Ορισμένα τείχη προστασίας ενδέχεται να απορρίψουν την κυκλοφορία δικτύου που προέρχεται από υπολογιστές που βασίζονται σε Windows Server 2003 Service Pack 1 ή με Windows Vista

Συμπτώματα

Λειτουργίες Remote Procedure Call βασίζεται ενδέχεται να αποτύχει, εάν ορισμένες τείχους προστασίας και VPN απορρίψουν αιτήσεις δικτύου. Η άρνηση προκύπτει εάν το δίκτυο ζητήσει προέρχονται από υπολογιστές που βασίζονται σε Microsoft Windows Server 2003 Service Pack 1 ή με Windows Vista. Αυτές οι αιτήσεις δικτύου ενδέχεται να αποτύχουν σε υπολογιστές όπου εφαρμόζετε Windows Server 2003 Service Pack 1 (SP1) σε έναν υπολογιστή που βασίζεται σε Windows Server 2003 ή όταν ο OEM ή τα μέσα εγκατάστασης λιανικής πώλησης περιλαμβάνει ενημερωμένες εκδόσεις του SP1. Τα ακόλουθα προϊόντα ενδέχεται να απορρίψουν αυτές τις αιτήσεις δικτύου:
  • Το τείχος προστασίας ή εικονικού ιδιωτικού δικτύου (VPN) προϊόντων από σημείο ελέγχου τεχνολογίες λογισμικού
  • Microsoft Internet Security and Acceleration (ISA) Server
  • Υπολογιστή-πελάτη VPN Cisco 5.0.0.0340
Σημείωση Από τον Μάιο του 2005, η προηγούμενη λίστα περιλαμβάνει τα προϊόντα που ενδέχεται να απορρίψουν αυτές τις αιτήσεις δικτύου. Ωστόσο, η προηγούμενη λίστα μπορεί να περιλαμβάνει κάθε πιθανό προϊόν που εκτελεί φιλτράρισμα σε επίπεδο εφαρμογών και που μπορούν να απορρίψουν αιτήσεις δικτύου. Υλικού και λογισμικού άλλων κατασκευαστών που εκτελεί φιλτράρισμα σε επίπεδο εφαρμογών μπορεί επίσης απορρίψουν απομακρυσμένης διαδικασίας κλήση (RPC) αιτήσεις από υπολογιστές που εκτελούν Windows Server 2003 Service Pack 1 (SP1) ή Windows Vista.

Αιτία

Αυτό το ζήτημα παρουσιάζεται επειδή το Windows Server 2003 SP1 ή των Windows Vista, προσθέστε υποστήριξη για ορισμένες νέες συντάξεις μεταφοράς στην υλοποίηση του RPC. Αυτές οι νέες συντάξεις μεταφοράς είναι γνωστές ως "διαπραγμάτευση σύνταξης πολλαπλής μεταφοράς." Βοηθούν τους 32-bit και υπολογιστές 64-bit να χειρίζονται μεγαλύτερα φορτία λειτουργίας. Επιπλέον, βοηθούν συχνά λειτουργούν ταχύτερα τους υπολογιστές 32-bit και 64-bit.


Συγκεκριμένα, τείχους προστασίας και VPN προϊόντα που επιτρέπουν σε περισσότερα από ένα περιβάλλοντα παρουσίασης ότι θα βρίσκονται σε ένα δεσμευμένο RPC μονάδας δεδομένων πρωτοκόλλου (PDU) ενδέχεται να προκαλέσουν κάποιο από τα ακόλουθα συμπτώματα:
  • Απόρριψη πλαισίων RPC στο δίκτυο
  • Πρόωρο Κλείσιμο συνδέσεων από υπολογιστές που βασίζεται σε Windows Server 2003 SP1 ή σε Windows Vista

Προτεινόμενη αντιμετώπιση

Για να επιλύσετε αυτό το ζήτημα, εάν οι λειτουργίες που βασίζονται σε RPC σε υπολογιστές Windows Server 2003 SP1 ή Windows Vista αποτύχουν σε ένα VPN ή ένα τείχος προστασίας αμέσως μετά την εγκατάσταση του Windows Server 2003 SP1 ή των Windows Vista, επικοινωνήστε με το τείχος προστασίας ή VPN προμηθευτή για να δείτε εάν είναι διαθέσιμη μια ενημερωμένη έκδοση του φίλτρου RPC. Εάν οι λειτουργίες που βασίζονται σε RPC έχουν αποκλειστεί από φίλτρα στο Microsoft Internet Security and Acceleration Server (ISA) 2000 ή ISA Server 2004 Standard Edition υπολογιστές, ανατρέξτε στο άρθρο της Γνωσιακής Βάσης της Microsoft:
887222 το RPC διακομιστή ISA φίλτρο αποκλείει την κυκλοφορία RPC μετά την εγκατάσταση του Windows Server 2003 Service Pack 1 σε έναν υπολογιστή που εκτελεί ISA Server 2004 ή ISA Server 2000

Αν οι λειτουργίες που βασίζονται σε RPC είναι αποκλεισμένες φίλτρα για προϊόντα λογισμικού σημείο ελέγχου, ανατρέξτε στο άρθρο SK30784 Ελέγξτε το σημείο λογισμικού SecureKnowledge ή επισκεφθείτε την ακόλουθη τοποθεσία Web του σημείου ελέγχου λογισμικού:

Εναλλακτικός τρόπος αντιμετώπισης

Για να επιλύσετε αυτό το ζήτημα, χρησιμοποιήστε μία από τις ακόλουθες μεθόδους.

Μέθοδος 1

Μπορείτε να απενεργοποιήσετε τα φίλτρα RPC σε τείχη προστασίας και τα VPN όταν οι απαιτήσεις δικτύου παρέχουν αυτήν τη δυνατότητα.

Μέθοδος 2

Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Επομένως, βεβαιωθείτε ότι ακολουθείτε προσεκτικά αυτά τα βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου πριν να το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει κάποιο ζήτημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows


Εάν χρειάζεστε για λειτουργίες που βασίζονται σε RPC να λειτουργήσουν αμέσως και δεν είναι δυνατό να ενημερώσετε εγκαίρως τα τείχη προστασίας και τα VPN, εγκαταστήστε την επείγουσα επιδιόρθωση που περιγράφεται σε αυτήν την ενότητα και, στη συνέχεια, ακολουθήστε τα εξής βήματα.

Σημαντικό Τα Windows Vista δεν απαιτούν μια επείγουσα επιδιόρθωση. Ωστόσο, πρέπει να ακολουθήσετε αυτά τα βήματα για να τροποποιήσετε το μητρώο σε υπολογιστές που βασίζονται στα Windows Vista.
  1. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε Εκτέλεση, πληκτρολογήστε regeditκαι, στη συνέχεια, κάντε κλικ στο κουμπί
    ΟΚ
  2. Εντοπίστε και, στη συνέχεια, κάντε κλικ στο ακόλουθο δευτερεύον κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. Επιλέξτε το μενού " Επεξεργασία ",
    Δημιουργίακαι, στη συνέχεια, κάντε κλικ στην επιλογή Τιμή DWORD.
  4. Πληκτρολογήστε Server2003NegotiateDisableως το όνομα της νέας τιμής DWORD
  5. Κάντε δεξιό κλικ στο Server2003NegotiateDisableκαι, στη συνέχεια, κάντε κλικ στο κουμπί Τροποποίηση.
  6. Στο πλαίσιο " Δεδομένα τιμής ", πληκτρολογήστε
    1, και στη συνέχεια κάντε κλικ στο κουμπί OK.

    Σημείωση Αυτή η ρύθμιση απενεργοποιεί τη διαπραγμάτευση χρόνου και την διαπραγμάτευση σύνταξης πολλαπλής μεταφοράς.
  7. Κλείστε τον Επεξεργαστή μητρώου. Κάντε επανεκκίνηση του υπολογιστή.
  8. Αφού τα τείχη προστασίας και τα VPN συσκευές είναι συμβατές με το RPC στον υπολογιστή, ορίστε την τιμή για την καταχώρηση Server2003NegotiateDisableτου μητρώου σε 0. Στη συνέχεια, κάντε επανεκκίνηση του υπολογιστή.

Τα Windows Server 2003 Service Pack 1

Μια υποστηριζόμενη άμεση επιδιόρθωση είναι διαθέσιμη από τη Microsoft. Ωστόσο, αυτή η άμεση επιδιόρθωση προορίζεται για τη διόρθωση μόνο του προβλήματος που περιγράφεται σε αυτό το άρθρο. Εφαρμόστε αυτήν την άμεση επιδιόρθωση μόνο σε συστήματα που αντιμετωπίζουν το συγκεκριμένο πρόβλημα. Αυτή η άμεση επιδιόρθωση ενδέχεται να υποβληθεί σε πρόσθετο έλεγχο. Επομένως, εάν αυτό το ζήτημα δεν σας επηρεάζει ιδιαίτερα, σας συνιστούμε να περιμένετε έως την επόμενη ενημέρωση λογισμικού που περιέχει αυτήν την άμεση επιδιόρθωση.

Εάν η άμεση επιδιόρθωση είναι διαθέσιμη για λήψη, τότε υπάρχει μια ενότητα με τίτλο "Διαθέσιμη λήψη άμεσης επιδιόρθωσης" στην αρχή αυτού του άρθρου της Γνωσιακής βάσης. Εάν αυτή η ενότητα δεν εμφανίζεται, επικοινωνήστε με την Υπηρεσία εξυπηρέτησης πελατών και υποστήριξης της Microsoft για να αποκτήσετε την άμεση επιδιόρθωση.

Σημείωση Εάν προκύψουν πρόσθετα ζητήματα ή απαιτείται αντιμετώπιση προβλημάτων, ίσως χρειαστεί να δημιουργήσετε ξεχωριστή αίτηση εξυπηρέτησης. Για πρόσθετες ερωτήσεις υποστήριξης και θέματα που δεν αφορούν τη συγκεκριμένη άμεση επιδιόρθωση, ισχύουν οι συνηθισμένες χρεώσεις υποστήριξης. Για μια πλήρη λίστα αριθμών τηλεφώνου υπηρεσία εξυπηρέτησης πελατών της Microsoft και υποστήριξη ή για να δημιουργήσετε μια ξεχωριστή αίτηση εξυπηρέτησης, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Σημείωση Η φόρμα "Διαθέσιμη λήψη άμεσης επιδιόρθωσης" εμφανίζει τις γλώσσες για τις οποίες είναι διαθέσιμη η άμεση επιδιόρθωση. Εάν η γλώσσα σας δεν εμφανίζεται, τότε η άμεση επιδιόρθωση δεν είναι διαθέσιμη για αυτήν τη γλώσσα. Η αγγλική έκδοση αυτής της επείγουσας επιδιόρθωσης έχει τα χαρακτηριστικά αρχείου (ή νεότερα χαρακτηριστικά αρχείου) που παρατίθενται στον παρακάτω πίνακα. Οι ημερομηνίες και οι ώρες για τα αρχεία αυτά αναφέρονται σε Συντονισμένη παγκόσμια ώρα (UTC). Όταν προβάλλετε τις πληροφορίες του αρχείου, μετατρέπεται σε τοπική ώρα. Για να βρείτε τη διαφορά μεταξύ της ώρας UTC και της τοπικής ώρας, χρησιμοποιήστε την καρτέλα ζώνη ώρας στο στοιχείο " ημερομηνία και ώρα " στον πίνακα ελέγχου.
Πληροφορίες αρχείων
   Date        Version        Size       File name   Platform   ----------------------------------------------------------
05-03-2005 5.2.3790.2436 642,048 Rpcrt4.dll x86
05-03-2005 5.2.3790.2436 1,714,688 Rpcrt4.dll x64
05-03-2005 5.2.3790.2436 2,462,208 Rpcrt4.dll IA-64

Τα Windows Server 2003 Service Pack 2

Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Επομένως, βεβαιωθείτε ότι ακολουθείτε προσεκτικά αυτά τα βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου πριν να το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει κάποιο ζήτημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows


Αυτό το ζήτημα διορθώθηκε στο Windows Server 2003 Service Pack 2. Για περισσότερες πληροφορίες σχετικά με το Windows Server 2003 Service Pack 2, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

889100 Τρόπος λήψης του τελευταίου service pack για Windows Server 2003

Αφού εφαρμόσετε το Windows Server 2003 SP2, πρέπει να ακολουθήσετε αυτά τα βήματα για να τροποποιήσετε το μητρώο:
  1. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε Εκτέλεση, πληκτρολογήστε regeditκαι, στη συνέχεια, κάντε κλικ στο κουμπί
    ΟΚ
  2. Εντοπίστε και, στη συνέχεια, κάντε κλικ στο ακόλουθο δευτερεύον κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. Επιλέξτε το μενού " Επεξεργασία ",
    Δημιουργίακαι, στη συνέχεια, κάντε κλικ στην επιλογή Τιμή DWORD.
  4. Πληκτρολογήστε Server2003NegotiateDisableως το όνομα της νέας τιμής DWORD
  5. Κάντε δεξιό κλικ στο Server2003NegotiateDisableκαι, στη συνέχεια, κάντε κλικ στο κουμπί Τροποποίηση.
  6. Στο πλαίσιο " Δεδομένα τιμής ", πληκτρολογήστε
    1, και στη συνέχεια κάντε κλικ στο κουμπί OK.

    Σημείωση Αυτή η ρύθμιση απενεργοποιεί τη διαπραγμάτευση χρόνου σύνδεσης και την διαπραγμάτευση σύνταξης πολλαπλής μεταφοράς.
  7. Κλείστε τον Επεξεργαστή μητρώου και, στη συνέχεια, κάντε επανεκκίνηση του υπολογιστή.
  8. Αφού τα τείχη προστασίας και τα VPN συσκευές είναι συμβατές με το RPC στον υπολογιστή, ορίστε την τιμή για την καταχώρηση μητρώου Server2003NegotiateDisable σε 0. Στη συνέχεια, κάντε επανεκκίνηση του υπολογιστή.

Περισσότερες πληροφορίες

Όταν υπάρχει αυτό το πρόβλημα, οι υπολογιστές-πελάτες του Microsoft Outlook δεν μπορεί να συνδεθεί με το διακομιστή του Exchange. Επομένως, οι διαχειριστές θα πρέπει να αξιολογούν αν οι ορισμοί φίλτρου RPC των συσκευών υποδομής δικτύου είναι συμβατοί με την κυκλοφορία του Windows Server 2003 SP1 ή των Windows Vista RPC. Ένας διαχειριστής πρέπει να κάνει αυτήν την αξιολόγηση πριν από την ανάπτυξη συσκευών τείχους προστασίας/VPN, του Windows Server 2003 SP1 ή των Windows Vista σε περιβάλλοντα παραγωγής, όπου αναπτύσσονται τέτοιες συσκευές δικτύου.

Αξιολόγηση είναι ιδιαίτερα χρήσιμη όπου τα τείχη προστασίας να φιλτράρετε την κυκλοφορία αναπαραγωγής που βασίζεται σε RPC μεταξύ ελεγκτών τομέα. Η εφαρμογή φίλτρου σε κυκλοφορία αναπαραγωγής που βασίζεται σε RPC μεταξύ ελεγκτών τομέα μπορεί να προκαλέσει μια μακροχρόνια διακοπή της αναπαραγωγής της υπηρεσίας καταλόγου Active Directory.

Ειδικότερα, οι διαχειριστές πρέπει να προσπαθήσουν να χρησιμοποιήσουν λογισμικό παρακολούθησης για να εξασφαλίσουν ότι όλοι οι ελεγκτές τομέα ενός συμπλέγματος δομών εκτελούν εισερχόμενη κυκλοφορία μέσα σε έναν κυλιόμενο αριθμό ημερών διάρκειας ζωής. Από προεπιλογή, ένα κυλιόμενο αριθμό ημερών διάρκειας ζωής είναι 60 ημέρες. Οι ελεγκτές τομέα που δεν μπορεί να εκτελέσει εισερχόμενης αναπαραγωγής γνώσης κάθε μεμονωμένης διαγραφής μέσα το προηγούμενο αριθμό ημερών θα είναι πάντοτε ασυνεπείς με αυτές τις αλλαγές μέχρι να παρέμβει κάποιος διαχειριστής ζωής για απενεργοποίηση.

Τα συμβάντα στο αρχείο καταγραφής συμβάντων της υπηρεσίας καταλόγου που υποδηλώνουν ότι η αναπαραγωγή υπηρεσίας καταλόγου Active Directory αποτυγχάνει σε ελεγκτές τομέα που βασίζεται σε Windows Server 2003 περιλαμβάνουν τα εξής:
  • 1862: "Ο τοπικός ελεγκτής Τομέα δεν έχει πρόσφατα λάβει πληροφορίες αναπαραγωγής από έναν αριθμό ελεγκτών τομέα" (τοποθεσιών)
  • 1864: "Ο τοπικός ελεγκτής Τομέα δεν έχει πρόσφατα λάβει πληροφορίες αναπαραγωγής από έναν αριθμό ελεγκτών τομέα" (εσωτερική)
  • 2042: "είναι πολύ μεγάλο από αυτόν τον υπολογιστή από την τελευταία αναπαραγωγή με την καθορισμένη προέλευση" (TSL # ημερών)
Εάν οι διαχειριστές δεν διαθέτουν λύση παρακολούθησης, μπορούν να χρησιμοποιήσουν τις εταιρικές πιστοποιήσεις διαχειριστή για να εκτελούν καθημερινά την ακόλουθη εντολή στο Windows Server 2003 REPADMIN :
repadmin/Showrepl * / csv > showrepl.csv

Οι διαχειριστές μπορούν να προβάλλουν το αρχείο Showrepl.csv σε ένα πρόγραμμα όπως το Microsoft Excel, το οποίο αναλύει κείμενο που διαχωρίζεται με κόμμα. Μια εργασία υψηλής προτεραιότητας περιλαμβάνει την επίλυση αποτυχιών αναπαραγωγής σε ελεγκτές τομέα προορισμού που απέτυχαν εισερχόμενη αναπαραγωγή για το μεγαλύτερο χρονικό διάστημα.

Repadmin.exe βρίσκεται στο αρχείο Suptools Support\Tools\ από το μέσο εγκατάστασης του Windows Server 2003.

Για περισσότερες πληροφορίες σχετικά με τον τρόπο κατάργησης διαγραμμένων αντικειμένων, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
870695 αντικείμενα παλιά Active Directory δημιουργούν συμβάν 1988 Αναγνωριστικό στον Windows Server 2003

Για περισσότερες πληροφορίες σχετικά με τα προγράμματα από το σημείο ελέγχου τεχνολογίες λογισμικού, επισκεφθείτε την ακόλουθη τοποθεσία του σημείου ελέγχου λογισμικού Technologies στο Web:Για περισσότερες πληροφορίες σχετικά με το ISA Server, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Η Microsoft δεν γνωρίζει οποιονδήποτε δρομολογητή ή διακόπτες που εκτελεί φιλτράρισμα σε επίπεδο – πρόγραμμα που θα παρεμβαίνουν σε λειτουργίες στο Windows Server 2003 SP1 ή των Windows Vista που βασίζονται σε RPC.

Το ακόλουθο μήνυμα λάθους εμφανίζεται συνήθως από στοιχεία όταν πλαισίων RPC που διαθέτουν πολλαπλές συντάξεις μεταφοράς απορρίπτονται από ένα τείχος προστασίας ή ένα VPN δημιουργεί το σφάλμα 1727 στα Windows 32:
Η κλήση απομακρυσμένης διαδικασίας απέτυχε και δεν εκτελέστηκε
Αυτός ο κωδικός γενικού σφάλματος έχει πολλές αρχικές αιτίες και δεν προσδιορίζει μεμονωμένα τον αποκλεισμό πλαισίων RPC από υπολογιστές που βασίζεται σε Windows Server 2003 SP1 ή σε Windows Vista.

Για πληροφορίες σχετικά με την προδιαγραφή DCE RPC, επισκεφθείτε την ακόλουθη τοποθεσία Web της Opengroup:Για πληροφορίες σχετικά με την υποστήριξη πολλών σύνταξη μεταφοράς στην προδιαγραφή DCE RPC, επισκεφθείτε την ακόλουθη τοποθεσία Web της Opengroup:Τα προϊόντα τρίτων κατασκευαστών που περιγράφει αυτό το άρθρο έχουν κατασκευαστεί από εταιρείες που είναι ανεξάρτητες της Microsoft. Η Microsoft δεν παρέχει καμία εγγύηση, σιωπηρή ή άλλη, σχετικά με τις επιδόσεις ή την αξιοπιστία αυτών των προϊόντων.

Κατάσταση

Η Microsoft έχει επιβεβαιώσει ότι πρόκειται για ένα ζήτημα των προϊόντων της Microsoft που παρατίθενται στην ενότητα "Ισχύει για".
Αυτό το ζήτημα διορθώθηκε αρχικά στον Windows Server 2003 Service Pack 2.
Ιδιότητες

Αναγνωριστικό άρθρου: 899148 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 2

Σχόλια