiert, wenn die Netzwerkanfragen von Computern mit Microsoft Windows Server 2003 Service Pack 1 oder Windows Vista-Computern stammen. Diese Netzwerkanfragen schlagen möglicherweise auf Windows Server 2003-Computern fehl, auf die Windows Server 2003 Service Pack 1 (SP1) angewendet wird, oder wenn in Ihrem OEM- oder Einzelhandels-Installationsmedium SP1-Updates enthalten sind. Die folgenden Produkte lassen möglicherweise keine Netzwerkanfragen zu:
  • Firewall- oder VPN-Produkte von Checkpoint Software Technologies
  • Microsoft Internet Security & Acceleration (ISA) Server
  • Cisco VPN Client 5.0.0.0340
Hinweis: Ab Mai 2005 beinhaltet die vorangegangene Liste Produkte, die diese Netzwerkanfragen möglicherweise ablehnen. Die vorangegangene Liste enthält unter Umständen nicht alle Produkte, die eine Filterung auf Anwendungsebene durchführen und Netzwerkanfragen ablehnen können. Auch Hardware und Software von anderen Herstellern, die eine Filterung auf Anwendungsebene durchführen, kann RPC-Anfragen von Windows Server 2003 SP1- oder Windows Vista-Computern ablehnen.

Ursache

Dieses Problem tritt auf, weil bei Windows Server 2003 SP1 oder Windows Vista Unterstützung für einige neue Transfersyntaxen für die RPC-Implementierung bereitgestellt wird. Diese neuen Transfersyntaxen werden als "Aushandlung von Mehrfach-Transfersyntaxen" (multiple transfer syntax negotiation) bezeichnet. Sie helfen 32-Bit- und 64-Bit-Computern hohe Arbeitslasten zu bewältigen. Außerdem beschleunigen sie die Rechenprozesse von 32-Bit- und 64-Bit-Computern.


Besonders bei Firewalls und VPN-Produkten, die mehr als ein Paar aus abstrakter Syntax und Transfersyntax ("Presentation Context") in einer gebundenen RPC-Protokolldateneinheit zulassen, können die folgenden Symptome auftreten:
  • RPC-Frames werden im Netzwerk blockiert
  • Verbindungen von Windows Server 2003 SP1- oder Windows Vista-Computern werden frühzeitig beendet

Lösung

Wenn RPC-Vorgänge auf Windows Server 2003 SP1- oder Windows Vista-Computern sofort nach der Installation von Windows Server 2003 SP1 oder Windows Vista über ein VPN oder eine Firewall fehlschlagen, wenden Sie sich zur Behebung dieses Problems an Ihren Firewall- oder VPN-Händler, um herauszufinden, ob eine aktualisierte Version des RPC-Filters zur Verfügung steht. Wenn RPC-Vorgänge von Filtern auf Computern mit Microsoft Internet Security and Acceleration Server (ISA) 2000 oder ISA Server 2004 Standard Edition blockiert werden, finden Sie Informationen dazu im folgenden Artikel der Microsoft Knowledge Base:
887222 Der ISA Server RPC Filter-Block-RPC-Verkehr, nachdem Windows Server 2003 Service Pack 1 auf einem Computer installiert wird, auf dem ISA Server 2004 oder ISA Server 2000 ausgeführt werden
Wenn RPC-Vorgänge von Filtern auf Check Point Software-Produkten blockiert werden, finden Sie Informationen dazu im Check Point Software SecureKnowledge-Artikel SK30784 oder auf der folgenden Checkpoint Software-Website:

Abhilfe

Verwenden Sie eine der folgenden Methoden, um dieses Problem zu umgehen:

Methode 1

Sie können RPC-Filter auf Firewalls oder VPN-Produkten deaktivieren, wenn die Netzwerkanforderungen dies erlauben.

Methode 2

Wichtig: Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Ändern der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung eine Sicherungskopie der Registrierung erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Unter Windows XP und Windows Server 2003 eine Sicherungskopie der Registrierung erstellen und die Registrierung bearbeiten und wiederherstellen


Wenn RPC-Vorgänge sofort funktionieren müssen und Sie Firewalls und Virtuelle Private Netzwerke nicht rechtzeitig aktualisieren können, installieren Sie den in diesem Abschnitt beschriebenen Hotfix, und führen Sie dann folgende Schritte durch.


Wichtig: In Windows Vista ist kein Hotfix erforderlich. Sie müssen jedoch auf Windows Vista-Computern die Registrierung ändern, indem Sie folgendermaßen vorgehen:
  1. Klicken Sie auf Start und auf Ausführen, geben Sie regedit ein, und klicken Sie auf OK.
  2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie auf DWORD-Wert.
  4. Geben Sie als Namen für den neuen DWORD-Wert Server2003NegotiateDisable ein.
  5. Klicken Sie mit der rechten Maustaste auf Server2003NegotiateDisable, und klicken Sie auf Ändern.
  6. Geben Sie im Feld Wert den Wert 1 ein, und klicken Sie auf OK.


    Hinweis: Diese Einstellung deaktiviert die Aushandlung der Zeitbindung und die Aushandlung von Mehrfach-Transfersyntaxen.
  7. Beenden Sie den Registrierungs-Editor, und starten Sie den Computer neu.
  8. Wenn die Firewalls und VPN-Geräte auf dem Computer RPC-kompatibel sind, setzen Sie den Wert für den Registrierungseintrag Server2003NegotiateDisable auf 0. Starten Sie anschließend den Computer neu.

Windows Server 2003 Service Pack 1

Ein Hotfix zur Behebung des Problems ist bei Microsoft erhältlich. Der Hotfix ist jedoch nur zur Behebung des in diesem Artikel beschriebenen Problems vorgesehen. Deshalb sollten Sie nur Systeme aktualisieren, bei denen dieses spezielle Problem auftritt. Der Hotfix wird unter Umständen zu einem späteren Zeitpunkt weiteren Tests unterzogen. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfehlen wir, auf das nächste Softwareupdate zu warten, das diesen Hotfix enthält.


Falls der Hotfix zum Download zur Verfügung steht, finden Sie am Anfang dieses Knowledge Base-Artikels den Hinweis "Hotfix-Download ist verfügbar". Ist dies nicht der Fall, wenden Sie sich an die Kundenbetreuung bzw. den Support von Microsoft, um den Hotfix zu erhalten.


Hinweis: Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Für zusätzliche Supportanfragen und -belange, die sich nicht auf diesen speziellen Hotfix beziehen, fallen die üblichen Supportgebühren an. Eine vollständige Liste mit Telefonnummern des technischen Supports sowie die Möglichkeit zum Erstellen einer separaten Serviceanfrage finden Sie auf der folgenden Microsoft-Website:
Hinweis: Das Formular "Hotfix-Anfrage" zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, steht der Hotfix für Ihre Sprache nicht zur Verfügung.
Die englische Version dieses Hotfixes weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie die Dateiinformationen anzeigen, werden diese Angaben in die lokale Zeit konvertiert. Den Unterschied zwischen UTC-Zeit und lokaler Zeit können Sie in der Systemsteuerung unter Datum und Uhrzeit mithilfe der Angaben auf der Registerkarte Zeitzone ermitteln.
Dateiinformationen

Datum Version Größe Dateiname Plattform
-----------------------------------------------------------
05.03.2005 5.2.3790.2436 642.048 Rpcrt4.dll x86
05.03.2005 5.2.3790.2436 1.714.688 Rpcrt4.dll x64
05.03.2005 5.2.3790.2436 2.462.208 Rpcrt4.dll IA-64

Windows Server 2003 Service Pack 2

Wichtig: Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Ändern der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung eine Sicherungskopie der Registrierung erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Unter Windows XP und Windows Server 2003 eine Sicherungskopie der Registrierung erstellen und die Registrierung bearbeiten und wiederherstellen


Dieses Problem wurde in Windows Server 2003 Service Pack 2 behoben.
Weitere Informationen zu Windows Server 2003 Service Pack 2 finden Sie im folgenden Artikel der Microsoft Knowledge Base:

889100 So erhalten Sie das neueste Service Pack für Windows Server 2003
Nach der Installation von Windows Server 2003 SP2 müssen Sie folgendermaßen vorgehen, um die Registrierung zu ändern:
  1. Klicken Sie auf Start und auf Ausführen, geben Sie regedit ein, und klicken Sie auf OK.
  2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie auf DWORD-Wert.
  4. Geben Sie Server2003NegotiateDisable als Namen für den neuen DWORD-Wert ein.
  5. Klicken Sie mit der rechten Maustaste auf Server2003NegotiateDisable, und klicken Sie auf Ändern.
  6. Geben Sie im Feld Wert den Wert 1 ein, und klicken Sie auf OK.


    Hinweis: Diese Einstellung deaktiviert die Aushandlung der Zeitbindung und die Aushandlung von Mehrfach-Transfersyntaxen.
  7. Beenden Sie den Registrierungs-Editor, und starten Sie den Computer neu.
  8. Wenn die Firewalls und VPN-Geräte auf dem Computer RPC-kompatibel sind, setzen Sie den Wert für den Registrierungseintrag "Server2003NegotiateDisable" auf 0. Starten Sie anschließend den Computer neu.

Weitere Informationen

Wenn dieses Problem besteht, können Microsoft Outlook-Clients keine Verbindung zum Exchange-Server herstellen. Deshalb sollten Administratoren überprüfen, ob die Definitionen von RPC-Filtern in Netzwerkinfrastruktur-Geräten mit Windows Server 2003 SP1 oder Windows Vista RPC-Verkehr kompatibel sind. Administratoren sollten diese Überprüfung in der Produktionsumgebung, in der solche Netzwerkgeräte verwendet werden, vornehmen, bevor sie die Firewall/VPN-Geräte, Windows Server 2003 SP1 oder Windows Vista bereitstellen.


Die Überprüfung ist besonders dann angebracht, wenn Firewalls RPC-Replikationsverkehr zwischen Domänencontrollern filtern können. Die Filterung von RPC-Replikationsverkehr zwischen Domänencontrollern kann zu einer langfristigen Unterbrechung der Active Directory-Replikation führen.


Administratoren sollten, wenn möglich, Überwachungssoftware verwenden, um sicherzustellen, dass alle Domänencontroller in einer Gesamtstruktur innerhalb der durch die Tombstone-Lebensdauer definierten Anzahl von Tagen eine eingehende Replikation durchführen. Die Tombstone-Lebensdauer beträgt standardmäßig 60 Tage. Domänencontroller, die keine eingehende Replikation der Information über jede einmalige Löschung innerhalb der vorausgegangenen durch die Tombstone-Lebensdauer definierten Anzahl von Tagen durchführen können, werden solange hinsichtlich dieser Änderungen inkonsistent bleiben, bis ein Administrator einschreitet.


Zu den Ereignissen im Verzeichnisdienst-Ereignisprotokoll, die anzeigen, dass eine Active Directory-Replikation auf einem Windows Server 2003-Domänencontroller fehlschlägt, gehören:
  • 1862: "the local DC has not recently received replication information from a number of domain controllers" (intersite) ("der lokale DC hat kürzlich keine Replikationsinformationen von einer Anzahl von Domänencontrollern erhalten" (Intersite))
  • 1864: "the local DC has not recently received replication information from a number of domain controllers" (intrasite) ("der lokale DC hat kürzlich keine Replikationsinformationen von einer Anzahl von Domänencontrollern erhalten" (Intrasite))
  • 2042: "it has been too long since this machine last replicated with the named source" (TSL # of days) ("es ist zuviel Zeit vergangen, seit dieser Computer eine Replikation mit einer benannten Quelle durchgeführt hat" (TSL-Dauer in Tagen))
Wenn Administratoren keine Überwachungslösung zur Verfügung steht, können sie die Unternehmensadministratorinformationen verwenden, um täglich den folgenden Windows Server 2003 REPADMIN-Befehl auszuführen:
repadmin /showrepl * /csv >showrepl.csv
Administratoren können die Datei "Showrepl.csv" in einem Programm anzeigen, das kommagetrennten Text analysiert, wie beispielsweise Microsoft Excel. Zu Tasks mit hoher Priorität zählt das Beheben von fehlgeschlagenen Replikationen auf Zieldomänencontrollern, bei denen eingehende Replikation lange Zeit fehlgeschlagen ist.


Die Datei "Repadmin.exe" befindet sich in der Datei "Support\Tools\Suptools.msi" auf dem Windows Server 2003-Installationsmedium.


Weitere Informationen zum Entfernen von verbleibenden Objekten finden Sie im folgenden Artikel der Microsoft Knowledge Base:
870695 Veraltete Active Directory-Objekte generieren Ereigniskennung 1988 in Windows Server 2003
Weitere Informationen über Programme von Checkpoint Software Technologies erhalten Sie auf folgender Website von Checkpoint Software Technologies:
Weitere Informationen zu ISA Server finden Sie auf folgender Microsoft-Website:
Microsoft sind keine Fälle von Routern oder Switches bekannt, die eine Filterung auf Anwendungsebene durchführen und mit RPC-Vorgängen in Windows Server 2003 SP1 oder in Windows Vista in Konflikt stehen.


Die folgende Fehlermeldung wird normalerweise von Komponenten angezeigt, wenn RPC-Frames mit Mehrfach-Transfersyntaxen von einer Firewall blockiert werden oder ein VPN den Windows 32-Fehler 1727 generiert:
Der Remoteprozeduraufruf ist fehlgeschlagen und wurde nicht ausgeführt.
Dieser allgemeine Fehlercode hat mehrere Ursachen und weist nicht eindeutig auf die Blockierung von RPC-Frames von Windows Server 2003- oder Windows Vista-Computern hin.


Informationen zur DCE RPC-Spezifikation finden Sie auf der folgenden Opengroup-Website:
Informationen zur Unterstützung von Mehrfach-Transfersyntaxen in der DCE RPC-Spezifikation finden Sie auf der folgenden Opengroup-Website:
Die in diesem Artikel genannten Fremdanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Status

Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.

Dieses Problem wurde erstmals in Windows Server 2003 Service Pack 2 behoben.
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 899148 – Letzte Überarbeitung: 09.06.2008 – Revision: 1

Feedback