Algunos servidores de seguridad pueden rechazar el tráfico de red que se origina desde equipos basados en Windows Server 2003 Service Pack 1 o Windows Vista

Síntomas

Pueden fallar operaciones basadas en llamada a procedimiento remotas si ciertos productos VPN y servidor de seguridad deniegan las solicitudes de red. Este rechazo se produce si las solicitudes de la red provienen de equipos basados en Microsoft Windows Server 2003 Service Pack 1 o Windows Vista. Estas solicitudes de red pueden fallar en los equipos donde aplicar Windows Server 2003 Service Pack 1 (SP1) en un equipo basado en Windows Server 2003 o el OEM o medios de instalación comercial incluyen actualizaciones del SP1. Los productos siguientes pueden denegar estas solicitudes de red:
  • Servidor de seguridad o los productos de red privada virtual (VPN) de Checkpoint Software Technologies
  • Microsoft Internet Security and Acceleration (ISA) Server
  • Cliente VPN de Cisco 5.0.0.0340
Nota: A partir de mayo de 2005, la lista anterior incluye los productos que pueden denegar estas solicitudes de red. Sin embargo, la lista anterior puede no incluir todos los productos posibles que realizan el filtrado de nivel de aplicación y que pueden denegar las solicitudes de red. Hardware y software de otros fabricantes que realizan el filtrado de nivel de aplicación también pueden denegar procedimiento remoto solicitudes de llamada (RPC) de los equipos que ejecutan Windows Server 2003 Service Pack 1 (SP1) o Windows Vista.

Causa

Este problema se produce porque Windows Server 2003 SP1 o Windows Vista agregan compatibilidad con algunas sintaxis nuevas de transferencia a la implementación de RPC. Estas sintaxis nuevas de transferencia se conocen como "negociación de sintaxis de transferencia múltiple". Ayudan a 32 bits y 64 bits equipos controlen cargas de trabajo mayores. Además, con frecuencia ayudan a los equipos de 32 bits y 64 bits trabajar más rápido.


Específicamente, firewalls y productos VPN que permiten más de un contexto de presentación debe estar presente en una unidad de datos de protocolo (PDU) RPC dependiente pueden producir cualquiera de los síntomas siguientes:
  • Colocar tramas RPC en la red
  • Se cierran prematuramente las conexiones desde equipos basados en Windows Server 2003 SP1 o en Windows Vista

Solución

Para resolver este problema, si fallan las operaciones basadas en RPC en equipos basados en Windows Server 2003 SP1 o Windows Vista a través de una VPN o un firewall inmediatamente después de instalar Windows Server 2003 SP1 o Windows Vista, póngase en contacto con el proveedor VPN para ver si hay disponible una versión actualizada de su filtro RPC o firewall. Si los filtros de Microsoft Internet Security and Acceleration (ISA) Server 2000 o ISA Server 2004 Standard Edition equipos bloquean las operaciones basadas en RPC, consulte el artículo de Microsoft Knowledge base:
887222 RPC de ISA Server el filtro bloquea el tráfico RPC después de instalar Windows Server 2003 Service Pack 1 en un equipo que está ejecutando ISA Server 2004 o ISA Server 2000

Si las operaciones basadas en RPC se bloquean con los filtros de productos, consulte el artículo de comprobar punto Software SecureKnowledge SK30784 o visite el siguiente sitio Web de Checkpoint Software:

Solución alternativa

Para evitar este problema, utilice cualquiera de los métodos siguientes.

Método 1

Puede deshabilitar los filtros RPC en los servidores de seguridad y productos VPN si los requisitos de la red que esto sea posible.

Método 2

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows


Si necesita que las operaciones basadas en RPC funcionen inmediatamente y no se puede actualizar firewalls y VPN de manera oportuna, instale la revisión que se describe en esta sección y, a continuación, siga estos pasos.

Importante: Windows Vista no requiere una revisión. Sin embargo, debe seguir estos pasos para modificar el registro en los equipos basados en Windows Vista.
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedity, a continuación, haga clic en
    Correcto
  2. Busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. Haga clic en el menú Edición , elija
    De nuevoy, a continuación, haga clic en Valor DWORD.
  4. Escriba Server2003NegotiateDisablecomo nombre del nuevo valor DWORD
  5. Haga Server2003NegotiateDisabley, a continuación, haga clic en Modificar.
  6. En el cuadro Información del valor , escriba
    1y, a continuación, haga clic en Aceptar.

    Nota: Esta configuración deshabilita la negociación de tiempo de enlace y negociación de sintaxis de transferencia múltiple.
  7. Salga del Editor del registro. Reinicie el equipo.
  8. Después de los firewalls y dispositivos VPN compatibles con RPC en el equipo, establezca el valor de la entrada Server2003NegotiateDisabledel registro en 0. A continuación, reinicie el equipo.

Windows Server 2003 Service Pack 1

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma. Versión del inglés de esta revisión tiene los atributos de archivo (o atributos de último archivo) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha zona horaria en el elemento fecha y hora del Panel de Control.
Información de archivo
   Date        Version        Size       File name   Platform   ----------------------------------------------------------
05-03-2005 5.2.3790.2436 642,048 Rpcrt4.dll x86
05-03-2005 5.2.3790.2436 1,714,688 Rpcrt4.dll x64
05-03-2005 5.2.3790.2436 2,462,208 Rpcrt4.dll IA-64

Windows Server 2003 Service Pack 2

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows


Este problema se corrigió en Windows Server 2003 Service Pack 2. Para obtener más información acerca de Windows Server 2003 Service Pack 2, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

889100 cómo obtener el service pack más reciente para Windows Server 2003

Después de aplicar Windows Server 2003 SP2, debe seguir estos pasos para modificar el registro:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedity, a continuación, haga clic en
    Correcto
  2. Busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. Haga clic en el menú Edición , elija
    De nuevoy, a continuación, haga clic en Valor DWORD.
  4. Escriba Server2003NegotiateDisablecomo nombre del nuevo valor DWORD
  5. Haga Server2003NegotiateDisabley, a continuación, haga clic en Modificar.
  6. En el cuadro Información del valor , escriba
    1y, a continuación, haga clic en Aceptar.

    Nota: Esta configuración deshabilita la negociación de tiempo de enlace y la negociación de la sintaxis de transferencia múltiple.
  7. Salga del Editor del registro y, a continuación, reinicie el equipo.
  8. Después de que los servidores de seguridad y los dispositivos VPN son compatibles con RPC en el equipo, establezca el valor de la entrada de registro Server2003NegotiateDisable en 0. A continuación, reinicie el equipo.

Más información

Cuando este problema está presente, los clientes de Microsoft Outlook no pueden conectarse al servidor de Exchange. Por lo tanto, los administradores deben evaluar si las definiciones de filtro RPC en los dispositivos de la infraestructura de red son compatibles con el tráfico RPC de Windows Vista o de Windows Server 2003 SP1. Un administrador debe hacer esta evaluación antes de la implementación de dispositivos de firewall, VPN, Windows Server 2003 SP1 o Windows Vista en entornos de producción donde se implementan tales dispositivos de red.

Evaluación resulta especialmente adecuada en el cortafuegos pueden filtrar tráfico de replicación basado en RPC entre los controladores de dominio. Filtrado de tráfico de replicación basado en RPC entre los controladores de dominio puede provocar una interrupción a largo plazo de la replicación de Active Directory.

En concreto, los administradores deben tratar de utilizar software de supervisión para asegurarse de que todos los controladores de dominio en un bosque realizan la replicación entrante dentro de un número de duración de objetos de desecho sucesiva de días. De forma predeterminada, un número de duración de objetos de desecho sucesiva de días es de 60 días. Controladores de dominio que no pueden realizar la replicación entrante del conocimiento de cada eliminación única dentro del número de días que serán incoherente para esos cambios hasta que intervenga un administrador de desecho anterior.

Eventos en el registro de sucesos del servicio de directorio que indiquen que haya errores en la replicación de Active Directory en controladores de dominio basados en Windows Server 2003 incluyen los siguientes:
  • 1862: "El controlador de dominio local no recibió recientemente información de replicación de varios controladores de dominio" (entre sitios)
  • 1864: "El controlador de dominio local no recibió recientemente información de replicación de varios controladores de dominio" (entre sitios)
  • 2042: "ha transcurrido demasiado tiempo desde que este equipo se replicó por última vez con el origen indicado" (TSL Nº de días)
Si los administradores no tienen una solución de supervisión, pueden utilizar credenciales de administrador de empresa para ejecutar diariamente el siguiente comando REPADMIN de Windows Server 2003:
repadmin /showrepl * /csv > showrepl.csv

Los administradores pueden ver el archivo Showrepl.csv en un programa como Microsoft Excel que analiza texto separado por comas. Una tarea de alta prioridad incluye solucionar los errores de replicación en controladores de dominio de destino que no han pasado la replicación entrante durante más tiempo.

Repadmin.exe se encuentra en el archivo Suptools.msi de Support\Tools\ en el medio de instalación de Windows Server 2003.

Para obtener más información acerca de cómo quitar objetos persistentes, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
870695 objetos de Active Directory anticuado generan evento ID 1988 en Windows Server 2003

Para obtener más información acerca de los programas de Checkpoint Software Technologies, visite el siguiente sitio Web de Checkpoint Software Technologies:Para obtener más información acerca de ISA Server, visite el siguiente sitio Web de Microsoft:Microsoft no tiene constancia de ningún enrutador o conmutador que realice el filtrado de nivel de programa que pudieran interferir en las operaciones basadas en RPC en Windows Server 2003 SP1 o en Windows Vista.

Los componentes muestran normalmente el mensaje de error siguiente cuando un servidor de seguridad rechaza las tramas RPC con sintaxis de transferencia múltiple o una VPN genera un error 1727 de Windows 32:
Error de la llamada a procedimiento remoto y no se ejecutó
Este código de error genérico tiene varias causas y no identifica el bloqueo de tramas RPC procedentes de equipos basados en Windows Server 2003 SP1 o en Windows Vista.

Para obtener información acerca de la especificación DCE RPC, visite el siguiente sitio Opengroup Web:Para obtener información sobre soporte de sintaxis de transferencia múltiple en la especificación DCE RPC, visite el siguiente sitio Opengroup Web:Los productos de terceros que se indican en este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, respecto al rendimiento o confiabilidad de estos productos.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Este problema se corrigió primero en Windows Server 2003 Service Pack 2.
Propiedades

Id. de artículo: 899148 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios