Certains pare-feu peut-être refuser le trafic réseau provenant d’ordinateurs Windows Server 2003 Service Pack 1 ou Windows Vista

Symptômes

Les opérations basées sur l’appel de procédure à distance peuvent échouer si certains pare-feu et les produits VPN rejettent les demandes réseau. Ce refus se produit si les demandes réseau viennent d’ordinateurs Microsoft Windows Server 2003 Service Pack 1 ou Windows Vista. Ces demandes réseau peuvent échouer sur les ordinateurs où vous appliquez Windows Server 2003 Service Pack 1 (SP1) sur un ordinateur Windows Server 2003 ou votre fabricant OEM ou support d’installation de vente au détail comprend des mises à jour SP1. Les produits suivants peuvent refuser ces demandes réseau :
  • Pare-feu ou produits de réseau privé virtuel (VPN) de Checkpoint Software Technologies
  • Microsoft Internet Security and Acceleration (ISA) Server
  • Client VPN Cisco 5.0.0.0340
Remarque Depuis mai 2005, la liste précédente inclut les produits qui peuvent refuser ces demandes réseau. Toutefois, la liste précédente ne peut pas inclure tous les produits qui effectue le filtrage au niveau de l’application et peuvent refuser des demandes réseau. Matériels et logiciels d’autres fabricants qui effectuent le filtrage au niveau de l’application peuvent également refuser des procédure distante RPC (appel) demandes provenant d’ordinateurs qui exécutent Windows Server 2003 Service Pack 1 (SP1) ou Windows Vista.

Cause

Ce problème se produit car Windows Server 2003 SP1 ou Windows Vista ajouter la prise en charge de nouvelles syntaxes de transfert à l’implémentation de RPC. Ces nouvelles syntaxes de transfert sont appelées « négociation des syntaxes de transfert ». Elles aident à 32 bits et les ordinateurs 64 bits gérer des charges de travail plus grandes. En outre, elles permettent souvent des ordinateurs 32 bits et 64 bits travailler plus rapidement.


Plus précisément, pare-feu et les produits VPN qui autorisent plusieurs contextes de présentation dans une unité de données de protocole (PDU) RPC liée peuvent entraîner l’un des problèmes suivants :
  • Rejet des cadres RPC sur le réseau
  • Fermeture prématurée de connexions provenant d’ordinateurs basé sur Windows Vista ou Windows Server 2003 SP1

Résolution

Pour résoudre ce problème, si les opérations RPC sur les ordinateurs Windows Server 2003 SP1 ou Windows Vista échouent sur un VPN ou un pare-feu immédiatement après l’installation de Windows Server 2003 SP1 ou Windows Vista, contactez le fournisseur de votre pare-feu ou VPN pour savoir s’il existe une version mise à jour du filtre RPC. Si les opérations RPC sont bloquées par les filtres sur les Microsoft Internet Security et Acceleration Server (ISA) 2000 ou ISA Server 2004 Standard Edition, consultez l’article de la base de connaissances Microsoft :
887222 le RPC de ISA Server filtre bloque le trafic RPC après l’installation de Windows Server 2003 Service Pack 1 sur un ordinateur qui exécute ISA Server 2004 ou ISA Server 2000

Si les opérations RPC sont bloquées par des filtres sur des produits Check Point Software, reportez-vous à l’article SK30784 de la vérification de Point logiciel l’ou visitez le site Web de Checkpoint Software :

Solution de contournement

Pour contourner ce problème, utilisez une des méthodes suivantes.

Méthode 1

Vous pouvez désactiver les filtres RPC sur les pare-feu et les produits VPN si les configurations réseau le permettent.

Méthode 2

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 comment sauvegarder et restaurer le Registre dans Windows


Si vous avez besoin d’opérations RPC à fonctionner immédiatement et vous ne peut pas mettre à jour les pare-feu et VPN dans un délai raisonnable, installez le correctif qui est décrit dans cette section et puis procédez comme suit.

Important Windows Vista ne nécessite pas un correctif. Toutefois, vous devez procédez comme suit pour modifier le Registre sur les ordinateurs Windows Vista.
  1. Cliquez sur Démarrer, sur exécuter, tapez regedit, puis cliquez sur
    Bien
  2. Recherchez et cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. Cliquez sur le menu Edition , pointez sur
    De Nouveau, puis cliquez sur Valeur DWORD.
  4. Tapez le nom de la nouvelle valeur DWORD Server2003NegotiateDisable
  5. Bouton droit Server2003NegotiateDisableet puis cliquez sur Modifier.
  6. Dans la zone Données de la valeur , tapez
    1, puis cliquez sur OK.

    Remarque Ce paramètre désactive la négociation de temps de liaison et la négociation des syntaxes de transfert plusieurs.
  7. Quittez l’Éditeur du Registre. Redémarrez l'ordinateur.
  8. Une fois les pare-feu et les périphériques VPN compatibles avec RPC sur l’ordinateur, définissez la valeur de l’entrée Server2003NegotiateDisabledans le Registre à 0. Ensuite, redémarrez l’ordinateur.

Windows Server 2003 Service Pack 1

Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes rencontrant ce problème spécifique. Ce correctif va peut-être subir des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielle qui contiendra ce correctif.

Si le correctif est disponible pour le téléchargement, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n'apparaît pas, contactez le Service clientèle et Support de Microsoft pour obtenir le correctif.

Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour une liste complète des numéros de téléphone service clientèle de Microsoft ou pour créer une demande de service distincte, visitez le site Web de Microsoft à l’adresse suivante :Remarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'il n'y a pas de correctif disponible pour cette langue. Version l’anglaise de ce correctif possède les attributs de fichier (ou ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, elles sont converties en heure locale. Pour trouver la différence entre l’UTC et l’heure locale, utilisez l’onglet fuseau horaire dans l’élément de Date et heure dans le panneau de configuration.
Informations sur les fichiers
   Date        Version        Size       File name   Platform   ----------------------------------------------------------
05-03-2005 5.2.3790.2436 642,048 Rpcrt4.dll x86
05-03-2005 5.2.3790.2436 1,714,688 Rpcrt4.dll x64
05-03-2005 5.2.3790.2436 2,462,208 Rpcrt4.dll IA-64

Windows Server 2003 Service Pack 2

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 comment sauvegarder et restaurer le Registre dans Windows


Ce problème a été corrigé dans Windows Server 2003 Service Pack 2. Pour plus d’informations sur Windows Server 2003 Service Pack 2, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

889100 comment faire pour obtenir le dernier service pack pour Windows Server 2003

Après avoir appliqué le Service Pack 2 de Windows Server 2003, vous devez suivre ces étapes pour modifier le Registre :
  1. Cliquez sur Démarrer, sur exécuter, tapez regedit, puis cliquez sur
    Bien
  2. Recherchez et cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. Cliquez sur le menu Edition , pointez sur
    De Nouveau, puis cliquez sur Valeur DWORD.
  4. Tapez le nom de la nouvelle valeur DWORD Server2003NegotiateDisable
  5. Bouton droit Server2003NegotiateDisableet puis cliquez sur Modifier.
  6. Dans la zone Données de la valeur , tapez
    1, puis cliquez sur OK.

    Remarque Ce paramètre désactive la négociation de temps de liaison et la négociation des syntaxes de transfert multiples.
  7. Quittez l’Éditeur du Registre et redémarrez l’ordinateur.
  8. Une fois les pare-feu et les périphériques VPN compatibles avec RPC sur l’ordinateur, définissez la valeur de l’entrée de Registre Server2003NegotiateDisable 0. Ensuite, redémarrez l’ordinateur.

Plus d'informations

Lorsque ce problème se produit, les clients Microsoft Outlook ne peut pas se connecter au serveur Exchange. Par conséquent, les administrateurs doivent évaluer si les définitions du filtre RPC des périphériques d’infrastructure réseau sont compatibles avec le trafic RPC de Windows Vista ou de Windows Server 2003 SP1. Un administrateur doit effectuer cette opération avant le déploiement de périphériques de pare-feu/produits VPN, Windows Server 2003 SP1 ou Windows Vista dans les environnements de production où les périphériques réseau sont déployés.

Évaluation est particulièrement utile lorsque les pare-feu peuvent filtrer le trafic de réplication basé sur RPC entre des contrôleurs de domaine. Filtration du trafic de réplication basé sur RPC entre des contrôleurs de domaine peut provoquer une interruption à long terme de la réplication Active Directory.

En particulier, les administrateurs doivent tenter d’utiliser le logiciel de surveillance pour s’assurer que tous les contrôleurs de domaine d’une forêt exécutent une réplication entrante dans un délai égal au nombre de jours de la durée de vie de désactivation. Par défaut, un délai égal au nombre de jours de la durée de vie de désactivation est de 60 jours. Contrôleurs de domaine qui ne peut pas effectuer de réplication entrante de la connaissance de chaque suppression unique au sein de vie de désactivation précédentes, nombre de jours seront définitivement incohérent pour que ces modifications, suppressions.

Les événements dans le journal des événements Service d’annuaire qui indiquent l’échec de la réplication Active Directory sur les contrôleurs de domaine Windows Server 2003 sont les suivants :
  • 1862 : « Le DC local n’a pas reçu d’informations de réplication récemment à partir d’un certain nombre de contrôleurs de domaine » (inter-site)
  • 1864 : « Le DC local n’a pas reçu d’informations de réplication récemment à partir d’un certain nombre de contrôleurs de domaine » (intra-site)
  • 2042 : « il a été trop long depuis cette machine avec la source de la dernière répliquée » (TSL # de jours)
Si les administrateurs n’ont pas une solution de surveillance, ils peuvent utiliser les informations d’identification d’administrateur d’entreprise pour exécuter la commande suivante de Windows Server 2003 REPADMIN quotidiennement :
repadmin /showrepl * /csv > showrepl.csv

Les administrateurs peuvent afficher le fichier Showrepl.csv dans un programme comme Microsoft Excel qui analyse le texte séparé par des virgules. Une tâche de priorité élevée comprend la résolution des échecs de réplication sur les contrôleurs de domaine de destination qui ont échoué la réplication entrante de la plus longue durée.

Repadmin.exe se trouve dans le fichier Suptools.msi de Support\Tools\ sur le support d’installation de Windows Server 2003.

Pour plus d’informations sur la façon de supprimer des objets en attente, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
870695 objets obsolètes Active Directory génèrent l’ID d’événement 1988 dans Windows Server 2003

Pour plus d’informations sur les programmes de Checkpoint Software Technologies, visitez le site Web de Checkpoint Software Technologies suivant :Pour plus d’informations sur ISA Server, visitez le site Web de Microsoft à l’adresse suivante :Microsoft n’a pas connaissance de routeurs ou commutateurs qui effectuent le filtrage au niveau du programme qui pourrait interférer avec les opérations basées sur RPC dans Windows Server 2003 SP1 ou Windows Vista.

Le message d’erreur suivant s’affiche en général par les composants, lorsque les cadres RPC dotés de plusieurs syntaxes de transfert sont rejetés par un pare-feu ou un VPN génère l’erreur Windows 32 1727 :
L’appel de procédure distante a échoué et ne s’est pas exécuté
Ce code d’erreur générique a plusieurs causes et ne caractérise pas uniquement le blocage de cadres RPC provenant d’ordinateurs Windows Server 2003 SP1 ou Windows Vista.

Pour plus d’informations sur la spécification DCE RPC, visitez le site Web de l’Opengroup suivant :Pour plus d’informations sur la prise en charge de la syntaxe transfert multiples dans la spécification DCE RPC, visitez le site Web de l’Opengroup suivant :Les produits tiers dont traite cet article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute forme de garantie, expresse ou implicite, concernant les performances ou la fiabilité de ces produits.

État

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».
Ce problème a été corrigé dans Windows Server 2003 Service Pack 2.
Propriétés

ID d'article : 899148 - Dernière mise à jour : 27 janv. 2017 - Révision : 1

Commentaires