Что такое вирус rpc

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Что такое сервер?
Кто может объяснить, что такое сервер, только не в плане железа, а софта. То есть тот сервер на.

что такое прокси сервер?
заранее извиняюсь за такой вопрос,черезчур глупый вопрос но что такое прокси сервер?прочел вики вот.

что такое exo сервер?
Простой вопрос , что такое ехо сервер и чем он отличается от обычного, никак не могу найти внятного.

Сервер RPC не доступен!
Появилась такая проблема на сервере! Имеется сервер на который некоторые пользователи имеют доступ.

Pocolodnik -=SX=- Blog - ІТ Журнал

Поиск

8 мая 2012 г.

• Никакие

• Фоновая интеллектуальная служба передачи (Background Intelligent Transfer Service)
• Система событий COM+ (COM+ Event System)
  • Уведомление о системных событиях (System Event Notification)
• Системное приложение COM+ (COM+ System Application)
• Службы криптографии (Cryptographic Services)
• Клиент отслеживания изменившихся связей (Distributed Link Tracking Client)
• Координатор распределенных транзакций (Distributed Transaction Coordinator)
  • Message Queuing
    • Message Queuing Triggers
• Служба регистрации ошибок (Error Reporting Service)
• Служба факсов (Fax Service)
• Справка и поддержка (Help and Support)
• Доступ к HID-устройствам (Human Interface Device Access)
• IIS Admin
  • FTP Publishing Service
  • Simple Mail Transport Protocol (SMTP)
  • World Wide Web Publishing Service
• Служба индексирования (Indexing Service)
• Службы IPSEC (IPSEC Services)
• Диспетчер логических дисков (Logical Disk Manager)
  • Служба администрирования диспетчера логических дисков (Logical Disk Manager Administrative Service)
• Служба администрирования диспетчера логических дисков (Logical Disk Manager Administrative Service)
• Message Queuing
  • Message Queuing Triggers
• Служба сообщений (Messenger)
• MS Software Shadow Copy Provider
• Сетевые подключения (Network Connections)
  • Брандмауэр Интернета (ICF) /Общий доступ к Интернету (ICS) (Internet Connection Firewall/Internet Connection Sharing)
• Диспетчер очереди печати (Print Spooler)
  • Служба факсов (Fax Service)
  • TCP/IP Printer Server
• Защищенное хранилище (Protected Storage)
• QoS RSVP (QoS RSVP)
• Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager)
• Удаленный реестр (Remote Registry Service)
• Съемные ЗУ (Removable Storage)
• RIP Listener
• Маршрутизация и удаленный доступ (Routing and Remote Access)
• Диспетчер учетных записей безопасности (Security Accounts Manager)
  • Координатор распределенных транзакций (Distributed Transaction Coordinator)
    • Message Queuing
      • Message Queuing Triggers
  • IIS Admin
    • FTP Publishing Service
    • Simple Mail Transport Protocol (SMTP)
    • World Wide Web Publishing Service
• Определение оборудования оболочки (Shell Hardware Detection)
• Служба восстановления системы (System Restore Service)
• Планировщик заданий (Task Scheduler)
• Телефония (Telephony)
  • Служба факсов (Fax Service)
  • Диспетчер авто-подключений удаленного доступа (Remote Access Auto Connection Manager)
  • Диспетчер подключений удаленного доступа (Remote Access Connection Manager)
    • Брандмауэр Интернета (ICF) /Общий доступ к Интернету (ICS) (Internet Connection Firewall/Internet Connection Sharing)
    • Диспетчер авто-подключений удаленного доступа (Remote Access Auto Connection Manager)
• Telnet (Telnet)
• Службы терминалов (Terminal Services)
  • Совместимость быстрого переключения пользователей (Fast User Switching Compatibility)
• Диспетчер отгрузки (Upload Manager)
• Теневое копирование тома (Volume Shadow Copy)
• Windows Audio (Windows Audio)
• Служба загрузки изображений (WIA) (Windows Image Acquisition (WIA))
• Windows Installer (Windows Installer)
• Инструментарий управления Windows (Windows Management Instrumentation)
• Беспроводная настройка (Wireless Zero Configuration)
• Адаптер производительности WMI (WMI Performance Adapter)

Ошибка:
Система завершает работу. Сохраните
данные и выйдите из системы. Все
несохраненные изменения будут
потеряны. Отключение системы вызвано
NT AUTHORITY\SYSTEM

Время до отключения 00:01:00

Решение проблемы изложено вот здесь!

Помогите, пожалуйста!
вчера вечером вдруг снова появилась эта чума.
Win XP ENG, стоят все заплатки с самого начала, и до вчерашнего дня все было ОК.
внешнее проявление точно как BLAST, только теперь ссылается
на WINDOWS\System\lsass.exe

Компьютер заражен червем Worm.Win32.Sasser
Краткое oписание Worm.Win32.Sasser.a
Краткое описание Worm.Win32.Sasser.b
Утилита для удаления червя W32.Sasser от Kaspersky
Утилита для удаления червя W32.Sasser от Symantec
Инструкции по ручному удалению червя от Symantec (на англ.)
Заплатка от M$, которую необходимо установить во избежание повторного заражения.
Proantivirus Lab сообщает о появлении нового опасного и быстро распространяющегося (в том числе и по России) червя, использующего недавно открытую дырку в RPC во всех ОС семейства NT. Заражение удаленное, через 135-й порт, исполняет команды из-под Local System.

Настоятельно рекомендуется обновить антивирусы и/или пропатчиться.

Вирус-шифровальщик WannaCrypt использует уязвимость Microsoft Windows MS17-010, чтобы выполнить вредоносный код и запустить программу-шифровальщик на уязвимых ПК, затем вирус предлагает заплатить злоумышленникам порядка 300$ в биткойнах, чтобы осуществить расшифровку данных. Вирус широко распространился в мировых масштабах, получив активное освещение в СМИ.
Самое страшное, что вирус запускается сам, без каких-либо действий пользователя. То есть можно сходить на обед, а вернувшись, обнаружить что все документы и фотографии за несколько лет уже зашифрованы, притом что никто ничего не запускал! Нет ничего хуже потерянных личных данных!
Обратите внимание на этот момент — от пользователя не требуется никакой реакции!
Обычно основной путь заражения вирусом — это электронная почта или пиратский контент, скачанный с торрентов, поэтому, во первых, избегайте скачивания контента с расширениями .js и .exe, или же, документов с макросами (в Excel или Word).
Авторы WannaCrypt воспользовались утечкой из ShadowBrokers, в результате которой миру стали известны множество ранее неизвестных уязвимостей и способов проведения атак. Среди них была и уязвимость ETERNALBLUE и связанный с ней бэкдор DOUBLEPULSAR. Первая позволяла через уязвимый протокол SMBv1 получать удаленный доступ к компьютеру и незаметно устанавливать на него программное обеспечение. Злоумышленник, сформировав и передав на удалённый узел особо подготовленный пакет, способен получить удалённый доступ к системе и запустить на ней произвольный код.
Уязвимость существует только на стороне SMB сервера. Расшарен ли у вас каталог или нет, не имеет значения, в Windows все равно запущен сервис, слушающий 445 порт. При доступе клиента к серверу они согласуют и используют максимальную версию SMB, поддерживаемую одновременно и клиентом и сервером.

Для защиты необходимо срочно принять следующие меры противодействия:

0. Отключить протокол SMBv1, удалив в свойствах сетевого адаптера (ncpa.cpl) компоненты "Служба доступа к файлам и принтерам сетей Microsoft" ("File and Printer sharing") и "Клиент сетей Microsoft".
Протокол SMBv1 смело можно отключить, если в вашей сети нет ОС ранее Windows Vista и устаревших принтеров.

Для систем Windows Windows 8.1 и старше вообще есть возможность удалить компонент "Поддержка общего доступа к файлам SMB 1.0/CIFS" ("The SMB1.0/CIFS File Sharing Support", "Старые возможности LAN Manager"). Идем в Панель управления — Программы и компоненты — Включение или отключение компонентов Windows.

Выключить SMBv1 можно через командную строку (cmd.exe) и через PowerShell (powershell.exe):
Set-SmbServerConfiguration -EnableSMB1Protocol $false

Можно удалить сам сервис, отвечающий за SMBv1

Скопируйте строки ниже, вставьте в блокноте и сохраните с именем и расширением "DisableSMB1.cmd"
Затем запустите от имени администратора.

echo Disable SMB 1.0 Protocol

reg add "HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters" /v SMB1 /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters" /v SMBDeviceEnabled /t REG_DWORD /d 0 /f

sc config LanmanServer depend= SamSS/Srv2
sc config srv start= disabled

sc config LanmanWorkstation depend= Bowser/MRxSmb20/NSI
sc config mrxsmb10 start= disabled

sc config RpcLocator start= disabled

%SystemRoot%\Sysnative\Dism.exe /online /norestart /disable-feature /featurename:SMB1Protocol

Отключаем SMB1 через реестр

Аналогично отключается через реестр Windows (regedit.exe).
Скопируйте строки ниже, вставьте в блокноте и сохраните с именем и расширением "DisableSMB1.reg"
После этого даблклик на сохраненном файле и на вопрос о внесении изменений ответить "Да". После этого перезагрузить систему.

Windows Registry Editor Version 5.00

;Отключаем уязвимый для вируса-шифровальщика WannaCrypt протокол SMB 1.0 на стороне сервера — не будет доступа по сети из Windows XP и более ранних ОС к ресурсам этого компьютера
;Также можно удалить в свойствах сетевого адаптера компоненты: "Служба доступа к файлам и принтерам сетей Microsoft" ("File and Printer sharing") и "Клиент сетей Microsoft"
;Протокол SMB 1.0 можно выключить полностью во всех сетях, где нет ОС младше Windows Vista и устаревших принтеров!
;"SMB Signing": EnableSecuritySignature — позволяет добавлять в конец каждого сообщения электронную подпись, что существенно повышает его защищенность
;RequireSecuritySignature — сервер будет работать только с клиентами, поддерживающими SMB Signing
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"SMB1"=dword:00000000
"EnableSecuritySignature"=dword:00000001
"RequireSecuritySignature"=dword:00000001

;Убираем зависимость службы "Сервер" от службы "Драйвер сервера Server SMB 1.xxx"
;"DependOnService"="SamSS Srv2" вместо "SamSS Srv"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer]
"DependOnService"=hex(7):53,00,61,00,6d, 00,53,00,53,00,00,00,53,00,72,00,76,00, \
32,00,00,00,00,00

;Отключаем службу "Драйвер сервера Server SMB 1.xxx", которая нужна только для совместимости: обеспечение взаимодействия между Windows XP и клиентами более ранних версий ОС
;"ImagePath"="System32\DRIVERS\srv.sys"
;srvsvc.dll — Server Service DLL — обеспечивает общий доступ к файлам, принтерам для данного компьютера через сетевое подключение
;По умолчанию используем "Драйвер сервера Server SMB 2.xxx" — обеспечивает взаимодействие между Windows Vista и клиентами более поздних версий
;sc config srv start= disabled

;Убираем зависимость службы "Рабочая станция" от службы "Мини-перенаправитель SMB 1.x"
;"DependOnService"="Bowser MRxSmb20 NSI" вместо "Bowser MRxSmb10 MRxSmb20 NSI"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation]
"DependOnService"=hex(7):42,00,6f, 00,77,00,73,00,65,00,72,00,00,00,4d, 00,52,00, \
78,00,53,00,6d, 00,62,00,32,00,30,00,00,00,4e, 00,53,00,49,00,00,00,00,00

;Отключаем службу "Мини-перенаправитель SMB 1.x", которая нужна только для совместимости: реализует протокол SMB 1.x (CIFS), который позволяет подключаться к сетевым ресурсам, расположенным на серверах более ранних версий ОС, чем Windows Vista и выше
;"ImagePath"="system32\DRIVERS\mrxsmb10.sys"
;wkssvc.dll — Workstation Service DLL — создает и поддерживает клиентские сетевые подключения к удаленным серверам по протоколу SMB
;По умолчанию используем "Мини-перенаправитель SMB 2.0" — реализует протокол SMB 2.0, позволяющий подключаться к сетевым ресурсам, расположенным на серверах с ОС Windows Vista и более поздних версий
;Протокол SMB 1.0 можно отключить полностью во всех сетях, где нет ОС младше Windows Vista и устаревших принтеров!
;sc config mrxsmb10 start= disabled

1. Установите патчи-обновления MS17-010, закрывающие уязвимость ETERNALBLUE в SMB согласно вашей операционной системе:
Обновление IPS от 14 марта 2017 года Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143)
technet.microsoft.com/lib…ry/security/MS17-010.aspx

Для остальных, уже неподдерживаемых систем (Windows XP и прочих) можно скачать здесь:
www.catalog.update.micros…m/Search.aspx?q=KB4012598

2. Заблокируйте все неиспользуемые внешние соединения из Интернет как минимум по 145-му и 139-му TCP-портам
Вредоносная программа-шифровальщик WannaCrypt ищет уязвимые компьютеры, путем сканирования открытого извне TCP-порта 445 (Server Message Block — SMB). Поэтому необходимо заблокировать доступ как минимум по этому порту (а также по 139-му) из Интернет на вашем межсетевом экране или маршрутизаторе.
Просто и легко закрыть неиспользуемые порты можно при помощи программы WWDC — Windows Worms Doors Cleaner.
В отличие от файерволов, блокирующих порты, WWDC их закрывает, отключая службы, открывающие их. Нужно устранять источник проблемы, а не симптомы.

При подключении к инструментарию управления Windows (WMI), SQL Server, удаленному соединению или для некоторых оснасток консоли управления (MMC) может возникнуть ошибка " сервер RPC недоступен". На приведенном ниже рисунке показан пример ошибки RPC. You might encounter an RPC server unavailable error when connecting to Windows Management Instrumentation (WMI), SQL Server, during a remote connection, or for some Microsoft Management Console (MMC) snap-ins. The following image is an example of an RPC error.

Это типичное сообщение об ошибке в сетевом мире, которое может быть продолжено очень быстро, не пытаясь понять, что происходит в разделе "внутри". This is a commonly encountered error message in the networking world and one can lose hope very fast without trying to understand much, as to what is happening ‘under the hood’.

Прежде чем приступить к устранению неполадок, возникающих при ошибке "сервер RPC недоступен " — сначала изучите основы ошибки. Before getting in to troubleshooting the *RPC server unavailable- error, let’s first understand basics about the error. Есть несколько важных терминов для понимания: There are a few important terms to understand:

• Сопоставитель конечных точек — служба, прослушиваемая на сервере, направляющая клиентские приложения на серверные приложения по порту и UUID. Endpoint mapper – a service listening on the server, which guides client apps to server apps by port and UUID.
• Башня — описывает протокол RPC, позволяющий клиентам и серверам согласовывать подключение. Tower – describes the RPC protocol, to allow the client and server to negotiate a connection.
• Этаж — содержимое башня с определенными данными, например портами, IP-адресами и идентификаторами. Floor – the contents of a tower with specific data like ports, IP addresses, and identifiers.
• UUID — известный идентификатор GUID, обозначающий приложение RPC. UUID – a well-known GUID that identifies the RPC application. Идентификатор UUID — это то, что вы используете для просмотра определенного типа сеанса RPC-приложения, так как это может быть большим. The UUID is what you use to see a specific kind of RPC application conversation, as there are likely to be many.
• Опнум — идентификатор функции, которую клиент хочет выполнить на сервере. Opnum – the identifier of a function that the client wants the server to execute. Это только шестнадцатеричное число, но качественная сетевая анализатор перейдет за вас. It’s just a hexadecimal number, but a good network analyzer will translate the function for you. Если ни один из них не знает, ваш поставщик приложения должен сообщить вам. If neither knows, your application vendor must tell you.
• Port (порт) — конечные точки связи для клиентских и серверных приложений. Port – the communication endpoints for the client and server applications.
• Данные заглушки — данные, переданные между клиентом и сервером в отношении функций и обмена данными. Stub data – the information given to functions and data exchanged between the client and server. Это полезная нагрузка, важная часть. This is the payload, the important part.

В разделе Устранение неполадок используется большое количество приведенных выше данных, самый важный из них — номер динамического порта RPC, который вы получаете при общении с EPM. A lot of the above information is used in troubleshooting, the most important is the Dynamic RPC port number you get while talking to EPM.

Как работает соединение How the connection works

Клиент A хочет выполнить некоторые функции или использовать службу, запущенную на удаленном сервере, сначала установите соединение с удаленным сервером, выполнив для него три способа подтверждения. Client A wants to execute some functions or wants to make use of a service running on the remote server, will first establish the connection with the Remote Server by doing a three-way handshake.

Порты RPC также можно получать из определенного диапазона. RPC ports can be given from a specific range as well.

Динамическое выделение портов удаленного вызова процедур (RPC) используется серверными приложениями и удаленными приложениями администрирования, например диспетчером протокола DHCP, диспетчером служб Windows Internet Name Service (WINS) и т. д. Remote Procedure Call (RPC) dynamic port allocation is used by server applications and remote administration applications such as Dynamic Host Configuration Protocol (DHCP) Manager, Windows Internet Name Service (WINS) Manager, and so on. Динамическое назначение порта RPC предписывает программе RPC использовать конкретный случайный порт в диапазоне, настроенном для TCP и UDP, в зависимости от реализации используемой операционной системы. RPC dynamic port allocation will instruct the RPC program to use a particular random port in the range configured for TCP and UDP, based on the implementation of the operating system used.

Пользователи, использующие брандмауэры, могут захочет управлять тем, какие порты использует RPC, чтобы маршрутизаторы брандмауэра могли перенаправлять только эти порты протокола управления передачей (UDP и TCP). Customers using firewalls may want to control which ports RPC is using so that their firewall router can be configured to forward only these Transmission Control Protocol (UDP and TCP) ports. Многие серверы RPC в Windows позволяют указать порт сервера в настраиваемых элементах конфигурации, например в записях реестра. Many RPC servers in Windows let you specify the server port in custom configuration items such as registry entries. Когда вы можете указать выделенный порт сервера, вы знаете, какой трафик проходит между узлами в брандмауэре, и можете определить, какой трафик будет разрешен более направленным образом. When you can specify a dedicated server port, you know what traffic flows between the hosts across the firewall, and you can define what traffic is allowed in a more directed manner.

В качестве порта сервера выберите порт за пределами диапазона, который вы можете использовать ниже. As a server port, please choose a port outside of the range you may want to specify below. Вы можете найти полный список серверных портов, которые используются в Windows и основных продуктах Майкрософт в службах статей и требования к сетевым портам для Windows. You can find a comprehensive list of server ports that are used in Windows and major Microsoft products in the article Service overview and network port requirements for Windows. В этой статье также указаны серверы RPC и серверы, которые могут быть настроены на использование настраиваемых портов сервера за пределами возможностей среды выполнения RPC. The article also lists the RPC servers and which RPC servers can be configured to use custom server ports beyond the facilities the RPC runtime offers.

Некоторые брандмауэры также допускают фильтрацию UUID, когда он рассматривается из запроса сопоставителя конечных точек RPC для идентификатора UUID интерфейса RPC. Some firewalls also allow for UUID filtering where it learns from a RPC Endpoint Mapper request for a RPC interface UUID. Ответ включает номер порта сервера, и затем можно передать следующую привязку RPC для этого порта. The response has the server port number, and a subsequent RPC Bind on this port is then allowed to pass.

С помощью редактора реестра вы можете изменить следующие параметры RPC. With Registry Editor, you can modify the following parameters for RPC. Значения ключа порта RPC, описанные ниже, находятся в следующем разделе реестра: The RPC Port key values discussed below are all located in the following key in the registry:

Тип данных "имя элемента HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet" HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\ Entry name Data Type

Порты REG_MULTI_SZ Ports REG_MULTI_SZ

• Указывает набор диапазонов IP-портов, которые содержат либо все порты, доступные в Интернете, либо все порты, недоступные через Интернет. Specifies a set of IP port ranges consisting of either all the ports available from the Internet or all the ports not available from the Internet. Каждая строка представляет один порт или целый набор портов. Each string represents a single port or an inclusive set of ports. Например, один порт может быть представлен 5984, а набор портов может быть представлен 5000-5100. For example, a single port may be represented by 5984, and a set of ports may be represented by 5000-5100. Если какие – либо записи находятся за пределами диапазона от 0 до 65535 или строка не может быть интерпретирована, среда выполнения RPC считает всю конфигурацию недействительной. If any entries are outside the range of 0 to 65535, or if any string cannot be interpreted, the RPC runtime treats the entire configuration as invalid.

Портсинтернетаваилабле REG_SZ Y или N (без учета регистра) PortsInternetAvailable REG_SZ Y or N (not case-sensitive)

• Если да, порты, перечисленные в разделе Ports (порты), являются портами, доступными в Интернете на этом компьютере. If Y, the ports listed in the Ports key are all the Internet-available ports on that computer. Если N, порты, указанные в разделе Ports, являются портами, которые не являются доступными в Интернете. If N, the ports listed in the Ports key are all those ports that are not Internet-available.

Усеинтернетпортс REG_SZ) Y или N (без учета регистра) UseInternetPorts REG_SZ ) Y or N (not case-sensitive)

• Указывает политику системы по умолчанию. Specifies the system default policy.
• Если задано значение Y, для процессов, использующих по умолчанию, будут назначены порты из набора портов, доступных в Интернете, как определено ранее. If Y, the processes using the default will be assigned ports from the set of Internet-available ports, as defined previously.
• Если N процесс, использующий значение по умолчанию, будет назначаться портами из набора портов интрасети. If N, the processes using the default will be assigned ports from the set of intranet-only ports.

Пример. Example:

В этом примере порты 5000 – 6000 включительно выделены произвольно, чтобы понять, как можно настроить новый раздел реестра. In this example ports 5000 through 6000 inclusive have been arbitrarily selected to help illustrate how the new registry key can be configured. Это не является рекомендацией минимального количества портов, необходимых для конкретной системы. This is not a recommendation of a minimum number of ports needed for any particular system.

Добавление ключа Интернета в раздел: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc Add the Internet key under: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc

В разделе Интернет-ключ добавьте значения "Ports" (MULTI_SZ), "Портсинтернетаваилабле" (REG_SZ) и "Усеинтернетпортс" (REG_SZ). Under the Internet key, add the values "Ports" (MULTI_SZ), "PortsInternetAvailable" (REG_SZ), and "UseInternetPorts" (REG_SZ).

Например, новый раздел реестра выглядит следующим образом: ports: REG_MULTI_SZ: 5000-6000 Портсинтернетаваилабле: REG_SZ: Y Усеинтернетпортс: REG_SZ: Y For example, the new registry key appears as follows: Ports: REG_MULTI_SZ: 5000-6000 PortsInternetAvailable: REG_SZ: Y UseInternetPorts: REG_SZ: Y

Перезагрузите сервер. Restart the server. Во всех приложениях, использующих динамическое назначение порта RPC, используются порты 5000 – 6000 включительно. All applications that use RPC dynamic port allocation use ports 5000 through 6000, inclusive.

Вы должны открыть диапазон портов, расположенных над портом 5000. You should open up a range of ports above port 5000. Номера портов, приведенные ниже 5000, могут быть уже использованы другими приложениями и могут привести к конфликтам с приложениями DCOM. Port numbers below 5000 may already be in use by other applications and could cause conflicts with your DCOM application(s). Кроме того, предыдущий опыт показывает, что требуется открыть не менее 100 портов, поскольку некоторые системные службы используют эти порты RPC для связи друг с другом. Furthermore, previous experience shows that a minimum of 100 ports should be opened, because several system services rely on these RPC ports to communicate with each other.

Минимальное необходимое число портов может отличаться от компьютера к компьютеру. The minimum number of ports required may differ from computer to computer. Компьютеры с большим трафиком могут работать в ситуации исчерпания портов, если динамические порты RPC ограничены. Computers with higher traffic may run into a port exhaustion situation if the RPC dynamic ports are restricted. Это следует учитывать при ограничении диапазона портов. Take this into consideration when restricting the port range.

Если в конфигурации порта возникла ошибка или в пуле недостаточно портов, служба сопоставителя конечных точек не сможет регистрировать серверы RPC с динамическими конечными точками. If there is an error in the port configuration or there are insufficient ports in the pool, the Endpoint Mapper Service will not be able to register RPC servers with dynamic endpoints. При возникновении ошибки в конфигурации код ошибки будет 87 (0x57) ERROR_INVALID_PARAMETER. When there is a configuration error, the error code will be 87 (0x57) ERROR_INVALID_PARAMETER. Это может повлиять на серверы Windows RPC, например Netlogon. This can affect Windows RPC servers as well, such as Netlogon. В этом случае будет регистрироваться событие 5820. It will log event 5820 in this case:

Имя журнала: системный источник: код события NETLOGON: 5820 уровень: ошибка ключевые слова: классическая описание: службе Netlogon не удалось добавить интерфейс AuthZ RPC. Log Name: System Source: NETLOGON Event ID: 5820 Level: Error Keywords: Classic Description: The Netlogon service could not add the AuthZ RPC interface. Служба была прервана. The service was terminated. Произошла следующая ошибка: "параметр неверен". The following error occurred: 'The parameter is incorrect.'

Если вы хотите глубоко погрузиться в том, как это работает, ознакомьтесь с разрешениями на вызов RPC для ИТ-специалистов ина профессиональном уровне. If you would like to do a deep dive as to how it works, see RPC over IT/Pro.

Устранение ошибок RPC Troubleshooting RPC error

Лучше всего всегда устранять проблемы с RPC, прежде чем приступить к трассировке — с помощью таких средств, как PortQry. The best thing to always troubleshoot RPC issues before even getting in to traces is by making use of tools like PortQry. Вы можете быстро определить, можно ли установить соединение, выполнив команду: You can quickly determine if you are able to make a connection by running the command:

Это может привести к выводу большого количества выходных данных, но вы должны найти * ip_tcp-и номер порта в квадратных скобках, указывающий, успешно ли вы можете получить динамический порт из EPM, а также установить подключение к нему. This would give you a lot of output to look for, but you should be looking for *ip_tcp- and the port number in the brackets, which tells whether you were successfully able to get a dynamic port from EPM and also make a connection to it. В случае сбоя вы обычно можете начать сбор одновременных трассировок сети. If the above fails, you can typically start collecting simultaneous network traces. Что-то вроде этого из результатов "PortQry": Something like this from the output of “PortQry”:

Частичный вывод ниже. Partial output below:

Один шрифт — это номер временного порта, с которым вы успешно сделали соединение. The one in bold is the ephemeral port number that you made a connection to successfully.

Вы можете выполнить приведенные ниже команды, чтобы использовать для Windows встроенные средства Netsh, чтобы собрать одновременную трассировку. You can run the commands below to leverage Windows inbuilt netsh captures, to collect a simultaneous trace. Не забудьте выполнить приведенную ниже команду для команды "администраторская CMD", для которой требуется повышение прав. Remember to execute the below on an “Admin CMD”, it requires elevation.

На клиенте On the client

На сервере On the Server

Теперь попробуйте воспроизвести свою ошибку на клиентском компьютере и, как только вы считаете, что она была воспроизведена, и остановите трассировки с помощью команды. Now try to reproduce your issue from the client machine and as soon as you feel the issue has been reproduced, go ahead and stop the traces using the command

Откройте трассировки в сетевом мониторе Microsoft 3,4 или анализаторе сообщений и отфильтруйте трассировку для Open the traces in Microsoft Network Monitor 3.4 or Message Analyzer and filter the trace for

Ipv4.address== и ipv4.address== и tcp.port==135 просто tcp.port==135 должен помогать вам. and ipv4.address== and tcp.port==135 or just tcp.port==135 should help.

Найдите протокол "EPM" в столбце "протокол". Look for the “EPM” Protocol Under the “Protocol” column.

Теперь убедитесь, что вы получаете ответ от сервера. Now check if you are getting a response from the server. При получении ответа Обратите внимание на динамический номер порта, который вы выделили для использования. If you get a response, note the dynamic port number that you have been allocated to use.

Убедитесь, что соединение с этим динамическим портом успешно установлено. Check if we are connecting successfully to this Dynamic port successfully.

Фильтр должен выглядеть примерно так: tcp.port== The filter should be something like this: tcp.port== and ipv4.address==

Это поможет вам проверить подключение и выявить возможные проблемы с сетью. This should help you verify the connectivity and isolate if any network issues are seen.

Наиболее распространенная причина, по которой мы бы смогли увидеть сервер RPC, недоступен, если динамический порт, к которому пытается подключиться клиент, недоступен. The most common reason why we would see the RPC server unavailable is when the dynamic port that the client tries to connect is not reachable. После этого трассировка на стороне клиента будет показывать повторные передачи TCP SYN для динамического порта. The client side trace would then show TCP SYN retransmits for the dynamic port.

Порт недоступен по одной из указанных ниже причин. The port cannot be reachable due to one of the following reasons:

• Динамический диапазон портов блокируется брандмауэром в среде. The dynamic port range is blocked on the firewall in the environment.
• На среднем устройстве удаляются пакеты. A middle device is dropping the packets.
• Конечный сервер отбрасывает пакеты (драйвер с фильтрацией и отфильтром, а также с помощью Drop/NIC). The destination server is dropping the packets (WFP drop / NIC drop/ Filter driver etc).

Читайте также:

• Eve online сила вируса
• Оценка реактогенности гриппозной вакцины
• Антитела к вирусу клещевого энцефалита после прививки
• Инфицированность вирусом простого герпеса и цмв
• Алт и аст что за вирусы от чего они