Удаленное управление компьютером из оснастки Active Directory завершается с ошибкой DCOM 10006
Итак, вот небольшой фон. Изначально наша система начиналась с компьютеров под управлением Windows Server 2003, а со временем расширялась и росла. У нас еще есть несколько Server 2003, но они удаляются. Этим летом наши контроллеры домена были обновлены с Server 2003 до Server 2012 R2.
При попытке управлять удаленным компьютером из оснастки MMC для пользователей и компьютеров Active Directory, сервер иногда не может открыть Управление компьютером для удаленной рабочей станции.
На нашем PDC установлены следующие роли / функции:
- Доменные службы Active Directory
- DNS-сервер
- ДФС
- Управление групповой политикой
- Инструменты удаленного администрирования сервера
Всякий раз, когда администратор пытается управлять рабочей станцией (в любом подразделении), следующая ошибка регистрируется только на сервере:
- DCOM получил ошибку "2147944122" от компьютера workstation1.contoso.com при попытке активировать сервер: {03837521-098B-11D8-9414-505054503030}
Следующие правила брандмауэра включены групповой политикой:
- Конфигурация компьютера \ Политики \ Административные шаблоны \ Сеть \ Сетевые подключения \ Брандмауэр Windows \ Профиль домена \ Брандмауэр Windows: разрешить исключение для входящего удаленного администрирования
Кроме того, у нас есть несколько исключений портов Spiceworks, включенных для портов TCP 135,445 и UDP 137.
Все рабочие станции работают под управлением Windows 7 Professional с пакетом обновления 1 (SP1) и обновлены по состоянию на декабрьский патч вторника. Когда брандмауэр отключен на любом компьютере с операционной системой Windows 7, ошибки не регистрируются, и удаленное управление работает нормально. Я также хотел бы отметить, что мы используем Vipre Business Premium.
Итак, вот мой вопрос:
Поскольку я предполагаю, что это порт, который блокируется рабочей станцией или удаленным компьютером, кто-нибудь знает, какой это порт (ы), или есть лучший способ настроить его с помощью объекта групповой политики, чтобы можно было удаленно управлять всеми машинами?
Я попытался следующие исправления безуспешно:
- Исключения портов для связанных с WMI сервисов / исполняемых файлов
- Проверка журнала событий брандмауэра Windows на наличие заблокированных портов
- Использовал Wireshark, чтобы определить, что похоже, что Windows использует динамические порты от tcp порта 1024 и выше, включая порт 41975, и исключение с диапазоном не принесло пользы.
Любая помощь / предложения приветствуются!
1 ответ
Я немного покопался, и решением было вручную настроить либо службу winmgmt как автономный сервер, либо установить статические порты.
Ответ, изложенный Лоуренсом Гарвином 4 декабря 2013 г., 13:13 ( https://thwack.solarwinds.com/thread/60649):
"Откройте редактор реестра (вам нужно использовать REGEDT32.EXE) и перейдите к HKLM\Software\Microsoft\Rpc. Создайте новый ключ реестра"Internet"в качестве подраздела"Rpc". Создайте три новых значения в"Internet". "ключ
- "Порты" как REG_MULTI_SZ
- "PortsInternetAvailable" как REG_SZ
- "UseInternetPorts" как REG_SZ
В значении "Порты" укажите порт, список портов или диапазон портов. Установите для "PortsInternetAvailable" и "UseInternetPorts" значение "Y", чтобы разрешить использование портов, перечисленных в значении "Порты". "
После перезапуска моего тестового компьютера (на котором я смог последовательно воспроизвести ошибку) оснастка mmc работала без ошибок, и тогда я смог развернуть параметры реестра / брандмауэра с помощью предпочтений групповой политики и административных шаблонов соответственно.
В качестве примечания: в разделе реестра "ports" вы можете определить порты, как если бы вы были брандмауэром Windows, 1001 или 1001-4001 (все они tcp). Кроме того, корпорация Майкрософт рекомендует предоставить хороший выбор портов. Ограничение может привести к ошибке "Параметр неверен. #80070057", поскольку RPC-сервер не имеет количества портов, необходимого для нормальной работы. Я дал диапазон ~ 100 портов TCP как здоровую сумму для рабочей станции без проблем.
Чтобы просмотреть статью базы знаний: http://support2.microsoft.com/?kbid=154596