web-dev-qa-db-ja.com

ActiveDirectoryスナップインからのリモートコンピュータ管理がDCOMエラー10006で失敗する

それで、ここに少し背景があります。私たちのシステムは、もともとWindows Server 2003マシンで始まり、やがて拡張され、成長しました。まだいくつかのServer2003がありますが、それらは削除されています。この夏、ドメインコントローラーがServer2003からServer2012R2にアップグレードされました。

MMC Active Directoryユーザーとコンピューターのスナップインからリモートコンピューターを管理しようとしているときに、サーバーがリモートワークステーションのコンピューター管理を開くことができない場合があります。

私たちのPDCには次の役割/機能がインストールされています:

  • ActiveDirectoryドメインサービス
  • DNSサーバー
  • DFS
  • グループポリシー管理
  • リモートサーバー管理ツール

管理者が(任意のOUで)ワークステーションを管理しようとすると、次のエラーがサーバーにのみ記録されます。

  • サーバーをアクティブ化しようとすると、DCOMはコンピューターworkstation1.contoso.comからエラー「2147944122」を受け取りました:{03837521-098B-11D8-9414-505054503030}

次のファイアウォールルールは、グループポリシーによって有効になります。

  • コンピューターの構成\ポリシー\管理用テンプレート\ネットワーク\ネットワーク接続\ Windowsファイアウォール\ドメインプロファイル\ Windowsファイアウォール:受信リモート管理の例外を許可する

それ以外にも、TCPポート135,445およびUDP137に対して有効になっているSpiceworksポート例外がいくつかあります。

すべてのワークステーションはWindows7 Professional SP1を実行しており、火曜日の12月のパッチの時点で最新です。 Windows 7ワークステーションマシンでファイアウォールが無効になっている場合、エラーはログに記録されず、リモート管理は正常に機能します。また、Vipre BusinessPremiumを使用していることにも注意してください。

これが私の質問です:

ワークステーションまたはリモートマシンによってブロックされているポートであると想定しているので、それがどのポートであるかを誰かが知っていますか、またはGPO =すべてのマシンをリモート管理できるようにするには?

私は成功せずに次の修正を試みました:

  • WMI関連のサービス/実行可能ファイルのポート例外
  • ブロックされたポートのWindowsファイアウォールイベントログを確認する
  • Wiresharkを使用して、Windowsがポート41975を含むtcpポート1024以降の動的ポートを使用しているように見えることを確認しました。範囲の例外は適切ではありませんでした。

どんな助け/提案も大歓迎です!

2
Nathan

少し掘り下げましたが、解決策は、winmgmtサービスをスタンドアロンサーバーとして手動で構成するか、静的ポートを設定することでした。

ローレンスガービンによって概説された答え2013年12月4日1:13 PM( https://thwack.solarwinds.com/thread/60649 ):

「レジストリエディタを開き(REGEDT32.EXEを使用する必要があります)、HKLM\Software\Microsoft\Rpcに移動します。「Rpc」のサブキーとして「Internet」という名前の新しいレジストリキーを作成します。「インターネット」に3つの新しい値を作成します。 「キー

  • REG_MULTI_SZとしての「ポート」
  • REG_SZとしての「PortsInternetAvailable」
  • REG_SZとしての「UseInternetPorts」

「Ports」値で、ポート、ポートのリスト、またはポートの範囲を定義します。「PortsInternetAvailable」および「UseInternetPorts」を「Y」に設定して、「Ports」値にリストされているポートの使用を有効にします。

テストマシンを再起動した後(エラーを一貫して再現できました)、mmcスナップインはエラーなしで機能し、グループポリシー設定と管理用テンプレートをそれぞれ使用してレジストリ/ファイアウォール設定を展開できました。

補足として、「ports」レジストリキーでは、Windowsファイアウォール1001または1001-4001(すべてtcp)と同じようにポートを定義できます。さらに、Microsoftは、適切な範囲のポートを提供することを推奨しています。制限すると、RPCサーバーに正常に動作するために必要な数のポートがないため、「パラメーターが正しくありません。#80070057」というエラーが発生する可能性があります。ワークステーションの正常な量として、問題なく約100tcpポートの範囲を指定しました。

KB記事を表示するには: http://support2.Microsoft.com/?kbid=154596

0
Nathan