O gerenciamento remoto do computador do snap-in do Active Directory falha com o erro DCOM 10006

2

Então aqui está um pouco de fundo. Nosso sistema começou originalmente com máquinas Windows Server 2003 e, com o tempo, expandiu e cresceu. Ainda temos alguns servidores do 2003, mas eles estão sendo removidos. Nossos controladores de domínio foram atualizados recentemente do Server 2003 para o Server 2012 R2 neste verão.

Durante a tentativa de gerenciar um computador remoto a partir do MMC para usuários e computadores do Active Directory, o servidor às vezes não consegue abrir o Gerenciamento do computador para a estação de trabalho remota.

Nosso PDC tem as seguintes funções / recursos instalados:

  • Serviços de domínio do Active Directory
  • Servidor DNS
  • DFS
  • Gerenciamento de políticas de grupo
  • Ferramentas de administração remota do servidor

Sempre que um administrador tenta gerenciar uma estação de trabalho (em qualquer UO), o seguinte erro é registrado apenas no servidor:

  • O DCOM recebeu o erro "2147944122" do computador workstation1.contoso.com ao tentar ativar o servidor: {03837521-098B-11D8-9414-505054503030}

As seguintes regras de firewall são ativadas pela Política de Grupo:

  • Configuração do computador \ Políticas \ Modelos administrativos \ Rede \ Conexões de rede \ Firewall do Windows \ Perfil de domínio \ Firewall do Windows: permitir exceção de administração remota de entrada

Além disso, temos várias exceções de porta do Spiceworks ativadas para as portas TCP 135,445 e UDP 137.

Todas as estações de trabalho estão executando o Windows 7 Professional SP1 e estão atualizadas no Patch Tuesday de dezembro. Quando o Firewall é desabilitado em qualquer máquina de estação de trabalho do Windows 7, nenhum erro é registrado e o Gerenciamento Remoto funciona bem. Eu também gostaria de observar que usamos o Vipre Business Premium.

Então, aqui está minha pergunta:

Como suponho que seja uma porta que está sendo bloqueada pela estação de trabalho ou pela máquina remota, alguém sabe qual (is) porta (s) está ou há uma maneira melhor de configurá-la via GPO para que todas as máquinas possam ser gerenciado remotamente?

Tentei as seguintes correções sem sucesso:

  • Exceções de porta para serviços / executáveis relacionados ao WMI
  • Verificando o log de eventos do Firewall do Windows em busca de portas bloqueadas
  • Usamos o Wireshark para determinar se o Windows usa portas dinâmicas em qualquer lugar, desde a porta TCP 1024 até a porta 41975, e uma exceção com um intervalo não foi boa.

Qualquer ajuda / sugestão é apreciada!

    
por Nathan 19.12.2014 / 23:52

1 resposta

0

Eu fiz algumas pesquisas e a solução foi configurar manualmente o serviço winmgmt como um servidor independente ou configurar portas estáticas.

A resposta, conforme descrito por Lawrence Garvin 04 de dezembro de 2013 13:13 ( link ):

"Abra o Editor do Registro (você precisará usar o REGEDT32.EXE) e navegue até HKLM \ Software \ Microsoft \ Rpc Crie uma nova chave de registro chamada "Internet" como uma subchave de "RPC" Crie três novos VALORES na chave "Internet"

  • "Portas" como REG_MULTI_SZ
  • "PortsInternetAvailable" como REG_SZ
  • "UseInternetPorts" como REG_SZ

No valor "Portas", defina a porta, a lista de portas ou o intervalo de portas Defina "PortsInternetAvailable" e "UseInternetPorts" como 'Y' para ativar o uso das portas listadas no valor "Portas". "

Depois de reiniciar meu computador de teste (que consegui reproduzir consistentemente o erro) O snap-in mmc funcionou sem erros, e eu consegui implantar as configurações de registro / firewall por meio de preferências de diretiva de grupo e modelos administrativos respectivamente. / p>

Como uma nota lateral: na chave de registro "portas", você pode definir as portas como o windows firewall 1001 ou 1001-4001 (todas elas são tcp). Além disso, é recomendado pela Microsoft fornecer uma boa variedade de portas. Para restringir pode causar um erro "O parâmetro está incorreto. # 80070057" como o servidor RPC não tem a quantidade de portas necessárias para funcionar normalmente. Eu dei um intervalo de ~ 100 portas tcp como uma quantidade saudável para uma estação de trabalho sem nenhum problema.

Para ver o artigo da base de conhecimento: link

    
por 22.12.2014 / 19:20