RPC-Verbindungsupdates für das Drucken in Windows 11
Gilt für: Windows 11, Version 22H2 und höhere Versionen von Windows
Windows 11 version 22H2 werden Änderungen an Druckkomponenten eingeführt, die ändern, wie Windows-Computer während des Druckens oder druckbezogener Vorgänge miteinander kommunizieren. Beispielsweise treten die Änderungen in Kraft, wenn Sie auf einem Drucker drucken, der von einem Druckerserver oder einem anderen Computer im Netzwerk freigegeben wird. Diese Änderungen wurden vorgenommen, um die Allgemeine Sicherheit beim Drucken in Windows weiter zu verbessern. Die Standardkonfiguration der RPC-Verbindungseinstellungen erzwingt neuere und sicherere Kommunikationsmethoden. Privatbenutzer und Unternehmensadministratoren können auch die Einstellungen für ihre Umgebung anpassen.
Updatedetails
Für druckbezogene Kommunikationen wird standardmäßig RPC über TCP für die Kommunikation zwischen Client und Server verwendet.
- Die Verwendung von RPC über Named Pipes für die druckbezogene Kommunikation zwischen Computern ist weiterhin verfügbar, ist jedoch standardmäßig deaktiviert.
- Die Verwendung von RPC über TCP oder RPC über Named Pipes für die druckbezogene Kommunikation kann durch Gruppenrichtlinie oder über die Registrierung gesteuert werden.
Standardmäßig lauscht der Client oder Server nur auf eingehende Verbindungen über RPC über TCP.
- Der Spooler-Dienst kann so konfiguriert werden, dass er auch über RPC über Named Pipes auf eingehende Verbindungen lauscht. Dies ist nicht die Standardkonfiguration.
- Dieses Verhalten kann durch Gruppenrichtlinie oder über die Registrierung gesteuert werden.
Wenn RPC über TCP verwendet wird, kann ein bestimmter Port für die Kommunikation anstelle von dynamischen Ports konfiguriert werden.
Umgebungen, in denen alle Computer in die Domäne eingebunden sind und Kerberos unterstützen, können jetzt die Kerberos-Authentifizierung erzwingen.
Empfehlungen zum Konfigurieren einer Umgebung
Im Folgenden finden Sie Empfehlungen zum ordnungsgemäßen Konfigurieren der Umgebung, um Probleme bei der Kommunikation zwischen Computern zu vermeiden oder zu beheben.
Rpc über TCP-Kommunikation zulassen
Das häufigste Problem besteht darin, dass Firewallregeln die Kommunikation zwischen den Computern verhindern. Führen Sie die folgenden Schritte aus, um Probleme mit der Firewall zu beheben:
- Stellen Sie sicher, dass der RPC-Endpunktzuordnungsport (135) nicht blockiert ist.
- Öffnen Sie die kurzlebigen Ports mit hoher Reichweite (49152 – 65535) auf dem Server, oder befolgen Sie die Anweisungen im Abschnitt Konfigurieren von RPC für die Verwendung bestimmter Ports weiter unten, um einen Bereich von Ports für RPC anzugeben.
Weitere Informationen zu den verschiedenen Ports und deren Verwendung durch Systemdienste finden Sie unter Dienstübersicht und Netzwerkportanforderungen für Windows.
Verwenden von RPC über Named Pipes
Diese Konfiguration wird nicht empfohlen. Sie kann jedoch verwendet werden, wenn RPC über TCP in der aktuellen Umgebung keine Option ist.
- Informationen zum Aktivieren eines Windows 11 Computers der Version 22H2 für die Verwendung von RPC über Named Pipes anstelle von RPC über TCP für die Kommunikation finden Sie im Abschnitt Verwenden von RPC über Named Pipes für die Client- Serverkommunikation.
- Informationen zum Aktivieren eines Windows 11,Version 22H2-Computers zum Lauschen auf eingehende Verbindungen über RPC über Named Pipes und RPC über TCP finden Sie im Abschnitt Aktivieren der Überwachung auf eingehende Verbindungen in RPC über Named Pipes.
Die folgenden zusätzlichen Konfigurationen sind möglicherweise auch erforderlich, um RPC über Named Pipes in der Umgebung ordnungsgemäß zu unterstützen.
- Legen Sie den Registrierungswert RpcAuthnLevelPrivacyEnabled auf dem Server/Hostcomputer auf 0 fest. Informationen zu CVE-2021-1678 (KB4599464) finden Sie unter Verwalten der Bereitstellung von Änderungen an der Drucker-RPC-Bindung (microsoft.com).
- Einige Szenarien erfordern auch Gastzugriff in SMB2/SMB3, das standardmäßig deaktiviert ist. Informationen zum Aktivieren finden Sie unter Gastzugriff in SMB2 und SMB3 in Windows standardmäßig deaktiviert.
Konfigurieren von RPC für die Verwendung bestimmter Ports
Weitere Informationen finden Sie unter Konfigurieren von RPC für die Verwendung bestimmter Ports und Schützen dieser Ports mithilfe von IPsec.
- Führen Sie die
netsh int
Befehle aus, um einen dynamischen/ausgeschlossenen Portbereich festzulegen. - Führen Sie die
netsh ipsec
Befehle aus, um IPSec mit netsh zu verwenden. - Wenn Sie die Windows-Firewall verwenden möchten, um einen Bereich von Ports zu blockieren, führen Sie die
netsh advfirewall
Befehle aus.
All dies sind praktikable Lösungen. Einige Lösungen sind jedoch möglicherweise einfacher als die Lösungen, bei denen Sie die Regel für jeden Port festlegen müssen (IPSec und AdvFirewall). Zu Testzwecken können Sie die Methode für den dynamischen/ausgeschlossenen Portbereich verwenden, da Sie den Bereich angeben können. Zum Beispiel:
Führen Sie die folgenden Befehle aus, um den dynamischen Portbereich einzuschränken:
netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp
netsh int ipv4 set dynamicportrange tcp startport=50000 numberofports=255
netsh int ipv4 set dynamicportrange udp startport=50000 numberofports=255
netsh int ipv6 set dynamicportrange tcp startport=50000 numberofports=255
netsh int ipv6 set dynamicportrange udp startport=50000 numberofports=255
Starten Sie dann den Computer neu.
Hinweis
255 ist die Mindestanzahl von Ports, die festgelegt werden können.
Führen Sie die folgenden Befehle aus, um den Portbereich weiter einzuschränken:
netsh int ip show excludedportrange tcp
netsh int ip show excludedportrange udp
netsh int ipv4 add excludedportrange tcp startport=50000 numberofports=225
netsh int ipv4 add excludedportrange udp startport=50000 numberofports=225
netsh int ipv6 add excludedportrange tcp startport=50000 numberofports=225
netsh int ipv6 add excludedportrange udp startport=50000 numberofports=225
Starten Sie dann den Computer neu.
Hinweis
Wenn Sie die Anzahl der Ports zu stark einschränken, können Dienste auf dem System nicht effektiv kommunizieren und ein Problem mit der Funktionalität verursachen.
Konfigurieren der RPC-Kommunikation für Windows-Druckkomponenten
Die folgenden Einstellungen können entweder über Gruppenrichtlinie oder direkt über die Registrierung konfiguriert werden, um den gewünschten Effekt zu erzielen. Ausführliche Informationen zu den einzelnen Einstellungen finden Sie in der Dokumentation im Gruppenrichtlinie-Editor.
Verwenden von RPC über Named Pipes für die Client - Serverkommunikation
- Aktivieren sie mithilfe von Gruppenrichtlinie:
Pfad: Computerkonfiguration>Administrative Vorlagen>Drucker>RPC-Verbindungseinstellungen konfigurieren
Aktivieren Sie RpcOverNamedPipes, und legen Sie sie fest. - Aktivieren Sie die Einstellung mithilfe der Registrierung:
Ausführen vonreg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v RpcUseNamedPipeProtocol /t REG_DWORD /d 1 /f
Aktivieren des Lauschens auf eingehende Verbindungen in RPC über Named Pipes
- Aktivieren über Gruppenrichtlinie:
Pfad: Computerkonfiguration > Administrative Vorlagen > Drucker > RPC-Listenereinstellungen konfigurieren
Aktivieren und festlegen Sie protokolle, die für RpcOverNamedPipesAndTcp verwendet werden dürfen. - Aktivieren Sie die Einstellung über die Registrierung:
Ausführen vonreg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v RpcProtocols /t REG_DWORD /d 0x7 /f
Verwenden eines bestimmten Ports für die RPC-über TCP-Kommunikation
- Aktivieren über Gruppenrichtlinie:
Pfad: Computerkonfiguration>Administrative Vorlagen>Drucker>RPC über TCP-Port konfigurieren Aktivieren und Festlegen der Portnummer - Aktivieren der Einstellung über die Registrierung
Ausführen vonreg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v RpcTcpPort /t REG_DWORD /d <port number> /f
Max. Port: 65535
Erzwingen der Kerberos-Authentifizierung
- Aktivieren über Gruppenrichtlinie:
Pfad: Computerkonfiguration>Administrative Vorlagen>Drucker>RPC-Listenereinstellungen konfigurieren
Aktivieren Sie das Authentifizierungsprotokoll, das für Kerberos verwendet werden darf, und legen Sie es fest. - Aktivieren der Einstellung über die Registrierung
Ausführen vonreg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" /v ForceKerberosForRpc /t REG_DWORD /d 1 /f
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für