Active Directory 管理单元中的远程计算机管理失败,出现 DCOM 错误 10006

Active Directory 管理单元中的远程计算机管理失败,出现 DCOM 错误 10006

这里先介绍一下背景情况。我们的系统最初使用 Windows Server 2003 计算机,随着时间的推移逐渐扩展和增长。我们仍有一些 Server 2003,但它们正在被删除。今年夏天,我们的域控制器最近从 Server 2003 升级到了 Server 2012 R2。

尝试从 Active Directory 用户和计算机的 MMC 管理单元管理远程计算机时,服务器有时无法为远程工作站打开计算机管理。

我们的PDC安装了以下角色/功能:

  • Active Directory 域服务
  • DNS 服务器
  • DFS
  • 组策略管理
  • 远程服务器管理工​​具

每当管理员尝试管理工作站(在任何 OU 中)时,仅在服务器上记录以下错误:

  • 尝试激活服务器时,DCOM 从计算机 Workstation1.contoso.com 收到错误“2147944122”:{03837521-098B-11D8-9414-505054503030}

组策略启用了以下防火墙规则:

  • 计算机配置\策略\管理模板\网络\网络连接\Windows 防火墙\域配置文件\Windows 防火墙: 允许入站远程管理例外

除此之外,我们确实为 TCP 端口 135,445 和 UDP 137 启用了几个 Spiceworks 端口例外。

所有工作站都运行 Windows 7 Professional SP1,并且截至 12 月的补丁星期二都是最新的。当在任何 Windows 7 工作站计算机上禁用防火墙时,不会记录任何错误,并且远程管理工作正常。我还想指出,我们使用 Vipre Business Premium。

我的问题是:

由于我假设它是一个被工作站或远程机器阻止的端口,有人知道它是哪个端口,或者是否有更好的方法通过 GPO 进行设置,以便可以远程管理所有机器?

我尝试了以下修复,但没有成功:

  • WMI 相关服务/可执行文件的端口例外
  • 检查 Windows 防火墙事件日志中是否存在被阻止的端口
  • 使用 Wireshark 确定 Windows 似乎在从 tcp 端口 1024 开始的任何位置使用动态端口,包括端口 41975,而范围的异常没有任何作用。

欢迎提供任何帮助/建议!

答案1

我进行了一些调查,解决方案是手动将 winmgmt 服务配置为独立服务器,或设置静态端口。

Lawrence Garvin 于 2013 年 12 月 4 日下午 1:13 给出了答案 (https://thwack.solarwinds.com/thread/60649):

“打开注册表编辑器(您需要使用 REGEDT32.EXE)并导航到 HKLM\Software\Microsoft\Rpc 创建一个名为“Internet”的新注册表项作为“Rpc”的子项在“Internet”项中创建三个新值

  • “端口”作为 REG_MULTI_SZ
  • “PortsInternetAvailable”作为 REG_SZ
  • “UseInternetPorts”作为 REG_SZ

在“端口”值中定义端口、端口列表或端口范围,将“PortsInternetAvailable”和“UseInternetPorts”设置为“Y”以启用“端口”值中列出的端口的使用。”

重新启动我的测试机器(我能够始终重现错误)后,mmc 管理单元正常工作,然后我能够分别通过组策略首选项和管理模板部署注册表/防火墙设置。

附注:在“ports”注册表项中,您可以像定义 Windows 防火墙一样定义端口,1001 或 1001-4001(它们都是 TCP)。此外,Microsoft 建议提供适当的端口范围。限制太多可能会导致错误“参数不正确。#80070057”,因为 RPC 服务器没有正常工作所需的端口数量。我给出了大约 100 个 TCP 端口范围,这对于没有问题的工作站来说是健康的端口数量。

要查看知识库文章:http://support2.microsoft.com/?kbid=154596

相关内容