Итак, вот небольшая предыстория. Наша система изначально начиналась с компьютеров с Windows Server 2003 и со временем расширялась и росла. У нас все еще есть несколько Server 2003, но они удаляются. Наши контроллеры домена были недавно обновлены с Server 2003 до Server 2012 R2 этим летом.
При попытке управлять удаленным компьютером из оснастки MMC для пользователей и компьютеров Active Directory сервер иногда не может открыть Управление компьютером для удаленной рабочей станции.
На нашем PDC установлены следующие роли / функции:
Всякий раз, когда администратор пытается управлять рабочей станцией (в любом подразделении), следующая ошибка регистрируется только на сервере:
Групповой политикой разрешены следующие правила брандмауэра:
Помимо этого, у нас есть несколько исключений портов Spiceworks, включенных для портов TCP 135,445 и UDP 137.
Все рабочие станции работают под управлением Windows 7 Professional SP1 и обновлены по состоянию на декабрьский вторник патчей. Когда брандмауэр отключен на любой рабочей станции Windows 7, ошибки не регистрируются, и удаленное управление работает нормально. Также хочу отметить, что мы используем Vipre Business Premium.
Итак, вот мой вопрос:
Поскольку я предполагаю, что это порт, который блокируется рабочей станцией или удаленной машиной, знает ли кто-нибудь, какой это порт (-ы), или есть лучший способ настроить это через GPO, чтобы всеми машинами можно было удаленно управлять ?
Я безуспешно пытался внести следующие исправления:
Любая помощь / предложения приветствуются!
Я немного покопался, и решением было вручную настроить службу winmgmt как автономный сервер или установить статические порты.
Ответ изложен Лоуренсом Гарвином 4 декабря 2013 г. 13:13 (https://thwack.solarwinds.com/thread/60649):
"Откройте редактор реестра (вам нужно использовать REGEDT32.EXE) и перейдите к HKLM \ Software \ Microsoft \ Rpc. Создайте новый КЛЮЧ реестра с именем" Интернет "в качестве подраздела" Rpc ". Создайте три новых ЗНАЧЕНИЯ в" Интернете ". "ключ
В значении «Порты» укажите порт, список портов или диапазон портов. Установите для «PortsInternetAvailable» и «UseInternetPorts» значение «Y», чтобы разрешить использование портов, перечисленных в значении «Порты».
После перезапуска моей тестовой машины (на которой я смог последовательно воспроизвести ошибку) оснастка mmc работала без ошибок, и затем я смог развернуть настройки реестра / брандмауэра с помощью предпочтений групповой политики и административных шаблонов соответственно.
В качестве побочного примечания: в разделе реестра «ports» вы можете определить порты, как если бы вы использовали брандмауэр Windows, 1001 или 1001-4001 (все они tcp). Кроме того, Microsoft рекомендует предоставлять хороший набор портов. Использование ограничительного может вызвать ошибку «Параметр неверен. # 80070057», поскольку сервер RPC не имеет необходимого количества портов для нормальной работы. Я дал диапазон ~ 100 портов TCP как нормальное количество для рабочей станции без проблем.
Чтобы просмотреть статью в базе знаний: http://support2.microsoft.com/?kbid=154596