Bizonyos tűzfalszoftverek esetleg nem engednek át Windows Server 2003 Service Pack 1 vagy Windows Vista rendszerű számítógépekről érkező hálózati forgalmat

2015. július 14-én véget ért a Windows Server 2003 támogatása

2015. július 14-én a Microsoft megszüntette a Windows Server 2003 támogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

A jelenség
A távoli eljáráshívásra épülő műveletek sikertelenek lehetnek abban az esetben, ha bizonyos tűzfalszoftverek és virtuális magánhálózati alkalmazások megtagadnak egyes hálózati kérelmeket. Ez akkor történhet meg, ha a hálózati kérelmek Windows Server 2003 Service Pack 1 vagy Windows Vista rendszerű számítógépekről érkeznek. A kérelmek azokon a Windows Server 2003 rendszerű számítógépeken lehetnek sikertelenek, amelyekre telepítették a Windows Server 2003 Service Pack 1 (SP1) szervizcsomagot, illetve amikor az eredetihardver-gyártótól (OEM) vagy a kiskereskedőtől kapott telepítési adathordozó tartalmazza az SP1 szervizcsomag frissítéseit. A hálózati kérelmeket a következő termékek utasíthatják vissza:
  • a Check Point Software Technologies cég tűzfal- és virtuális magánhálózati termékei
  • a Microsoft Internet Security and Acceleration (ISA) Server
  • a Cisco 5.0.0.0340-es verziójú virtuális magánhálózati ügyfele
Megjegyzés: A fenti, 2005. májusi állapotot tükröző lista azokat a termékeket tartalmazza, amelyek bizonyos esetekben visszautasíthatják a hálózati kérelmeket. A lista azonban nem feltétlenül tartalmaz minden olyan terméket, amely alkalmazásszintű szűrést hajt végre, és ezáltal esetleg nem fogad bizonyos hálózati kérelmeket. Más hardver- és szoftvergyártók által forgalmazott, alkalmazásszintű szűrést végző termékek szintén visszautasíthatják a Windows Server 2003 Service Pack 1 (SP1) vagy Windows Vista rendszert futtató számítógépekről érkező távoli eljáráshívási kérelmeket.
Oka
Ezt a problémát az okozza, hogy a Windows Server 2003 SP1 és a Windows Vista rendszer néhány új átviteli szintaxis támogatásával bővíti a távoli eljáráshívások végrehajtási környezetét. Az új szintaxisokat többszörös átviteliszintaxis-egyeztetésnek nevezik, feladatuk pedig az, hogy lehetővé tegyék a 32 és 64 bites számítógépeknek a nagyobb adatmennyiség kezelését. Használatukkal az ilyen számítógépek sok esetben gyorsabbak is lesznek.

Azok a tűzfalak és virtuális magánhálózati termékek, amelyek több ábrázolási környezet alkalmazását is lehetővé teszik kötött RPC-üzenetekben (RPC-PDU), a következő tünetek valamelyikét okozhatják:
  • távoli eljáráshívási keretek elvesztése a hálózaton
  • Windows Server 2003 SP1 vagy Windows Vista rendszerű számítógépekről érkező kapcsolatok idő előtti lezárása
A megoldás
Ha a távoli eljáráshívásra épülő, virtuális magánhálózaton vagy tűzfalon keresztül zajló műveletek közvetlenül a Windows Server 2003 SP1 vagy a Windows Vista telepítése után nem működnek a Windows Server 2003 SP1 vagy Windows Vista rendszerű számítógépeken, akkor a probléma megoldása érdekében kérje a tűzfal vagy a magánhálózati szoftver gyártójától a távoli eljáráshíváshoz használható frissített szűrőt. Ha a Microsoft Internet Security and Acceleration Server (ISA) 2000 vagy az ISA Server 2004 Standard Edition alkalmazás szűrői blokkolják az ilyen műveleteket, olvassa el a Microsoft Tudásbázis következő cikkét:
887222 Az ISA Server szoftver távoli eljáráshívási szűrője blokkolja a távoli eljáráshíváson keresztüli adatforgalmat a Windows Server 2003 Service Pack 1 szervizcsomaggal frissített ISA Server 2004 és ISA Server 2000 rendszeren (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
Ha az ilyen jellegű adatforgalmat a Check Point Software cég termékeibe épített szűrők blokkolják, tanulmányozza a gyártó tudásbázisában található SK30784 jelű cikket, vagy keresse fel a vállalat webhelyét a következő címen:
Kerülő megoldás
A problémát az alábbi módszerekkel oldhatja meg.

1. módszer

Ha a hálózati követelmények lehetővé teszik, letilthatja a távoli eljáráshívási szűrőket a tűzfal- és a virtuális magánhálózati alkalmazásokban.

2. módszer

Fontos: Az alábbi bekezdés, módszer, illetve feladat a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről módosítása előtt célszerű biztonsági másolatot készíteni, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 Útmutató: A rendszerleíró adatbázis biztonsági mentése, szerkesztése és visszaállítása Windows XP és Windows Server 2003 rendszerben


Amennyiben azonnal szükség van a távoli eljáráshívásra épülő műveletekre, és nincs mód a tűzfalak és a magánhálózatok ütemezett frissítésére, telepítse az ebben a részben ismertetett gyorsjavítást, majd hajtsa végre az alábbi műveleteket.

Fontos: A Windows Vista rendszerhez nincs szükség gyorsjavításra. A beállításjegyzéket azonban Windows Vista rendszerű számítógépeken is módosítani kell az alábbi lépéseket követve.
  1. Kattintson a Start menü Futtatás parancsára, a megjelenő párbeszédpanel beviteli mezőjébe írja be a regedit parancsot, majd kattintson az OK gombra.
  2. Keresse meg a következő beállításkulcsot, és kattintson rá:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. Mutasson a Szerkesztés menü Új pontjára, majd kattintson a Duplaszó parancsra.
  4. Az új duplaszóérték neveként írja be a
    Server2003NegotiateDisable
    karaktereket.
  5. Kattintson a jobb gombbal a
    Server2003NegotiateDisable
    elemre, majd kattintson a helyi menü Módosítás parancsára.
  6. Az Érték mezőbe írja be az 1 értéket, majd kattintson az OK gombra.

    Megjegyzés: Ez a beállítás letiltja a kötési idejű egyeztetést és a többszörös átviteliszintaxis-egyeztetést.
  7. Lépjen ki a beállításszerkesztőből. Indítsa újra a számítógépet.
  8. Miután a tűzfalak és a virtuális magánhálózati eszközök már kompatibilisek a számítógép távoli eljáráshívási műveleteivel, állítsa a
    Server2003NegotiateDisable
    elem beállításértékét (korábbi nevén rendszerleíró értékét) 0-ra. Ezután indítsa újra a számítógépet.

Windows Server 2003 Service Pack 1

A Microsoft közzétett egy támogatott gyorsjavítást, de az csak a jelen cikkben ismertetett probléma megoldására alkalmas. Csak olyan rendszereken telepítse, amelyeken az adott probléma jelentkezik. A gyorsjavítás további tesztelésen mehet keresztül, ezért a Microsoft azt javasolja, hogy amennyiben a probléma nem érinti súlyosan, várja meg a következő szoftverfrissítést, amely tartalmazni fogja ezt a gyorsjavítást.

Amennyiben a gyorsjavítás letölthető, a Tudásbázis jelen cikke tetején megtalálható egy, a letölthető gyorsjavításról tájékoztató bekezdés. Ha a bekezdés nem jelenik meg, a gyorsjavítás beszerzéséhez forduljon a Microsoft ügyfél- és támogatási szolgálatához.

Megjegyzés: További problémák esetén, vagy ha hibaelhárításra van szükség, előfordulhat, hogy létre kell hoznia egy külön szolgáltatásigénylést. A szokásos támogatási díjak terhelik a tanácsadó szolgálatnak feltett további kérdéseket, amennyiben azok nem kapcsolatosak a szóban forgó gyorsjavítással. A Microsoft ügyfél- és támogatási szolgálata telefonszámainak teljes listájáért vagy a külön szolgáltatásigénylések létrehozásával kapcsolatos információkért keresse fel a Microsoft alábbi webhelyét: Megjegyzés: A letölthető gyorsjavítással foglalkozó részben a gyorsjavítás összes nyelvváltozatát megtalálja. Ha a keresett nyelv nem található a felsoroltak között, a gyorsjavítás azon a nyelven nem érhető el.A gyorsjavítás angol nyelvű változata a következő táblázatban található fájlattribútumokkal (vagy újabbakkal) rendelkezik. A fájlok dátuma és időpontja egyezményes világidő (UTC) szerint van megadva. A fájlinformációk megtekintése során a dátumok és időpontok helyi időre konvertálódnak. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.
Fájlinformáció
   Dátum        Verziószám       Méret    Fájlnév     Platform    -----------------------------------------------------------   2005.05.03.  5.2.3790.2436    642 048  Rpcrt4.dll  x86    2005.05.03.  5.2.3790.2436  1 714 688  Rpcrt4.dll  x64    2005.05.03.  5.2.3790.2436  2 462 208  Rpcrt4.dll  IA-64

Windows Server 2003 Service Pack 2

Fontos: Az alábbi bekezdés, módszer, illetve feladat a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről módosítása előtt célszerű biztonsági másolatot készíteni, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 Útmutató: A rendszerleíró adatbázis biztonsági mentése, szerkesztése és visszaállítása Windows XP és Windows Server 2003 rendszerben


A hiba javítását a Windows Server 2003 Service Pack 2 szervizcsomag tartalmazza.A Windows Server 2003 Service Pack 2 szervizcsomagról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
889100 A Windows Server 2003 legfrissebb szervizcsomagjának beszerzése
A Windows Server 2003 SP2 szervizcsomag telepítése után az alábbi lépéseket követve módosítania kell a beállításjegyzéket:
  1. Kattintson a Start menü Futtatás parancsára, a megjelenő párbeszédpanel beviteli mezőjébe írja be a regedit parancsot, majd kattintson az OK gombra.
  2. Keresse meg a következő beállításkulcsot, és kattintson rá:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. Mutasson a Szerkesztés menü Új pontjára, majd kattintson a Duplaszó parancsra.
  4. Az új duplaszóérték neveként írja be a Server2003NegotiateDisable karaktereket.
  5. Kattintson a jobb gombbal a Server2003NegotiateDisable elemre, és válassza a Módosítás parancsot.
  6. Az Érték mezőbe írja be az 1 értéket, majd kattintson az OK gombra.

    Megjegyzés: Ez a beállítás letiltja a kötési idejű egyeztetést és a többszörös átviteliszintaxis-egyeztetést.
  7. Lépjen ki a beállításszerkesztőből, és indítsa újra a számítógépet.
  8. Miután a tűzfalak és a virtuális magánhálózati eszközök már kompatibilisek a számítógép távoli eljáráshívási műveleteivel, állítsa a Server2003NegotiateDisable elem beállításértékét (korábbi nevén rendszerleíró értékét) 0-ra. Ezután indítsa újra a számítógépet.
További információ
A probléma jelentkezése esetén a Microsoft Outlook ügyfélprogramok nem tudnak kapcsolatba lépni az Exchange-kiszolgálóval. Ezért a rendszergazdáknak ellenőrizniük kell a hálózati infrastruktúrát alkotó eszközök távoli eljáráshívást érintő szűrőinek definícióit: győződjenek meg arról, hogy ezek kompatibilisek a Windows Server 2003 SP1 vagy Windows Vista rendszerben továbbított távoli eljáráshívási adatforgalommal. Ezt még azelőtt kell megtenniük, hogy a valódi rendszerkörnyezetekben üzembe helyeznék a tűzfalakat, a virtuális magánhálózati eszközöket, a Windows Server 2003 SP1 rendszert vagy a Windows Vista rendszert.

Különösen fontos végrehajtani az ellenőrzést abban az esetben, ha a tűzfalak tartományvezérlők között is képesek szűrni a távoli eljáráshívásra épülő replikációs adatforgalmat, hiszen az ilyen szűrési műveletek hosszabb időre is blokkolhatják az Active Directory címtárszolgáltatásban zajló replikációt.

A rendszergazdáknak figyelőszoftverrel kell biztosítaniuk, hogy az egyazon erdőben található tartományvezérlők a törlésre kijelölés élettartamán belül hajtsák végre a bejövő adatok replikációját. Ez az időtartam alapértelmezés szerint hatvan nap. Azok a tartományvezérlők, amelyek nem képesek a törlésre kijelölés előző élettartamán belül végrehajtani az egyes törlési műveletek bejövő adatainak replikálását, mindaddig inkonzisztensek lesznek a módosítások tekintetében, míg egy rendszergazda meg nem teszi a szükséges lépéseket.

Az alábbiak a címtárszolgáltatás eseménynaplójában szereplő azon események közé tartoznak, amelyek jelzik, hogy az Active Directorybeli replikálás sikertelen a Windows Server 2003 rendszerű tartományvezérlőkön:
  • 1862: A helyi tartományvezérlő egy ideje nem kapott replikációs információt egyes tartományvezérlőktől (helyek közötti replikálás)
  • 1864: A helyi tartományvezérlő egy ideje nem kapott replikációs információt egyes tartományvezérlőktől (helyen belüli replikálás)
  • 2042: Túl sok idő telt el, mióta a számítógép utoljára replikációt végzett a megnevezett forrásgéppel (törlésre kijelölés élettartama)
Ha a rendszergazda nem rendelkezik figyelőeszközzel, akkor vállalati rendszergazdai hitelesítő adatainak birtokában naponta futtathatja a Windows Server 2003 rendszer REPADMIN parancsát:
repadmin /showrepl * /csv >showrepl.csv
A Showrepl.csv fájl vesszőkkel tagolt fájlokat feldolgozni képes programokkal (például a Microsoft Excel alkalmazással) tekinthető meg. A legfontosabb feladat azon cél-tartományvezérlők replikációs hibáinak elhárítása, amelyek a legrégebb óta nem fogadtak bejövő replikációs adatokat.

A Repadmin.exe fájl a Windows Server 2003 rendszer telepítési adathordozójának Support\Tools\ mappájában lévő Suptools.msi fájlban található.

A fennmaradó objektumok eltávolításának mikéntjéről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
870695 Az Active Directory elavult objektumai 1988-as hibát okoznak a Windows Server 2003 rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A Check Point Software Technologies szoftvereiről a cég (angol nyelvű) webhelye nyújt bővebb tájékoztatást:Az ISA Server alkalmazásról a Microsoft webhelyén olvashat bővebben:A Microsoft nem tud olyan, programszintű szűrést végző útválasztóról vagy kapcsolóeszközről, amely problémát okozna a Windows Server 2003 SP1 vagy a Windows Vista rendszerbeli, távoli eljáráshívással kapcsolatos műveletek során.

A következő hibaüzenetet rendszerint abban az esetben jelenítik meg az összetevők, ha egy tűzfalszoftver visszautasítja a többszörös átviteli szintaxisokkal rendelkező távoli eljáráshívási kereteket, illetve ha egy virtuális magánhálózat a 1727-es operációsrendszer-hibát okozza egy 32 bites Windows rendszerben:
A távoli eljáráshívást nem lehetett végrehajtani.
Ez az általános hibaüzenet több esetben is előfordulhat, így nem vezethető vissza egyértelműen a Windows Server 2003 SP1 vagy Windows Vista rendszert futtató számítógépekről érkező távoli eljáráshívási keretek blokkolására.

A DCE szabvány távoli eljáráshívással kapcsolatos leírását az Opengroup (angol nyelvű) webhelyén olvashatja:Ez a leírás további információval szolgál a többszörös átviteli szintaxis támogatásáról is:A cikkben említett, harmadik féltől származó termékek a Microsofttól független gyártók termékei, amelyek teljesítményére és megbízhatóságára a Microsoft sem törvényi, sem másféle garanciát nem vállal.
Állapot
A Microsoft megerősítette, hogy a cikkben tárgyalt jelenség az érintett termékek hibájára vezethető vissza. A hiba első javítását a Windows Server 2003 Service Pack 2 szervizcsomag tartalmazza.
checkpoint bind time negotiation multiple transfer syntax negotiation 887222 S0X050614700037
Svojstva

ID članka: 899148 - posljednja izmjena: 12/01/2008 21:41:00 - verzija: 11.2

Microsoft Windows Server 2003 Service Pack 1, Windows Vista Business, Windows Vista Home Basic, Windows Vista Enterprise, Windows Vista Home Premium, Windows Vista Ultimate, Windows Vista Enterprise 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Business 64-bit edition

  • kbtshoot kbqfe kbprb kbconfig kbwinservnetwork kbconnectivity kbnetwork_techconfigissue kbexpertiseadvanced kbwinserv2003sp2fix kbautohotfix KB899148
Povratne informacije