这里先介绍一下背景情况。我们的系统最初使用 Windows Server 2003 计算机,随着时间的推移逐渐扩展和增长。我们仍有一些 Server 2003,但它们正在被删除。今年夏天,我们的域控制器最近从 Server 2003 升级到了 Server 2012 R2。
尝试从 Active Directory 用户和计算机的 MMC 管理单元管理远程计算机时,服务器有时无法为远程工作站打开计算机管理。
我们的PDC安装了以下角色/功能:
- Active Directory 域服务
- DNS 服务器
- DFS
- 组策略管理
- 远程服务器管理工具
每当管理员尝试管理工作站(在任何 OU 中)时,仅在服务器上记录以下错误:
- 尝试激活服务器时,DCOM 从计算机 Workstation1.contoso.com 收到错误“2147944122”:{03837521-098B-11D8-9414-505054503030}
组策略启用了以下防火墙规则:
- 计算机配置\策略\管理模板\网络\网络连接\Windows 防火墙\域配置文件\Windows 防火墙: 允许入站远程管理例外
除此之外,我们确实为 TCP 端口 135,445 和 UDP 137 启用了几个 Spiceworks 端口例外。
所有工作站都运行 Windows 7 Professional SP1,并且截至 12 月的补丁星期二都是最新的。当在任何 Windows 7 工作站计算机上禁用防火墙时,不会记录任何错误,并且远程管理工作正常。我还想指出,我们使用 Vipre Business Premium。
我的问题是:
由于我假设它是一个被工作站或远程机器阻止的端口,有人知道它是哪个端口,或者是否有更好的方法通过 GPO 进行设置,以便可以远程管理所有机器?
我尝试了以下修复,但没有成功:
- WMI 相关服务/可执行文件的端口例外
- 检查 Windows 防火墙事件日志中是否存在被阻止的端口
- 使用 Wireshark 确定 Windows 似乎在从 tcp 端口 1024 开始的任何位置使用动态端口,包括端口 41975,而范围的异常没有任何作用。
欢迎提供任何帮助/建议!
答案1
我进行了一些调查,解决方案是手动将 winmgmt 服务配置为独立服务器,或设置静态端口。
Lawrence Garvin 于 2013 年 12 月 4 日下午 1:13 给出了答案 (https://thwack.solarwinds.com/thread/60649):
“打开注册表编辑器(您需要使用 REGEDT32.EXE)并导航到 HKLM\Software\Microsoft\Rpc 创建一个名为“Internet”的新注册表项作为“Rpc”的子项在“Internet”项中创建三个新值
- “端口”作为 REG_MULTI_SZ
- “PortsInternetAvailable”作为 REG_SZ
- “UseInternetPorts”作为 REG_SZ
在“端口”值中定义端口、端口列表或端口范围,将“PortsInternetAvailable”和“UseInternetPorts”设置为“Y”以启用“端口”值中列出的端口的使用。”
重新启动我的测试机器(我能够始终重现错误)后,mmc 管理单元正常工作,然后我能够分别通过组策略首选项和管理模板部署注册表/防火墙设置。
附注:在“ports”注册表项中,您可以像定义 Windows 防火墙一样定义端口,1001 或 1001-4001(它们都是 TCP)。此外,Microsoft 建议提供适当的端口范围。限制太多可能会导致错误“参数不正确。#80070057”,因为 RPC 服务器没有正常工作所需的端口数量。我给出了大约 100 个 TCP 端口范围,这对于没有问题的工作站来说是健康的端口数量。