ねこ鯖 nekoserver 鯖缶はたいへんだニャーの巻

改訂しました。Windows 7 にも対応しています。
　
こちらはWindows Vista, Windows 7 でのポート開放方法や、
ファイアウォールでのプログラム動作の許可の方法などを書いたもの。
ファイアウォールが開かない時の対策方法として一緒に書いた。

Windows Server 2003のドメイン環境で下の画面が出た場合の対処方法。

Windows Vista, Windows 7 のファイアウォールの設定画面を出そうとしたときに
こんなことが起こる。
これの対策にはWindows Vista またはWindows 7 で操作する。


　
これはグループ ポリシーの問題なので適切に処理するのだが、
こいつがまたなかなか気付かなくて、
　
"Windows Vista 用 Microsoft リモート サーバー管理ツール"
　
をインストールすると解決する。
　
　
　
以下はWindows Vista SP1以降に対応しているのものです。
※ Windows 7 にインストールの場合には、　 Windows 7用のものをダウンロードする。

http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=9ff6e897-23ce-4a36-b7fc-d52065de9960
　　
　
　　
ただし、そのままダウンロード・インストールしても使えないので、
以下の場所へ移動してプログラムの機能を有効にする必要がある。
　

[コントロールパネル]
　[プログラム]
　　[プログラムの機能]
　　　[Windows の機能の有効化または無効化]

この中に、[リモート サーバー管理ツール]があるので、
これにチェックをつけてＯＫをクリックする。
　
　
これによりVistaでもVista, 7, 2008用グループ ポリシーの編集が出来る。
つまり、2003で作成してムリヤリ制御していた中途半端な
グループ ポリシーも完全なもの？になる。

そして次にWindows Server 2003 等で作成したポリシーの一部で、
無効または未構成にする必要のあるものが、以下の部分だ。
　

[コンピュータの構成]
　[ポリシー]
　　[管理用テンプレート:セントラル ストアから～]
　　　[ネットワーク接続]
　　　　[Windows ファイアウォール]
　　　　　[ドメイン プロファイル]

この中の以下の部分を無効または未構成にする。
『Windows ファイアウォール:着信プログラムの例外を定義する』
『Windows ファイアウォール:着信ポートの例外を定義する』

次に無効または未構成にしたプログラムやポートを
改めて定義するのだが、それが以下の場所で出来る。

まずはグループポリシーの管理を展開して
編集したいポリシーの編集画面で操作する。
　

[コンピュータの構成]
　[ポリシー]
　　[Windows の設定]
　　　[セキュリティ の設定]
　　　　[セキュリティが強化された Windows ファイアウォール]

ここを展開すると以下のような項目がある。
　[受信の規則]
　[送信の規則]
　[接続セキュリティの規則]

こいつに先ほど無効にした設定を移行してやればよい。

設定するには、
①[受信の規則]を右クリックし、
②"新規の規則"をクリックする。

ウィザード形式になるので例えば"プログラムＡ"を許可するのなら、
　③[プログラム]を選択する。
　④"次へ"をクリックする。
　⑤[このプログラムのパス]ボックスへ"プログラムＡ"へのパスを入力する。
　⑥"次へ"をクリックする。
　⑦[条件が一致した場合どの操作をするか] いづれかを選択する。
　　　(接続を許可する)
　　　(セキュリティで保護されている場合のみ接続を許可する)
　　　(接続をブロックする)
　⑧"次へ"をクリックする。
　⑨[この規則はいつ適用しますか?]選択する。※複数選択できる。
　　　(ドメイン)
　　　(プライベート)
　　　(パブリック)
　⑩"次へ"をクリックする。
　⑪[名前]ボックスに分かりやすい名前をつける
　⑫"完了"をクリックする。
・グループポリシーの適用をさせる。
　ファイル名を指定して実行より、[gpupdate /force]

これはポート開放の方法にも同様に利用できる。
画像での説明がコレ…

AUTH=EFAIL:TYPE=CRAM-MD5
認証エラーによるアクセス違反ですな。

DDNS環境での私の現在の環境設定

[ 環境設定 - Xmail 環境設定 ]
・POP before SMTPを許可 (EnableAuthSMTP-POP3)　
　わたしの場合：有効

・SMTPハロードメイン (HeloDomain) プロバイダのSMTPアドレス
　わたしの場合：smtp.nifty.com

・SMTPサーバドメイン (SmtpServerDomain) 自鯖のアドレス
　自鯖のアドレス

・ルートドメイン (RootDomain)
　自鯖のアドレス

・POPデフォルトドメイン (POP3Domain)
　自鯖のアドレス

[ オプション - SMTP フォワーダ ]
・あて先ドメイン名
　*.*
・SMTP フォワーダ
　smtp.nifty.com

[ オプション - SMTP クライアント認証 ]
・接続先SMTPサーバ
　smtp.nifty.com
・認証タイプ
　plain
・ユーザー名
　プロバイダのメールアドレスのユーザーID
・パスワード
　プロバイダのメールアドレスのパスワード

https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/71.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/25.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/54.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/62.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/112.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/86.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/144.html

表面上は見えないがデフォルトでは管理共有としてドライブすべてが共有されている。

●無効にする場合の方法●
コマンドプロンプトを起動し、以下を入力・実行する。　
　net stop server

次に、レジストリエディタを起動し、以下へ移動する。

HKEY_LOCAL_MACHINE\
　System\
　　CurrentControlSet\
　　　Services\
　　　　LanmanServer\
　　　　　Parameters\
　
　
キーを新規作成する手順は以下。
① メニューバーより[編集]-[新規]-[DWORD値]をクリックする。
　　※Windows2000Pro/XP/VISTAの場合
　　　値の名前…[AutoShareWks]
　　※Widows2000Server/2003の場合
　　　値の名前…[AutoShareServer]
② 作成したキーをダブルクリックして[値のデータ]ボックスに "0" と入力する。
③ レジストリエディタを終了し、再起動する。
　
　
　
※ちなみに有効にする方法は②のところで[値のデータ]を "1"にすればよい。
　
最後にコマンドプロンプトで以下を実行する。
　net start server
　
　
　
　
　
／／／／／／／／／／／／／／／／／
8.1、2012R2以降用
／／／／／／／／／／／／／／／／／　
UACが邪魔をする・・・
　これは、UACを有効にしたまま管理共有を有効にする手段です。
　無効にする場合は、値を 0 にする。　
　
　
HKLM/Software/Microsoft/Windows/CurrentVersion/Policies/System
　
DWORD(32BITの場合)で新規の値を作成する。
QWORD(64BItの場合)同上。
　
【名前】　
　LocalAccountTokenFilterPolicy
【値】
　1
　
　

レジストリエディタを起動し、以下へ移動する。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon\
・[DefaultDomainName]…ドメイン名を入力
・[DefaultUserName]…ユーザー名を入力
・[DefaultPassword]…上で設定したユーザーに対応するパスワードを入力
　※キーがない場合は手動で追加する。
　　メニューバーの[編集]-[新規]-[文字列値] をクリックする。
　　値の名前に "AutoAdminLogon" と入力してEnter キーを押す。
　　作成したキーをダブルクリックして[値のデータ]ボックスに パスワードを入力する。
・[AutoAdminLogon]…ダブルクリックして[値のデータ]ボックスに "1" と入力する。
　※キーがない場合は手動で追加する。
　　メニューバーの[編集]-[新規]-[文字列値] をクリックする。
　　値の名前に "AutoAdminLogon" と入力してEnter キーを押す。
　　作成したキーをダブルクリックして[値のデータ]ボックスに "1" と入力する。
　※ "0"に設定すると無効になる。
　　　無効にする場合は"DefaultPassword"の値も削除しておいたほうが良い。

・再起動する。

この方法は2000では有効だが、
XPではドメインに参加していない場合にだけ有効となる。しかも条件が細かい。

なんで2000はドメインに参加しててもOKなんだろうか…
やはりこういう所にセキュリティの穴があるんだろうな。
でも2000は汎用性が高いからスキ！

以下をダウンロード・インストールする。
サポートOffice: 2000/XP/2003
サポートOS: Windows 2000 SP4/XP/2003/Vista

Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック
http://www.microsoft.com/downloads/details.aspx?FamilyID=941b3470-3ae9-4aee-8f43-c6bb74cd1466&DisplayLang=ja

ここではPerlと.NET Framework2.0のセットアップは完了した
という前提で話を進める。
XmailCFG 2.33 Windows 2000 Server + IIS 5.0 は以下。
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/139.html

Xmail K4 0.90 Windows Server 2003 + IIS 6.0 は以下。
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/25.html

★Xmail_K4_0.90 をダウンロードし、解凍して出来たフォルダ
　[K4_0.90]を任意の場所へ配置する。
　置く場所はどこでもいいし、
　出来たフォルダ名も適当に変更してもかまわない。
　　ここでは分かりやすいように
　　D:\wwwroot フォルダの中へ置くことにする。
　　置いたら D:\wwwroot\K4_0.90 となる。
　　このフォルダの中に "temp" フォルダがなければ作成しておく。

★ActivePerl 5.8 対応拡張モジュール をダウンロードし、
　解凍して出来たファイルを
　D:\wwwroot\K4_0.90\cgi フォルダへ上書きコピーする。

★"K4_0.90" フォルダのアクセス許可の設定をする。
　そのためには以下のアクセス権を追加・設定をする。
　　※ ほかのアクセス許可があれば
　　　"継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする"
　　　　のチェックをはずし、"コピー"をクリックする。
　　　　その後にアクセス許可を設定する。

　　　・Administrators　フルコントロール
　　　・Authenticated Users　変更
　　　・SYSTEM　フルコントロール
　　設定したら "ＯＫ" をクリックする。

★[インターネット インフォメーション サービス (IIS)] を起動
　[サーバー名] をクリックして展開する。
　[既定の Web サイト] を右クリックする。
　[新規作成] - [仮想ディレクトリ]をクリックする。
　　・"仮想ディレクトリの作成ウィザードへようこそ"
　　　　ウィンドウが表示される。
　　・"次へ" をクリックする。

　　・"仮想ディレクトリ エイリアス"
　　　　アクセスされる(する)ための名前を入力する。
　　　　　例：）nekoprint.mobi というドメインを構成している場合。
　　　　　　"k4_mail" というエイリアス名をつけると
　　　　　　　外部からのアクセスには
　　　　　　　ttp://nekoprint.mobi/k4_mail/
　　　　　　というように入力するとアクセスできるようになる。
　　　　"次へ"をクリックする。

　　・"Web サイトのコンテンツのディレクトリ パス"
　　　　　ダウンロード・解凍して出来たフォルダを置いた場所を入力する。
　　　　　ここではD:\wwwroot\K4_0.90 フォルダとする。
　　　　"次へ"をクリックする。

　　・"アクセス許可"　xmail はCGIで動作するので以下を許可する。
　　　　　読み取り
　　　　　ASP などのスクリプトを実行する
　　　　　ISAPI アプリケーションや CGI 等を実行する
　　　　"次へ"をクリックする。

　　・仮想ディレクトリが正常に作成されました。
　　　　"完了"をクリックする。

★IISスナップインに戻ると作成した仮想ディレクトリ名が表示される。
　　[仮想ディレクトリ名] を右クリックし、プロパティを表示させる。
　　　　※ここでは k4_mail を右クリックし、プロパティを表示させる。

　　[仮想ディレクトリ] タブ内での作業
　　　・ローカルパス…実際にフォルダを置いた場所になっているか
　　　　この例では D:\wwwroot\K4_0.90
　　　・アプリケーション名…
　　　　エイリアス名で指定した名前になっているか
　　　・実行アクセス権…以下にチェックがあるか確認
　　　　　"読み取り"
　　　　　"ログ アクセス"
　　　　　"このリソースに索引を付ける"

　　　・[構成] をクリックする。
　　　　　・"アプリケーションのマッピング" タブにおいて、
　　　　　　　Perlへのパスと拡張子 ".cgi" があるかどうかを確認する。
　　　　　　　なければ追加する。
　　　　　・"アプリケーションのオプション" タブをクリックし、
　　　　　　　"親のパスを有効にする" －チェックをはずす。
　　　　　・"ＯＫ"をクリックする。

　　[ディレクトリ セキュリティ] タブをクリックする。
　　　・"匿名アクセスおよび認証コントロール"
　　　　　 "編集"をクリックする。
　　　・"匿名アクセス"チェックをはずす
　　　　　※ "統合 Windows 認証"のみチェックした状態にする。
　　　・"ＯＫ"をクリックする。

★アクセスできるかを確認する。
　　・IEを起動する。
　　・アドレス欄に直接URLを入力してみる。
　　　起動したらそれでよし。
　　　起動しない場合は"最新の情報に更新"を実行する。
　　　それでもダメなら K4_0.90\cgi ファイルを編集する。
　　　方法は以下に書いている。
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/25.html

※いちいち認証のためのユーザー名とパスワードを入力するのが面倒なら
　・IEを起動
　　　[ツール]-
　　　　[インターネット オプション]-
　　　　　[セキュリティ]タブ-
　　　　　　[信頼済みサイト] をクリックし、
　　　　　　サイトアドレスを登録しておく。
　　　　　　　ワイルドカード可

　・"レベルのカスタマイズ" をクリックする。
　　　[ユーザー認証]-
　　　　[ログオン]-
　　　　　[現在のユーザー名とパスワードで自動的にログオンする]
　　　　　を選択する。
　・"ＯＫ"をクリックする。

ここではPerlと.NET Framework2.0のセットアップは完了した
という前提で話を進める。

★XmailCFG2.33をダウンロードし、解凍して出来たフォルダを
　任意の場所へ配置する。置く場所はどこでもいいし、
　出来たフォルダ名も適当に変更してもかまわない。
　　ここでは分かりやすいように
　　D:\wwwroot フォルダの中へ置くことにする。
　　置いたら D:\wwwroot\XmailCFG2.33 となる。
　　このフォルダの中に "temp" フォルダがなければ作成しておく。

★XmailCFG2.33フォルダのアクセス許可の設定をする。
　そのためには以下のアクセス権を追加・設定をする。
　　※ ほかのアクセス許可があれば
　　　"継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする"
　　　　のチェックをはずし、"コピー"をクリックする。
　　　　その後にアクセス許可を設定する。

　　・Administrators　フルコントロール
　　・Authenticated Users　変更
　　・SYSTEM　フルコントロール
　設定したら "ＯＫ" をクリックする。

★[インターネット インフォメーション サービス (IIS)] を起動
　[サーバー名] をクリックして展開する。
　[既定の Web サイト] を右クリックする。
　[新規作成] - [仮想ディレクトリ]をクリックする。
　　・"仮想ディレクトリの作成ウィザードへようこそ"
　　　ウィンドウが表示される。
　　　　"次へ" をクリックする。

　　・"仮想ディレクトリ エイリアス"
　　　　アクセスされる(する)ための名前を入力する。
　　　　例：）nekoprint.mobi というドメインを構成している場合。
　　　　　　"mail" というエイリアス名をつけると
　　　　　　　外部からのアクセスには
　　　　　　　ttp://nekoprint.mobi/mail/
　　　　　　　というように入力するとアクセスできるようになる。
　　　　"次へ"をクリックする。

　　・"Web サイトのコンテンツのディレクトリ パス"
　　　　　ダウンロード・解凍して出来たフォルダを置いた場所を入力する。
　　　　　ここではD:\wwwroot\XmailCFG2.33 フォルダとする。
　　　　"次へ"をクリックする。

　　・"アクセス許可"　xmail はCGIで動作するので以下を許可する。
　　　　　読み取り
　　　　　ASP などのスクリプトを実行する
　　　　　ISAPI アプリケーションや CGI 等を実行する
　　　　"次へ"をクリックする。

　　・仮想ディレクトリが正常に作成されました。
　　　　"完了"をクリックする。

★IISスナップインに戻ると作成した仮想ディレクトリ名が表示される。
　　[仮想ディレクトリ名] を右クリックし、プロパティを表示させる。
　　　　※ここでは mail を右クリックし、プロパティを表示させる。

　　[仮想ディレクトリ] タブ内での作業
　　　・ローカルパス…実際にフォルダを置いた場所になっているか
　　　　　この例では D:\wwwroot\XmailCFG2.33
　　　・アプリケーション名…
　　　　エイリアス名で指定した名前になっているか
　　　・実行アクセス権…
　　　　"読み取り" "ログ アクセス" "このリソースに索引を付ける"

　　　・[構成] をクリックする。
　　　　　"アプリケーションのマッピング" タブにおいて、
　　　　　　Perlへのパスと拡張子 ".cgi" があるかどうかを確認する。
　　　　　　なければ追加する。
　　　　　"アプリケーションのオプション" タブをクリックし、
　　　　　　"親のパスを有効にする" －チェックをはずす。
　　　　　"ＯＫ"をクリックする。

　　[ディレクトリ セキュリティ] タブをクリックする。
　　　・"匿名アクセスおよび認証コントロール" - "編集"をクリックする。
　　　・"匿名アクセス"チェックをはずす
　　　　　※ "統合 Windows 認証"のみチェックした状態にする。
　　　・"ＯＫ"をクリックする。
　再度"ＯＫ"をクリックする。コレで完了。

★アクセスできるかを確認する。
　　・IEを起動する。
　　・アドレス欄に直接URLを入力してみる。
　　　起動したらそれでよし。

※いちいち認証のためのユーザー名とパスワードを入力するのが面倒なら
　・IEを起動
　　　[ツール]-
　　　　[インターネット オプション]-
　　　　　[セキュリティ]タブ-
　　　　　　[信頼済みサイト] をクリックし、サイトアドレスを登録しておく。
　　　　　　　※ワイルドカード可

　・"レベルのカスタマイズ" をクリックする。
　　　[ユーザー認証]-
　　　　[ログオン]-
　　　　　[現在のユーザー名とパスワードで自動的にログオンする] を選択する。
　・"ＯＫ"をクリックする。

[ 既定の Web サイト ] を右クリックし、"プロパティ"をクリック

[ Web サイト ] タブをクリックし、"ログの記録を有効にする"にチェックが付いているのを確認し、右のプロパティをクリックする。

[ 詳細設定 ]タブをクリックし、以下の部分にチェックを入れる。

こないだWindows 2000 server を再起動したときに出たエラーである。
いきなりこんなに出るなんて…
しかし基本的にこの下のリンクにある対策をすればよい。
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/131.html

それでもダメな場合は以下を確認する。

[コントロール パネル]
　[ネットワーク接続]
　　[ローカル エリア接続]
　　　[全般]タブ - "プロパティ"をクリック
　　　　[全般]タブ - "インターネット プロトコル(TCP/IP)"を選択
　　　　　"プロパティ"をクリック
　　　　　　[全般]タブ - "詳細設定"をクリック
　　　　　　　[オプション]タブをクリック
　　　　　　　　"TCP/IP フィルタリング"をクリック
　　　　　　　　　"プロパティ"をクリック

この場所にフィルタリングの設定をしていないかを確認する。
以下は代表的？なものであるが環境により違うので大変だ…

TCP
20 FTP-DATA　※
21 FTP　※
25 SMTP
42 WINS複製　※
53 DNS
80 HTTP
88 Kerberos
110 POP
135 RPC
137 NetBIOS 名前解決
139 NetBIOS セッションサービス
389 LDAP
443 HTTPS　※
445 SMB
464 Active Directory Kerberos認証
636 LDAP over SSL
1512 WINS解決　※
3050　※
3268 グローバル カタログ LDAP
3269 グローバル カタログ LDAP over SSL
42424 ASP.NET セッション　※
1024-5000　RPC動的ポート（XP,2003）
49152-49158　RPC動的ポート（2008以降）
5722　DFSR通信用ポート（2008R2以降でDFSR利用の場合）
　
UDP
42 WINS複製　※
53 DNS
67 DHCP
68 DHCP
69 TFTP
88 Kerberos
123 NTP
137 NetBIOS 名前解決
138 NetBIOS データグラム
389 LDAP
464 Active Directory Kerberos認証
1512 WINS解決　※
4011 BINL

あとはファイアウォールかな。
でも、まずはportqryでもして確認するべきだな。
以下のリンクからダウンロードできる。
http://www.microsoft.com/downloads/details.aspx?familyid=89811747-C74B-4638-A2D5-AC828BDC6983&displaylang=en

イベントの種類:エラー
イベント ソース:Userenv
イベント カテゴリ:なし
イベント ID:1000
日付:0000/00/00
時刻:00:00:00
ユーザー:NT AUTHORITY\SYSTEM
コンピュータ:server_name
説明:
ユーザーまたはコンピュータ名を判断できません。戻り値は (1753) です。

イベントの種類:エラー
イベント ソース:BINLSVC
イベント カテゴリ:なし
イベント ID:1002
日付:0000/00/00
時刻:00:00:00
ユーザー:N/A
コンピュータ:server_name
説明:
BINL サービスはグローバル データを初期化できませんでした。 次のエラーが発生しました:
1753
データ:
0000: 000006d9

イベントの種類:エラー
イベント ソース:Service Control Manager
イベント カテゴリ:なし
イベント ID:7023
日付:0000/00/00
時刻:00:00:00
ユーザー:N/A
コンピュータ:server_name
説明:
Boot Information Negotiation Layer は次のエラーで終了しました:
エンドポイント マッパーから使用できるエンドポイントはこれ以上ありません。

イベントの種類:エラー
イベント ソース:BINLSVC
イベント カテゴリ:なし
イベント ID:1008
日付:0000/00/00
時刻:00:00:00
ユーザー:N/A
コンピュータ:server_name
説明:
次のエラーのため、BINL サービスはシャットダウンします。
1753
データ:
0000: d9 06 00 00 U...

イベントの種類:エラー
イベント ソース:Winlogon
イベント カテゴリ:なし
イベント ID:1012
日付:0000/00/00
時刻:00:00:00
ユーザー:N/A
コンピュータ:server_name
説明:
証明書の自動登録サブシステムが、登録に必要なローカル リソースにアクセスできませんでした。 登録は行われません。 (0x800706d9)

エンドポイント マッパーから使用できるエンドポイントはこれ以上ありません。

イベントの種類:エラー
イベント ソース:Print
イベント カテゴリ:なし
イベント ID:33
日付:0000/00/00
時刻:00:00:00
ユーザー:NT AUTHORITY\SYSTEM
コンピュータ:server_name
説明:
DNS ドメイン名を取得できなかったため、PrintQueue コンテナが見つかりませんでした。エラー: 6d9

イベントの種類:警告
イベント ソース:NTDS General
イベント カテゴリ:グローバル カタログ
イベント ID:1655
日付:0000/00/00
時刻:00:00:00
ユーザー:Everyone
コンピュータ:server_name
説明:
グローバル カタログ \\server_name.local と通信しようとして次の状態で 失敗しました:

エンドポイント マッパーから使用できるエンドポイントはこれ以上ありません。

進行中の操作は続行できない可能性があります。 グローバル カタログ サーバーを必要とする次の操作には、ロケータを使って利用可能なグローバル カタログ サーバーを 検出しようとします。

レコード データは状態コードです。
データ:
0000: 000006d9

イベントの種類:エラー
イベント ソース:NTDS General
イベント カテゴリ:グローバル カタログ
イベント ID:1126
日付:0000/00/00
時刻:00:00:00
ユーザー:Everyone
コンピュータ:server_name
説明:
グローバル カタログとの接続を確立できません。

このTCP135番ポートって重要で、いろんなサービスに使われている。
それが以下のサービス名である。これで全部ではない。
通信系のアプリケーションなどでまだ増えるので、まあこれはおおまかだな…
いいたいのはTCP135番っていうのはネットワーク上で特に重要なんだということだ。
コレを閉じるとは言語道断！みたいな？
でもマイクロソフトは関連エラーを起こさせる…まったくしょうのないやつじゃ。
しかし不思議なのは、リモートで外部から普通に接続はさせてくれる。
まあ、他のポートを使ってるからなんだけど。

・リモート プロシージャ コール RpcSs
・証明書サービス CertSvc
・クラスタ サービス ClusSvc
・分散ファイルシステム DFS
・分散リンクトラッキング TrkSvr
・分散トランザクション コーディネータ MSDTC
・イベント ログ Eventlog
・Faxサービス Fax
・ファイル複製サービス NtFrs
・ローカル セキュリティ機関 LSASS
・リモート記憶域サーバー Remote Storage Server
・Systems Management Server 2.0
・ターミナル サービス ライセンス TermServLicensing
・ターミナル サービス セッション ディレクトリ Tssdis
　
　
　
その他、RPC 関連エラーの対策など　　
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/191.html

Windows server 2003 / XP で確認。
コチラも参考に。
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/151.html

イベントの種類:エラー
イベント ソース:Userenv
イベント カテゴリ:なし
イベント ID:1000
日付:0000/00/00
時刻:00:00:00
ユーザー:NT AUTHORITY\SYSTEM
コンピュータ:computer_name
説明:
ユーザーまたはコンピュータ名を判断できません。戻り値は (1722) です。
※または、ユーザーまたはコンピュータ名を判断できません。戻り値は (1753) です。

イベントの種類:エラー
イベント ソース:DCOM
イベント カテゴリ:なし
イベント ID:10010
日付:0000/00/00
時刻:00:00:00
ユーザー:N/A
コンピュータ:server_name
説明:
サーバー {8BC3F05E-D86B-11D0-A075-00C04FB68820} は、必要なタイムアウト期間内に DCOM に登録しませんでした。

イベントの種類:警告
イベント ソース:KDC
イベント カテゴリ:なし
イベント ID:20
日付:0000/00/00
時刻:00:00:00
ユーザー:N/A
コンピュータ:server_name
説明:
現在選択されている KDC 証明書は、以前は有効でしたが、今は無効です。適切な 代わりのものは見つかりませんでした。この問題が修正されない場合、スマート カード ログオンは正常に機能しない可能性があります。ドメインの公開キーのインフラストラクチャ の状態を確認するように、システム管理者に連絡してください。チェーンの状態はエラー データにあります。

データ:
0000: 00000014 80092013 00000000 00000000

平たく言うと「RPC サーバーを利用できません。」と言っている。
RPC 関連エラーの対策など　　
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/191.html

★対策方法　手順１ -ネットワーク接続の確認
　・コマンドプロンプトを起動
　・以下を入力。（詳細が知りたい場合には、/v オプションをつける）サーバー名:dc1としています。
　　netdiag

....................................

Computer Name: DC1
DNS Host Name: dc1.nekoprint.mobi
System info : Windows 2000 Server (Build 3790)
Processor : x86 Family 15 Model 2 Stepping 9, GenuineIntel
List of installed Hotfixes :
KB94667-v2
.
.
.
.
.
.
.

Netcard queries test . . . . . . . : Passed
GetStats failed for '直接パラレル'. [ERROR_NOT_SUPPORTED]
GetStats failed for 'WAN ミニポート (PPTP)'. [ERROR_NOT_SUPPORTED]
GetStats failed for 'WAN ミニポート (PPPOE)'. [ERROR_NOT_SUPPORTED]
[WARNING] The net card 'WAN ミニポート (IP)' may noto be working because it has not received any packets.
GetStats failed for 'WAN ミニポート (L2TP)'. [ERROR_NOT_SUPPORTED]

Per interface results:

Adapter : ローカル エリア接続

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : dc1
IP Address. . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . : 255.255.255.0
Default Gateway. . . . . : 192.168.0.200
Dns Servers. . . . . . . . : 192.168.0.1
　　　　　　　　　　　　　　　　　　　192.168.0.2

AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Passed

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.

Global results:

Domain membership test . . . . . . : Passed

NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{01234567-8901-2345-6789-012345678901}
1 NetBt transport currently configured.

Autonet address test . . . . . . . : Passed

IP loopback ping test. . . . . . . : Passed

Default gateway test . . . . . . . : Passed

NetBT name test. . . . . . . . . . : Passed

Winsock test . . . . . . . . . . . : Passed

DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.0.1' and other DCs also have some of the names registered.
PASS - All the DNS entries for DC are registered on DNS server '192.168.0.2' and other DCs also have some of the names registered.

Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{01234567-8901-2345-6789-012345678901}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{01234567-8901-2345-6789-012345678901}
The browser is bound to 1 NetBt transport.

DC discovery test. . . . . . . . . : Passed

DC list test . . . . . . . . . . . : Passed

Trust relationship test. . . . . . : Passed
Secure channel for domain 'NEKOPRINT' is to '\\dc1.nekoprint.mobi'.

Kerberos test. . . . . . . . . . . : Passed

LDAP test. . . . . . . . . . . . . : Passed

Bindings test. . . . . . . . . . . : Passed

WAN configuration test . . . . . . : Skipped
No active remote access connections.

Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information

The command completed successfully

・エラーがあれば何かしらコメントが表示される。
　もし、エラーがあれば　netdiag コマンドの詳細オプション　/v　をつけて再実行する。
　エラーがなければ（なくなれば）次へ。
　
　
　
★対策方法　手順２ -ドメインコントローラの状態解析～RPCエラー
・コマンドプロンプトを起動
・以下を入力。（詳細が知りたい場合には、/v オプションをつける）サーバー名:dc1としています。
　dcdiag

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\DC1
Starting test: Connectivity
......................... DC1 passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\DC1
Starting test: Replications
......................... DC1 passed test Replications
Starting test: NCSecDesc
......................... DC1 passed test NCSecDesc
Starting test: NetLogons
......................... DC1 passed test NetLogons
Starting test: Advertising
......................... DC1 passed test Advertising
Starting test: KnowsOfRoleHolders
......................... DC1 passed test KnowsOfRoleHolders
Starting test: RidManager
......................... DC1 passed test RidManager
Starting test: MachineAccount
......................... DC1 passed test MachineAccount
Starting test: Services
......................... DC1 passed test Services
Starting test: ObjectsReplicated
......................... DC1 passed test ObjectsReplicated
Starting test: frssysvol
......................... DC1 passed test frssysvol
Starting test: frsevent
......................... DC1 passed test frsevent
Starting test: kccevent
......................... DC1 passed test kccevent
Starting test: systemlog
......................... DC1 passed test systemlog
Starting test: VerifyReferences
......................... DC1 passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : nekoprint
Starting test: CrossRefValidation
......................... nekoprint passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... nekoprint passed test CheckSDRefDom

Running enterprise tests on : nekoprint.mobi
Starting test: Intersite
......................... nekoprint.mobi passed test Intersite
Starting test: FsmoCheck
......................... nekoprint.mobi passed test FsmoCheck

・エラーがあれば何かしらコメントが表示される。
　もし、エラーがあれば　netdiag コマンドの詳細オプション　/v　をつけて再実行する。
　エラーがなければ（なくなれば）次へ。
　
　
※エラーがあれば下のような表示がされる。
　
DsBindWithSpnEx() failed with error 1722,
エンドポイント マッパーから使用できるエンドポイントはこれ以上ありません。
　

エンドポイント マッパーっていうエラーはようするに、レプリケーションできていないということ。
SYSVOL共有または、NETLOGON共有があるかをコマンドプロンプトで　net share　と入力・実行し確認する。　
　
　
★対策方法　手順３ -サービスの確認
　・稼動中のサーバーで確認すること。
　　[コントロールパネル]-[管理ツール]-[サービス]
　
　[2003ドメインコントローラ/メンバサーバ]
　　・Remote Procedure Call (RPC)　　　　　開始/自動
　　・Remote Procedure Call (RPC) Locator　停止/手動
　
　[2000ドメインコントローラ]
　　・Remote Procedure Call (RPC)　　　　　開始/自動
　　・Remote Procedure Call (RPC) Locator　開始/自動
　　
　[2000メンバサーバ]
　　・Remote Procedure Call (RPC)　　　　　開始/自動
　　・Remote Procedure Call (RPC) Locator　開始/手動
　
　
　
★対策方法　手順４ -レジストリの確認
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\ClientProtocolsへ移動する。
　以下のキーがあるか確認する。なければ手動で追加する。
(クライアント・サーバーとも)
　・種類 文字列値 [REG_SZ]
　・値のデータ [rpcrt4.dll]

　　"ncacn_http"
　　"ncacn_ip_tcp"
　　"ncacn_nb_tcp"
　　"ncacn_np"
　　"ncacn_ip_udp"
　
　
　
★対策方法　手順５ -DNSの確認
　以下を実行して名前解決されているか確認する。
　・[スタート]-[ファイル名を指定して実行]-"cmd"と入力しenterキーを押す。
　以下を入力し、enterキーを押す。
　　ping -a エラーのあるサーバーIPアドレス

　　例: ping -a 192.168.0.1
　
　
　
★対策方法　手順６ -135ポートの開放の確認
　・[スタート]-[ファイル名を指定して実行]-"cmd"と入力しenterキーを押す。
　以下を入力し、enterキーを押す。
　
　　portqry -n エラーのあるサーバーIPアドレス -e 135
　
　　例: portqry -n 192.168.0.1 -e 135
　
　※開いていない場合、以下の表示が出る。
　　TCP port 135 (epmap service): NOT LISTENING
　
　・LISTENING されている場合は別の問題かもしれないので以下を実行してみる。
　
　　portqry -n エラーのあるサーバーIPアドレス -o 1025,1029,1094,6004
　
　　例: portqry -n 192.168.0.1 -o 1025,1029,1094,6004

　　"FILTERED","LISTENING"なら問題はない。
　　"NOT LISTENING"はポートブロックされているので開放する。
　
　
★対策方法　手順７
ここまでで出来ないならやはり、KDC証明書を削除するしかないのかな。
というわけで、以下のコマンドを使い、削除をしてからサーバーを再起動する。
※ テキストで確認できるように、ログを取ったほうがいい。
　　
certutil -dcinfo deletebad > C:\Certutil.log
　

　
　
　
この下のリンクからportqryツールをダウンロードできる。
http://www.microsoft.com/downloads/details.aspx?familyid=89811747-C74B-4638-A2D5-AC828BDC6983&displaylang=en