kb899148:一些防火墙可能拒绝来自2003 SP1 计算机的网络流量
kb899148:一些防火墙可能拒绝来自 Windows Server 2003 Service Pack 1 计算机的网络流量症状
如果某些防火墙和 VPN 产品拒绝网络请求,则基于远程过程调用的操作可能会失败。如果网络请求来自 Microsoft WindowsServer 2003 Service Pack 1 计算机,则会发生这种拒绝现象。如果将 Windows Server 2003Service Pack 1 (SP1) 应用到 Windows Server 2003 计算机,或者您的 OEM 版或零售版安装媒体包含SP1 更新,则计算机上的这些网络请求可能会失败。下列产品可能拒绝这些网络请求:
• 源于 Checkpoint Software Technologies 的防火墙或虚拟专用网络 (VPN) 产品
• Microsoft Internet Security and Acceleration (ISA) Server
注意:截止到 2005 年 5 月,早期的列表包括了 Microsoft已经确定可能拒绝这些网络请求的产品。但是,该列表未包括执行应用程序级别筛选和可能拒绝网络请求的每一种产品。其他制造商的执行应用程序级别筛选的硬件和软件也可能拒绝来自 Windows Server 2003 Service Pack 1 (SP1) 计算机的远程过程调用 (RPC) 请求。
原因
发生该问题的原因在于 Windows Server 2003 SP1 在 RPC实现中添加了对一些新转换语法的支持。这些新转换语法被称作“多转换语法协商”。它有助于 32 位和 64位计算机处理更大的工作负载。另外,它还经常可以帮助提高 32 位和 64 位计算机的运行速度。
具体而言,允许有多个表达上下文出现在绑定 RPC 协议数据单元 (PDU) 的防火墙和 VPN 产品可能会导致以下症状之一:
• 在网络上丢弃 RPC 帧
• 过早地关闭与 Windows Server 2003 SP1 计算机的连接
解决方案
如果一安装 Windows Server 2003 SP1,Windows Server 2003 计算机上基于 RPC 的操作就无法通过VPN 或防火墙,请联系您的防火墙或 VPN 供应商,了解他们是否提供了 RPC 筛选器的更新版本,以便解决此问题。如果基于 RPC 的操作被Microsoft Internet Security and Acceleration Server (ISA) 2000 或 ISAServer 2004 Standard Edition 计算机上的筛选器阻止,请查看 Microsoft 知识库文章887222:
887222 (http://support.microsoft.com/kb/887222/) 在将 Windows Server 2003Service Pack 1 安装在运行 ISA Server 2004 或 ISA Server 2000 的计算机后,ISA ServerRPC 筛选器阻止 RPC 通信
安装 Windows Server 2003 后,ISA Server RPC 筛选器阻止 RPC 通信。如果基于 RPC 的操作被Check Point Software 产品上的筛选器阻止,请参阅 Check Point Software SecureKnowledge文章 SK30784,或访问下面的 Checkpoint Software 网站:
http://www.checkpoint.com/ (http://www.checkpoint.com/)
替代方法
要解决此问题,请使用下列方法之一。
方法 1
如果网络没有限制,请在防火墙和 VPN 产品上禁用 RPC 筛选器。
方法 2
如果您需要基于 RPC 的操作立即运行,并且不能及时更新防火墙和 VPN,请安装本文介绍的修复程序,然后按照下列步骤操作:
1. 单击“开始”,单击“运行”,键入 regedit,然后单击“确定”
2. 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
3. 单击“编辑”菜单,指向“新建”,然后单击“DWORD 值”。
4. 键入 Server2003NegotiateDisable,作为新的“DWORD 值”的名称。
5. 右键单击“Server2003NegotiateDisable”,然后单击“修改”。
6. 在“数值数据”框中,键入“1”,然后单击“确定”。
注意:此设置禁用绑定时间协商和多转换语法协商。
7. 退出注册表编辑器。重新启动 Windows Server 2003 计算机。
8. 在防火墙和 VPN 设备与装有 Service Pack 1 的计算机上的 RPC 兼容后,将注册表中“Server2003NegotiateDisable”项的值设置为 0。然后,重新启动 Windows Server 2003 计算机。
修复程序信息
Microsoft现在提供了一个受支持的修复程序,但该程序只用于解决本文中提到的问题。仅当系统遇到本文描述的特定问题时才可应用此修复程序。此修复程序可能还会接受进一步的测试。因此,如果此问题没有对您造成严重影响,我们建议您等待包含此修复程序的下一个 Windows Server 2003 版本。
要立即解决此问题,请与 Microsoft 产品支持服务联系,以获取此修复程序。要获取 Microsoft 产品支持服务电话号码和支持费用信息的完整列表,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support (http://support.microsoft.com/contactus/?ws=support)
注意:特殊情况下,如果 Microsoft支持专业人员确定某个特定的更新能够解决您的问题,则可免收通常收取的电话支持服务费用。对于特定更新无法解决的其他支持问题和事项,将按正常情况收取支持费用。此修复程序的英文版具有下表所列的文件属性(或更新的文件属性)。这些文件的日期和时间按协调通用时间 (UTC)列出。当您查看文件信息时,该时间将转换为当地时间。要了解 UTC 与当地时间之间的时差,请使用“控制面板”中“日期和时间”工具的“时区”选项卡。
文件信息
[url=http://www.winos.cn/forum/viewthread.php?tid=1458&extra=page%3D1###][Copy to clipboard][/url]
CODE:
日期 版本 大小 文件名 平台
----------------------------------------------------------
05-03-2005 5.2.3790.2436 642,048 Rpcrt4.dll x86
05-03-2005 5.2.3790.2436 1,714,688 Rpcrt4.dll x64
05-03-2005 5.2.3790.2436 2,462,208 Rpcrt4.dll IA-64
更多信息
我们建议管理员评估网络基础设备中的 RPC 筛选器定义是否与 Windows Server 2003 SP1 RPC通信兼容。管理员应先进行此评估,然后再将防火墙/VPN 设备或 Windows Server 2003 SP1部署到已在其中部署了此类网络设备的生产环境中。
当防火墙可以筛选域控制器之间基于 RPC 的复制通信时,尤其应进行评估。筛选域控制器之间基于 RPC 的复制通信将导致 Active Directory 复制长时间中断。
具体说就是,管理员应尝试使用监控软件,以确保林中的所有域控制器在滚动的逻辑删除生存天数中执行传入复制。默认情况下,滚动的逻辑删除生存天数为60天。如果域控制器在上一个逻辑删除生存天数中无法对每个唯一的删除操作执行传入复制,则除非管理员干预,否则这些域控制器对于那些更改将永远达不到一致。
“目录服务”事件日志中指示 Active Directory 在 Windows Server 2003 域控制器上复制失败的事件包括:
• 1862:“本地 DC 最近没有收到来自一系列目录服务器的复制信息”(站点间)
• 1864:“本地 DC 最近没有收到来自一系列域控制器的复制信息”(站点内)
• 2042: “此计算机与命名的源计算机上一次复制后的时间间隔太长”(逻辑删除生存天数)
如果管理员没有监控解决方案,则可以使用企业管理员凭据每天运行下面的 Windows Server 2003 REPADMIN 命令:
repadmin /showrepl * /csv >showrepl.csv
管理员可以在分析逗号分隔文本的程序(如 Microsoft Excel)中查看 Showrepl.csv 文件。高优先级任务包括解决在最长时间内无法执行传入复制的目标域控制器上的复制失败问题。
Repadmin.exe 位于 Windows Server 2003 安装媒体上的 Support\Tools\ Suptools.msi 文件中。
有关如何删除延迟对象的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
870695 (http://support.microsoft.com/kb/870695/) 过时 Active Directory 对象在 Windows Server 2003 中生成事件 ID 1988
有关 Checkpoint Software Technologies 提供的程序的更多信息,请访问以下 Checkpoint Software Technologies 网站:
http://www.checkpoint.com (http://www.checkpoint.com)
有关 ISA Server 的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/isaserver/default.mspx (http://www.microsoft.com/isaserver/default.mspx)
Microsoft 尚不清楚有哪些路由器或交换机会在 Windows Server 2003 SP1 中执行干扰 RPC 操作的程序级筛选。
当使用多转换语法的 RPC 帧被防火墙拒绝,或者 VPN 生成 Windows 32 错误 1727 时,组件通常会显示以下错误消息:
远程过程调用失败且未运行
该常规错误代码有多种起因,因此并不能唯一确定是 Windows Server 2003 SP1 计算机阻止了 RPC 帧。
有关 DCE RPC 规范的信息,请访问下面的 Opengroup 网站:
http://www.opengroup.org/onlinepubs/009629399/toc.htm (http://www.opengroup.org/onlinepubs/009629399/toc.htm)
有关 DCE RPC 规范中多转换语法支持的信息,请访问下面的 Opengroup 网站:
http://www.opengroup.org/onlinepubs/009629399/chap12.htm#tagcjh_17_06_04_03(http://www.opengroup.org/onlinepubs/009629399/chap12.htm#tagcjh_17_06_04_03)
本文中提到的第三方产品由 Microsoft 以外的其他公司提供。对于这些产品的性能或可靠性,Microsoft 不作任何暗示保证或其他形式的保证。
这篇文章中的信息适用于:
• Microsoft Windows Server 2003 Service Pack 1 当用于
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003, Standard x64 Edition
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Datacenter x64 Edition
关键字: kbwinservnetwork kbnetwork_techconfigissue kbconnectivity kbconfig kbexpertiseadvanced kbtshoot kbprb KB899148
url:
[url=http://support.microsoft.com/kb/899148/zh-cn?spid=3189]http://support.microsoft.com/kb/899148/zh-cn?spid=3198[/url]
页:
[1]