O firewall do Windows bloqueia quase todo o tráfego após a reinicialização?

4

Às vezes, quando os sistemas são inicializados, eles não aceitam nenhum tráfego de entrada e minhas regras IPSec não funcionam. Parece que o servidor está preso em algum tipo de configuração inicial de pós-inicialização. Isto é principalmente para 2008 r2 e Windows 7.

Eu estava lendo há algum tempo que há algum tipo de configuração padrão no firewall avançado do Windows que bloqueia todo o tráfego de entrada e permite tráfego de saída específico - para os controladores de domínio, DNS, DHCP, se a memória servir - mas bloqueia todos outro acesso até que as regras 'reais' sejam carregadas e aplicadas. Parece que este é o estado em que meus sistemas estão ficando presos na reinicialização.

Qual é o nome desse estado e como posso diagnosticar meu problema? Eu perdi a noção desses detalhes há muito tempo e estou tendo um longo tempo para encontrá-los novamente.

EDITAR:

Eu finalmente encontrei o nome adequado para esse comportamento, o filtro de tempo de inicialização do firewall do Windows

EDITAR:

Isso só ficou mais estranho. Parece que agora posso fazer conexões de entrada a partir de sistemas não IPSEC habilitados, mas que quaisquer solicitações IPSEC estão falhando. Eu habilitei alguns logging auditpol e estou recebendo o seguinte.

Additional Information:
Keying Module Name: IKEv1
Authentication Method:  Unknown authentication
Role:           Responder
Impersonation State:    Not enabled
Main Mode Filter ID:    0

Failure Information:
Failure Point:      Local computer
Failure Reason:     No policy configured <<< Looks wrong. 

State:          No state
Initiator Cookie:   cec5de8d625d2196
Responder Cookie:   0d40a3b58c477709

Consegui resolver essa questão temporariamente, definindo uma política IPSEC local - até mesmo o trabalho de regra de firewall -, mas não sei por que isso acontece ou o que posso fazer para consertá-la a longo prazo.

    
por Tim Brigham 21.10.2013 / 19:05

1 resposta

0

As mudanças no registro descritas abaixo permitiram que a meia dúzia de servidores que foram aplicados até agora inicializassem sem problemas. Embora eu ainda não tenha 100% de certeza de que esta é uma solução - era de cerca de 50/50 se um servidor aparecesse de forma clara - parece ter ajudado tremendamente. Meia dúzia de servidores com 3 ou mais reinicializações estão agindo normalmente.

Name: ChainUrlRetrievalTimeoutMilliseconds
Location: HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
Type: REG_DWORD
Decreasing the amount of time to allow CRL retrieval can significantly improve performance when internet access is poor or non-existent. Setting the value to 200 (milliseconds) may be a reasonable timeout.


Name: ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds
Location: HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
Type: REG_DWORD
Decreasing the amount of time to allow all CRL retrievals can significantly improve performance when internet access is poor or non-existent. Setting the value to 500 (milliseconds) may be a reasonable timeout.

Background, por que acho que isso é uma correção

Vários servidores em nosso ambiente exibiam problemas ao reinicializar o surgimento de serviços. Esses serviços eram principalmente relacionados ao .NET de uma forma ou de outra. Todos eles vieram com 7009 eventos. Alguns dos serviços em nossos servidores de firewall problemáticos também mostram esse id de evento. Embora um 7009 nunca tenha surgido para o serviço de firewall ou de filtragem de base, um tempo limite durante o processo de carregamento - especialmente porque às vezes é carregado de forma limpa - parecia um provável culpado.

Essas configurações de registro vieram de um blog de technet, Configurando servidores do Exchange sem acesso à Internet .

    
por 07.11.2013 / 19:29