某些防火牆可能會拒絕來自 Windows Server 2003 Service Pack 1 或 Windows Vista 電腦的網路通訊

重要 本文包含如何修改登錄的相關資訊。修改登錄之前,請務必將它備份起來,並瞭解如何在發生問題時還原登錄。如需有關如何備份、還原和修改登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986 Description of the Microsoft Windows registry
徵狀
如果某些防火牆和 VPN 產品拒絕網路要求,遠端程序呼叫作業可能會失敗。如果是來自 Microsoft Windows Server 2003 Service Pack 1 或 Windows Vista 電腦的網路要求,就會遭到拒絕。這些網路要求在套用 Windows Server 2003 Service Pack 1 (SP1) 的 Windows Server 2003 電腦上、OEM,或是零售安裝媒體包含 SP1 更新的情況下可能會失敗。下列產品可能會拒絕這些網路要求:
  • Checkpoint Software Technologies 的防火牆或虛擬私人網路 (VPN) 產品
  • Microsoft Internet Security and Acceleration (ISA) Server
  • Cisco VPN Client 5.0.0.0340
注意 在 2005 年 5 月時,上述清單包含可能會拒絕這些網路要求的產品。然而,上述清單並不包含會執行應用程式等級的篩選,以及能夠拒絕網路要求的每種可能產品。執行應用程式等級篩選之其他製造廠商的硬體和軟體,也可能會拒絕執行 Windows Server 2003 Service Pack 1 (SP1) 或 Windows Vista 之電腦的遠端程序呼叫 (RPC) 要求。
發生的原因
因為 Windows Server 2003 SP1 或 Windows Vista 在 RPC 實作方面新增某些新傳輸語法的支援,所以會發生這個問題。這些新的傳輸語法稱為「多重傳輸語法交涉」(Multiple Transfer Syntax Negotiation),它們可以協助 32 位元與 64 位元電腦處理較大的工作量。此外,它們通常也可以協助加快 32 位元與 64 位元電腦的運作速度。

尤其是,如果防火牆和 VPN 產品允許繫結 RPC 通訊協定資料單位 (PDU) 中存在一個以上的呈現內容,可能會導致下列其中一種徵狀:
  • 遺漏網路上的 RPC 框架
  • 提前關閉來自 Windows Server 2003 SP1 或 Windows Vista 電腦的連線
解決方案
如果要解決這個問題 (Windows Server 2003 SP1 或 Windows Vista 的電腦在安裝 Windows Server 2003 SP1 或 Windows Vista 之後,RPC 作業即無法跨越 VPN 或防火牆),請連絡防火牆或 VPN 廠商查看是否有可用的 RPC 篩選器更新版本。如果 RPC 作業遭到 Microsoft Internet Security and Acceleration Server (ISA) 2000 或 ISA Server 2004 Standard Edition 電腦上的篩選器封鎖,請參閱「Microsoft 知識庫」中的文件:887222:
887222 The ISA Server RPC filter blocks RPC traffic after Windows Server 2003 Service Pack 1 is installed on a computer that is running ISA Server 2004 or ISA Server 2000

如果 RPC 作業遭到 Check Point Software 產品上的篩選器所封鎖,請參閱 Check Point Software SecureKnowledge 文件 SK30784,或造訪下列 Checkpoint Software 網站:
其他可行方案
如果要解決這個問題,請使用下列其中一種方法。

方法 1

如果網路需求允許的話,您可以停用防火牆和 VPN 產品的 RPC 篩選器。

方法 2

警告 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。您可能需要重新安裝作業系統,才能解決這些問題。Microsoft 不保證可以解決這些問題。請自行承擔修改登錄的一切風險。

如果您需要 RPC 作業立即運作,並且無法及時更新防火牆和 VPN,請安裝本節中說明的 Hotfix,然後依照下列步驟執行。

重要 Windows Vista 不需要 Hotfix。不過,您必須依照下列步驟執行,修改 Windows Vista 電腦上的登錄。
  1. 按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]
  2. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
  3. 按一下 [編輯] 功能表,指向 [新增],然後按一下 [DWORD 值]
  4. 輸入
    Server2003NegotiateDisable
    做為新增 DWORD 值的名稱。
  5. 用滑鼠右鍵按一下 [
    Server2003NegotiateDisable
    ]
    ,然後按一下 [修改]
  6. [數值資料] 方塊中,輸入 1,然後按一下 [確定]

    注意 這個設定會停用繫結時間交涉以及多重傳輸語法交涉。
  7. 結束 [登錄編輯程式]。重新啟動電腦。
  8. 在防火牆和 VPN 裝置與電腦上的 RPC 相容後,請將登錄中
    Server2003NegotiateDisable
    項目的值設定為 0。然後,重新啟動電腦。

Windows Server 2003 Service Pack 資訊

如果要解決這個問題,請取得 Windows Server 2003 的最新版 Service Pack。如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
889100 HOW TO:取得 Windows Server 2003 的最新版 Service Pack

Windows Server 2003 Hotfix 資訊

目前 Microsoft 已提供支援的 Hotfix,但是其目的只為修正本文中所描述的問題。請只在發生此特定問題的系統上套用這個 Hotfix。這個 Hotfix 可能會接受其他測試。因此,如果此問題沒有對您造成嚴重影響,Microsoft 建議您等候下一版包含此 Hotfix 的 Service Pack。

如果要解決這個問題,請向 Microsoft Online Customer Services 提出取得此 Hotfix 的要求。如果要線上提交取得此 Hotfix 的要求,請造訪下列 Microsoft 網站:注意 如果發生其他問題,或者需要進行任何疑難排解,您必須另外建立一份服務要求。一般來說,如果有其他支援問題是所描述的此特定 Hotfix 無法解決的,才會收取支援費用。如果要另外建立一份服務要求,請造訪下列 Microsoft 網站: 此 Hotfix 的英文版具有下表中所列的檔案屬性 (或更新的檔案屬性)。這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。當您檢視檔案資訊時,它會轉換為當地時間。如果要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 工具的 [時區] 索引標籤。
檔案資訊
日期版本大小檔案名稱平台
05-03-20055.2.3790.2436642,048Rpcrt4.dllx86
05-03-20055.2.3790.24361,714,688Rpcrt4.dllx64
05-03-20055.2.3790.24362,462,208Rpcrt4.dllIA-64
其他相關資訊
出現這個問題時,Microsoft Outlook 用戶端無法連線至 Exchange Server。因此,系統管理員必須評估網路基礎結構裝置中的 RPC 篩選器定義,是否與 Windows Server 2003 SP1 或 Windows Vista RPC 通訊相容。在將防火牆/VPN 裝置或 Windows Server 2003 SP1 或 Windows Vista 部署至實際執行環境 (這類網路裝置所部署的位置) 之前,系統管理員應該先進行此評估。

在防火牆能夠篩選網域控制站之間的 RPC 複寫通訊時,特別適合進行評估。這是因為篩選網域控制站之間的 RPC 複寫流量會導致長時間中斷 Active Directory 複寫的緣故。

尤其是,系統管理員應該嘗試使用監視軟體,以確定樹系中所有的網域控制站都會復原標記存留時間天數內執行傳入的複寫。而根據預設,復原標記存留時間天數是 60 天。如果網域控制站在之前的標記存留時間天數內,無法執行每個刪除資訊的傳入複寫,那麼網域控制站會一直和這些變更不一致,直到系統管理員介入為止。

Directory Service 事件日誌中,指出 Active Directory 複寫在 Windows Server 2003 網域控制站上失敗的事件包含如下:
  • 1862: 「本機網域控制站最近並未從一些網域控制站收到複寫資訊」(站台間)
  • 1864: 「本機網域控制站最近並未從一些網域控制站收到複寫資訊」(站台內)
  • 2042: 「這台電腦上次與已命名的來源電腦進行複寫後已經過很長一段時間」(TSL 天數)
如果系統管理員沒有監視解決方案,可以使用企業系統管理員認證每天執行下列 Windows Server 2003 的 REPADMIN 命令:
repadmin /showrepl * /csv >showrepl.csv
系統管理員可以使用能夠剖析以逗點分隔之文字的程式 (例如 Microsoft Excel) 來檢視 Showrepl.csv 檔。優先順序高的工作會包含在傳入複寫失敗時間最長的目的網域控制站上,解決複寫失敗問題。

Repadmin.exe 位於 Windows Server 2003 安裝媒體的 Support\Tools\ Suptools.msi 檔案中。

如需有關如何移除延遲物件的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
870695Outdated Active Directory objects generate event ID 1988 in Windows Server 2003
如需有關 Checkpoint Software Technologies 程式的詳細資訊,請造訪下列 Checkpoint Software Technologies 網站:如需有關 ISA Server 的詳細資訊,請造訪下列 Microsoft 網站:Microsoft 並不知道任何執行程式等級篩選,並且會干擾 Windows Server 2003 SP1 或 Windows Vista 中 RPC 作業的路由器或交換器。

當使用多重傳輸語法的 RPC 框架遭到防火牆或 VPN 拒絕,因而產生 Windows 32 錯誤 1727 時,元件通常會顯示下列錯誤訊息:
遠端程序呼叫失敗且不執行
這個一般錯誤代碼具有多個根本原因,並且無法唯一識別來自 Windows Server 2003 SP1 或 Windows Vista 電腦的 RPC 框架封鎖。

如需有關 DCE RPC 規格的詳細資訊,請造訪下列 Opengroup 網站:如需有關 DCE RPC 規格中對多重傳輸語法支援的詳細資訊,請造訪下列 Opengroup 網站: 本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。Microsoft 不以暗示或其他方式,提供與這些產品的效能或可靠性有關的保證。
狀況說明
Microsoft 已確認本篇文章<適用於>一節所列之 Microsoft 產品確實有上述問題。 這個問題最早是在 Windows Server 2003 Service Pack 2 中獲得修正。
checkpoint bind time negotiation multiple transfer syntax negotiation 887222 S0X050614700037
內容

文章識別碼:899148 - 最後檢閱時間:07/18/2007 08:19:00 - 修訂: 10.1

Microsoft Windows Server 2003 SP1, Windows Vista 商用入門版, Windows Vista 家用入門版, Windows Vista 商用進階版, Windows Vista 家用進階版, Windows Vista 旗艦版, Windows Vista 商用進階 64 位元版, Windows Vista 家用入門 64 位元版, Windows Vista 家用進階 64 位元版, Windows Vista 旗艦 64 位元版, Windows Vista 商用入門 64 位元版

  • kbtshoot kbqfe kbprb kbconfig kbwinservnetwork kbconnectivity kbnetwork_techconfigissue kbexpertiseadvanced kbhotfixserver kbwinserv2003sp2fix KB899148
意見反應