RPC-Verbindungsupdates für das Drucken in Windows 11

  • Artikel

Gilt für: Windows 11, Version 22H2 und höhere Versionen von Windows

Windows 11 version 22H2 werden Änderungen an Druckkomponenten eingeführt, die ändern, wie Windows-Computer während des Druckens oder druckbezogener Vorgänge miteinander kommunizieren. Beispielsweise treten die Änderungen in Kraft, wenn Sie auf einem Drucker drucken, der von einem Druckerserver oder einem anderen Computer im Netzwerk freigegeben wird. Diese Änderungen wurden vorgenommen, um die Allgemeine Sicherheit beim Drucken in Windows weiter zu verbessern. Die Standardkonfiguration der RPC-Verbindungseinstellungen erzwingt neuere und sicherere Kommunikationsmethoden. Privatbenutzer und Unternehmensadministratoren können auch die Einstellungen für ihre Umgebung anpassen.

Updatedetails

  • Für druckbezogene Kommunikationen wird standardmäßig RPC über TCP für die Kommunikation zwischen Client und Server verwendet.

    • Die Verwendung von RPC über Named Pipes für die druckbezogene Kommunikation zwischen Computern ist weiterhin verfügbar, ist jedoch standardmäßig deaktiviert.
    • Die Verwendung von RPC über TCP oder RPC über Named Pipes für die druckbezogene Kommunikation kann durch Gruppenrichtlinie oder über die Registrierung gesteuert werden.

  • Standardmäßig lauscht der Client oder Server nur auf eingehende Verbindungen über RPC über TCP.

    • Der Spooler-Dienst kann so konfiguriert werden, dass er auch über RPC über Named Pipes auf eingehende Verbindungen lauscht. Dies ist nicht die Standardkonfiguration.
    • Dieses Verhalten kann durch Gruppenrichtlinie oder über die Registrierung gesteuert werden.

  • Wenn RPC über TCP verwendet wird, kann ein bestimmter Port für die Kommunikation anstelle von dynamischen Ports konfiguriert werden.

  • Umgebungen, in denen alle Computer in die Domäne eingebunden sind und Kerberos unterstützen, können jetzt die Kerberos-Authentifizierung erzwingen.

Empfehlungen zum Konfigurieren einer Umgebung

Im Folgenden finden Sie Empfehlungen zum ordnungsgemäßen Konfigurieren der Umgebung, um Probleme bei der Kommunikation zwischen Computern zu vermeiden oder zu beheben.

Rpc über TCP-Kommunikation zulassen

Das häufigste Problem besteht darin, dass Firewallregeln die Kommunikation zwischen den Computern verhindern. Führen Sie die folgenden Schritte aus, um Probleme mit der Firewall zu beheben:

  1. Stellen Sie sicher, dass der RPC-Endpunktzuordnungsport (135) nicht blockiert ist.
  2. Öffnen Sie die kurzlebigen Ports mit hoher Reichweite (49152 – 65535) auf dem Server, oder befolgen Sie die Anweisungen im Abschnitt Konfigurieren von RPC für die Verwendung bestimmter Ports weiter unten, um einen Bereich von Ports für RPC anzugeben.

Weitere Informationen zu den verschiedenen Ports und deren Verwendung durch Systemdienste finden Sie unter Dienstübersicht und Netzwerkportanforderungen für Windows.

Verwenden von RPC über Named Pipes

Diese Konfiguration wird nicht empfohlen. Sie kann jedoch verwendet werden, wenn RPC über TCP in der aktuellen Umgebung keine Option ist.

Die folgenden zusätzlichen Konfigurationen sind möglicherweise auch erforderlich, um RPC über Named Pipes in der Umgebung ordnungsgemäß zu unterstützen.

Konfigurieren von RPC für die Verwendung bestimmter Ports

Weitere Informationen finden Sie unter Konfigurieren von RPC für die Verwendung bestimmter Ports und Schützen dieser Ports mithilfe von IPsec.

  • Führen Sie die netsh int Befehle aus, um einen dynamischen/ausgeschlossenen Portbereich festzulegen.
  • Führen Sie die netsh ipsec Befehle aus, um IPSec mit netsh zu verwenden.
  • Wenn Sie die Windows-Firewall verwenden möchten, um einen Bereich von Ports zu blockieren, führen Sie die netsh advfirewall Befehle aus.

All dies sind praktikable Lösungen. Einige Lösungen sind jedoch möglicherweise einfacher als die Lösungen, bei denen Sie die Regel für jeden Port festlegen müssen (IPSec und AdvFirewall). Zu Testzwecken können Sie die Methode für den dynamischen/ausgeschlossenen Portbereich verwenden, da Sie den Bereich angeben können. Zum Beispiel:

Führen Sie die folgenden Befehle aus, um den dynamischen Portbereich einzuschränken:

netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp
netsh int ipv4 set dynamicportrange tcp startport=50000 numberofports=255
netsh int ipv4 set dynamicportrange udp startport=50000 numberofports=255
netsh int ipv6 set dynamicportrange tcp startport=50000 numberofports=255
netsh int ipv6 set dynamicportrange udp startport=50000 numberofports=255

Starten Sie dann den Computer neu.

Hinweis

255 ist die Mindestanzahl von Ports, die festgelegt werden können.

Führen Sie die folgenden Befehle aus, um den Portbereich weiter einzuschränken:

netsh int ip show excludedportrange tcp
netsh int ip show excludedportrange udp
netsh int ipv4 add excludedportrange tcp startport=50000 numberofports=225
netsh int ipv4 add excludedportrange udp startport=50000 numberofports=225
netsh int ipv6 add excludedportrange tcp startport=50000 numberofports=225
netsh int ipv6 add excludedportrange udp startport=50000 numberofports=225

Starten Sie dann den Computer neu.

Hinweis

Wenn Sie die Anzahl der Ports zu stark einschränken, können Dienste auf dem System nicht effektiv kommunizieren und ein Problem mit der Funktionalität verursachen.

Konfigurieren der RPC-Kommunikation für Windows-Druckkomponenten

Die folgenden Einstellungen können entweder über Gruppenrichtlinie oder direkt über die Registrierung konfiguriert werden, um den gewünschten Effekt zu erzielen. Ausführliche Informationen zu den einzelnen Einstellungen finden Sie in der Dokumentation im Gruppenrichtlinie-Editor.

Verwenden von RPC über Named Pipes für die Client - Serverkommunikation

  • Aktivieren sie mithilfe von Gruppenrichtlinie:
    Pfad: Computerkonfiguration>Administrative Vorlagen>Drucker>RPC-Verbindungseinstellungen konfigurieren
    Aktivieren Sie RpcOverNamedPipes, und legen Sie sie fest.
  • Aktivieren Sie die Einstellung mithilfe der Registrierung:
    Ausführen von reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v RpcUseNamedPipeProtocol /t REG_DWORD /d 1 /f

Aktivieren des Lauschens auf eingehende Verbindungen in RPC über Named Pipes

  • Aktivieren über Gruppenrichtlinie:
    Pfad: Computerkonfiguration > Administrative Vorlagen > Drucker > RPC-Listenereinstellungen konfigurieren
    Aktivieren und festlegen Sie protokolle, die für RpcOverNamedPipesAndTcp verwendet werden dürfen.
  • Aktivieren Sie die Einstellung über die Registrierung:
    Ausführen von reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v RpcProtocols /t REG_DWORD /d 0x7 /f

Verwenden eines bestimmten Ports für die RPC-über TCP-Kommunikation

  • Aktivieren über Gruppenrichtlinie:
    Pfad: Computerkonfiguration>Administrative Vorlagen>Drucker>RPC über TCP-Port konfigurieren Aktivieren und Festlegen der Portnummer
  • Aktivieren der Einstellung über die Registrierung
    Ausführen von reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v RpcTcpPort /t REG_DWORD /d <port number> /f

Max. Port: 65535

Erzwingen der Kerberos-Authentifizierung

  • Aktivieren über Gruppenrichtlinie:
    Pfad: Computerkonfiguration>Administrative Vorlagen>Drucker>RPC-Listenereinstellungen konfigurieren
    Aktivieren Sie das Authentifizierungsprotokoll, das für Kerberos verwendet werden darf, und legen Sie es fest.
  • Aktivieren der Einstellung über die Registrierung
    Ausführen von reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v ForceKerberosForRpc /t REG_DWORD /d 1 /f