Alguns firewalls podem rejeitar tráfego de rede proveniente de computadores baseados no Windows Server 2003 Service Pack 1

O suporte para Windows Server 2003 terminou a 14 de Julho de 2015

A Microsoft terminou o suporte para Windows Server 2003 a 14 de Julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

Sintomas
As operações baseadas em chamadas de procedimento remoto poderão falhar se determinados firewalls e produtos VPN negarem pedidos de rede. Esta recusa ocorre se os pedidos de rede forem provenientes de computadores baseados no Microsoft Windows Server 2003 Service Pack 1. Estes pedidos de rede poderão falhar nos computadores onde foi aplicado o Windows Server 2003 Service Pack 1 (SP1) num computador baseado no Windows Server 2003, ou o OEM, ou o suporte de instalação de revenda incluir actualizações SP1. Os seguintes produtos podem negar estes pedidos de rede:
  • Firewalls ou produtos de redes privadas virtuais (VPN, Virtual Private Network) da Checkpoint Software Technologies
  • Microsoft Internet Security and Acceleration (ISA) Server
Nota: desde Maio de 2005, a lista anterior inclui os produtos que a Microsoft considerou serem susceptíveis de negarem estes pedidos de rede. No entanto, é possível que a lista anterior não inclua todos os produtos possíveis que efectuam filtragem ao nível de aplicações e que podem negar pedidos de rede. O hardware e software de outros fabricantes que efectue filtragem ao nível de aplicações também pode negar pedidos de chamada de procedimento remoto (RPC, remote procedure call) de computadores com o Windows Server 2003 Service Pack 1 (SP1).

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).
Causa
Este problema ocorre porque o Windows Server 2003 SP1 inclui suporte de algumas novas sintaxes de transferência para a implementação da RPC. Estas novas sintaxes de transferência são conhecidas como "negociação de sintaxes de múltiplas transferências". Estas sintaxes ajudam os computadores de 32 e 64 bits a processarem cargas de trabalho de maiores dimensões. Além disso, ajudam frequentemente a optimizar o desempenho destes computadores.

Especificamente, os firewalls e produtos VPN que permitem mais do que um contexto de apresentação numa unidade de dados de protocolo (PDU, Protocol Data Unit) associada à RPC podem causar um dos seguintes sintomas:
  • Pacotes de RPC rejeitados na rede
  • Ligações de computadores baseados no Windows Server 2003 SP1 fechadas prematuramente
Resolução
Para resolver este problema, se as operações baseadas em RPC nos computadores baseados no Windows Server 2003 falharem numa VPN ou num firewall imediatamente após a instalação do Windows Server 2003 SP1, contacte o fornecedor do firewall ou VPN para saber se existe alguma versão actualizada do filtro de RPC. Se as operações baseadas em RPC estiverem a ser bloqueadas por filtros nos computadores com o Microsoft Internet Security and Acceleration Server (ISA) 2000, ou ISA Server 2004 Standard Edition, consulte o artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base): 887222:
887222 The ISA Server RPC filter blocks RPC traffic after Windows Server 2003 Service Pack 1 is installed on a computer that is running ISA Server 2004 or ISA Server 2000
O filtro de RPC do ISA Server bloqueia tráfego de RPC depois do Windows Server 2003. Se as operações baseadas em RPC forem bloqueadas por filtros de produtos da Check Point Software, consulte o artigo SK30784 da Check Point Software SecureKnowledge, ou visite o seguinte Web site da Checkpoint Software:
Como contornar
Para contornar este problema, utilize um dos métodos que se seguem:

Método 1

Pode desactivar filtros de RPC em firewalls e produtos VPN se os requisitos da rede assim o permitirem.

Método 2

Se necessitar que as operações baseadas em RPC funcionem imediatamente e não conseguir actualizar firewalls e VPNs atempadamente, instale a correcção descrita nesta secção e siga estes passos:
  1. Clique em Iniciar (Start), clique em Executar (Run), escreva regedit e clique em OK.
  2. Localize e clique na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. No menu Editar (Edit), aponte para Novo (New) e clique em Valor DWORD (DWORD Value).
  4. Escreva
    Server2003NegotiateDisable
    como o nome do novo valor DWORD
  5. Clique com o botão direito do rato em
    Server2003NegotiateDisable
    e clique em Modificar (Modify).
  6. Na caixa Dados do valor (Value Data), escreva 1 e clique em OK.
    Nota: esta definição desactiva a negociação de tempo de ligação e de sintaxes de múltiplas transferências.
  7. Saia do Editor de registo (Registry Editor). Reinicie o computador baseado no Windows Server 2003.
  8. Quando existir compatibilidade dos firewalls e dispositivos VPN com RPC no computador com o Service Pack 1 instalado, defina o valor da entrada
    Server2003NegotiateDisable
    no registo como 0. Em seguida, reinicie o computador baseado no Windows Server 2003.

Informações sobre a correcção

A Microsoft tem já disponível uma correcção suportada, mas destina-se apenas a corrigir o problema descrito neste artigo. Aplique-a apenas em sistemas que tenham este problema específico. Esta correcção poderá ser submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afectado por este problema, recomendamos que aguarde o próximo Windows Server 2003 que contenha esta correcção.

Para resolver este problema imediatamente, contacte o suporte técnico da Microsoft para obter a correcção. Para obter uma lista completa dos números de telefone do suporte técnico da Microsoft, bem como informações sobre os custos de suporte, visite o seguinte Web site da Microsoft: Nota: em casos especiais, os custos normalmente inerentes às chamadas de suporte poderão ser anulados, se um técnico de suporte da Microsoft determinar que uma actualização específica resolverá o problema. Os custos normais do suporte serão aplicados a problemas e questões de suporte adicionais, não incluídos na actualização específica em questão.A versão inglesa desta correcção tem os atributos de ficheiro listados na tabela que se segue (ou atributos de ficheiro posteriores). As datas e horas destes ficheiros são indicadas no formato de hora universal coordenada (UTC, Coordinated Universal Time). Ao visualizar as informações dos ficheiros, estas serão convertidas na hora local. Para determinar a diferença entre a hora UTC e a hora local, utilize o separador Fuso horário (Time Zone) da ferramenta Data e hora (Date and Time) do Painel de controlo (Control Panel).
Informações sobre os ficheiros
   Data        Versão       Tamanho   Ficheiro    Plataforma ---------------------------------------------------------------- 05-03-2005  5.2.3790.2436   642,048   Rpcrt4.dll  x86 05-03-2005  5.2.3790.2436  1,714,688  Rpcrt4.dll  x64 05-03-2005  5.2.3790.2436  2,462,208  Rpcrt4.dll  IA-64
Mais Informação
Os administradores são aconselhados a avaliar se as definições dos filtros de RPC nos dispositivos de infra-estrutura de rede são compatíveis com o tráfego de RPC do Windows Server 2003 SP1. Um administrador deverá efectuar esta avaliação antes de implementar dispositivos de firewall/VPN ou o Windows Server 2003 SP1 em ambientes de produção em que tais dispositivos de rede estão implementados.

A avaliação é especialmente conveniente quando os firewalls conseguem filtrar tráfego de replicação baseado em RPC entre controladores de domínio. A filtragem de tráfego de replicação baseado em RPC entre controladores de domínio pode causar uma longa interrupção na replicação do Active Directory.

Especificamente, os administradores deverão tentar utilizar software de controlo para se certificarem de que todos os controladores de domínio de uma floresta executam a replicação de entrada dentro do número de dias de duração dos objectos eliminados. Por predefinição, o número de dias de duração dos objectos eliminados é de 60 dias. Os controladores de domínio que não consigam efectuar a replicação de entrada de informações sobre cada eliminação dentro do anterior número de dias de duração dos objectos eliminados estarão sempre inconsistentes relativamente a estas alterações até à intervenção de um administrador.

De entre os eventos no registo de eventos do serviço de directório que indicam falhas na replicação do Active Directory nos controladores de domínio baseados no Windows Server 2003 estão incluídos os seguintes:
  • 1862: “O controlador de domínio local não recebeu informações de replicação a partir de vários controladores de domínio” (entre locais) - ou - 1862: “the local DC has not recently received replication information from a number of domain controllers” (intersite)
  • 1864: “O controlador de domínio local não recebeu informações de replicação a partir de vários controladores de domínio” (dentro do local) - ou - 1864: “the local DC has not recently received replication information from a number of domain controllers” (intrasite)
  • 2042: “Já decorreu bastante tempo desde que esta máquina efectuou uma replicação com a máquina de origem nomeada.” (número de dias de TSL) - ou - 2042: “it has been too long since this machine last replicated with the named source” (TSL # of days)
Se os administradores não tiverem uma solução de controlo, poderão utilizar credenciais de administrador empresarial para executar o seguinte comando REPADMIN do Windows Server 2003 diariamente:
repadmin /showrepl * /csv >showrepl.csv
Os administradores conseguem visualizar o ficheiro Showrepl.csv num programa como o Microsoft Excel que analisa texto separado por vírgulas. Uma das tarefas de alta prioridade inclui a resolução de falhas de replicação em controladores de domínio de destino que falharam na replicação de entrada por um período de tempo mais prolongado.

O Repadmin.exe encontra-se no ficheiro Support\Tools\ Suptools.msi do suporte de instalação do Windows Server 2003.

Para obter mais informações sobre como remover objectos lentos, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
870695 Outdated Active Directory objects generate event ID 1988 in Windows Server 2003
Para obter mais informações sobre programas da Checkpoint Software Technologies, visite o seguinte Web site da Checkpoint Software Technologies:Para obter mais informações sobre o ISA Server, visite o seguinte Web site da Microsoft:A Microsoft não tem conhecimento de um router ou comutadores que efectuem a filtragem ao nível dos programas e possam interferir com operações baseadas em RPC no Windows Server 2003 SP1.

A seguinte mensagem de erro é apresentada normalmente pelos componentes quando os pacotes de RPC com sintaxes de múltiplas transferências são rejeitados por um firewall ou uma VPN gera o erro Windows 32 1727:
A chamada de procedimento remoto falhou e não foi executada - ou - The remote procedure call failed and did not execute
Este código de erro genérico tem várias causas principais e não identifica unicamente o bloqueio de pacotes de RPC de computadores baseados no Windows Server 2003 SP1.

Para obter informações sobre a especificação DCE RPC, visite o seguinte Web site da Opengroup:Para obter informações sobre suporte de sintaxes de múltiplas transferências na especificação DCE RPC, visite o seguinte Web site da Opengroup:Os produtos de outros fabricantes referidos neste artigo são fabricados por empresas independentes da Microsoft. A Microsoft não concede nenhuma garantia, implícita ou de outra natureza, relativamente ao desempenho ou à fiabilidade destes produtos.
checkpoint bind time negotiation multiple transfer syntax negotiation 887222 S0X050614700037
Propriedades

ID do Artigo: 899148 - Última Revisão: 04/13/2006 11:18:00 - Revisão: 8.1

Microsoft Windows Server 2003 Service Pack 1

  • kbtshoot kbqfe kbprb kbconfig kbwinservnetwork kbconnectivity kbnetwork_techconfigissue kbexpertiseadvanced kbhotfixserver KB899148
Comentários
ERROR: at System.Diagnostics.Process.Kill() at Microsoft.Support.SEOInfrastructureService.PhantomJS.PhantomJSRunner.WaitForExit(Process process, Int32 waitTime, StringBuilder dataBuilder, Boolean isTotalProcessTimeout)