從 Active Directory 管理單元進行遠端電腦管理失敗並出現 DCOM 錯誤 10006
所以這裡有一點背景。我們的系統最初是從 Windows Server 2003 機器開始的,最終隨著時間的推移不斷擴展和發展。我們仍然有一些 Server 2003,但它們正在被刪除。今年夏天,我們的域控制器最近從 Server 2003 升級到了 Server 2012 R2。
在嘗試從 Active Directory 使用者和電腦的 MMC 管理單元管理遠端電腦時,伺服器有時無法打開遠端工作站的電腦管理。
我們的 PDC 安裝了以下角色/功能:
- Active Directory 域服務
- DNS 伺服器
- DFS
- 組策略管理
- 遠端伺服器管理工具
每當管理員嘗試管理工作站(在任何 OU 中)時,僅在伺服器上記錄以下錯誤:
- 嘗試啟動伺服器時,DCOM 從電腦工作站 1.contoso.com 收到錯誤“2147944122”:{03837521-098B-11D8-9414-505054503030}
組策略啟用以下防火牆規則:
- 電腦配置\策略\管理模板\網路\網路連接\Windows 防火牆\域配置文件\Windows 防火牆:允許入站遠端管理異常
除此之外,我們確實為 TCP 埠 135,445 和 UDP 137 啟用了幾個 Spiceworks 埠例外。
所有工作站都執行 Windows 7 Professional SP1,並且截至 12 月的更新檔星期二是最新的。在任何 Windows 7 工作站電腦上禁用防火牆時,不會記錄任何錯誤並且遠端管理工作正常。我還想指出,我們使用 Vipre Business Premium。
所以這是我的問題:
由於我假設它是一個被工作站或遠端機器阻塞的埠,有沒有人知道它是哪個埠,或者有沒有更好的方法通過 GPO 進行設置,以便可以遠端管理所有機器?
我嘗試了以下修復但沒有成功:
- WMI 相關服務/執行檔的埠異常
- 檢查 Windows 防火牆事件日誌以查找被阻止的埠
- 使用 Wireshark 確定它看起來像 Windows 使用從 tcp 埠 1024 到包括埠 41975 的任何動態埠,並且範圍的異常沒有好處。
任何幫助/建議表示讚賞!
我做了一些探勘,解決方案是手動將 winmgmt 服務配置為獨立伺服器,或設置靜態埠。
Lawrence Garvin 2013 年 12 月 4 日下午 1:13 ( https://thwack.solarwinds.com/thread/60649 ) 概述的答案:
“打開系統資料庫編輯器(您需要使用 REGEDT32.EXE)並導航到 HKLM\Software\Microsoft\Rpc 創建一個名為“Internet”的新系統資料庫項作為“Rpc”的子項 在“Internet”中創建三個新值“ 鑰匙
- “埠”為 REG_MULTI_SZ
- “PortsInternetAvailable”為 REG_SZ
- “UseInternetPorts”作為 REG_SZ
在“埠”值中定義埠、埠列表或埠範圍將“PortsInternetAvailable”和“UseInternetPorts”設置為“Y”以啟用“埠”值中列出的埠。
重新啟動我的測試機器(我能夠始終如一地重現錯誤)後,mmc 管理單元正常工作,然後我能夠分別通過組策略首選項和管理模板部署系統資料庫/防火牆設置。
附帶說明:在“埠”系統資料庫項中,您可以像定義 Windows 防火牆一樣定義埠,1001 或 1001-4001(它們都是 tcp)。此外,Microsoft 建議提供多種埠。限制可能會導致錯誤“參數不正確。#80070057”,因為 RPC 伺服器沒有正常工作所需的埠數量。對於沒有問題的工作站,我給出了大約 100 個 tcp 埠的範圍作為健康的數量。
要查看知識庫文章: http: //support2.microsoft.com/ ?kbid=154596