有时,当系统启动时,它们根本不接受任何入站流量,并且我的IPSec规则不会出站 – 看起来服务器卡在某种初始启动后配置中.这主要适用于2008 r2和
Windows 7.
我前段时间读过,Windows高级防火墙中有某种默认配置阻止所有入站流量,只允许特定的出站流量 – 如果我的内存服务,则允许域控制器,DNS,DHCP – 但阻止所有其他访问,直到加载并应用“真实”规则.听起来这是我的系统在重启后陷入困境的状态.
这个州的名称是什么,我该如何诊断我的问题?我很久以前就忘记了那些细节,而且我很快就找到了它们.
编辑:
我终于找到了这个行为的正确名称,windows firewall boot time filter
编辑:
这只是陌生人.看起来我现在可以从非IPSEC启用的系统进行入站连接,但是任何IPSEC请求都失败了.我启用了一些auditpol日志记录,我得到以下内容.
Additional Information: Keying Module Name: IKEv1 Authentication Method: Unknown authentication Role: Responder Impersonation State: Not enabled Main Mode Filter ID: 0 Failure Information: Failure Point: Local computer Failure Reason: No policy configured <<< Looks wrong. State: No state Initiator Cookie: cec5de8d625d2196 Responder Cookie: 0d40a3b58c477709
通过定义本地IPSEC策略 – 甚至防火墙规则工作 – 我能够暂时解决这个问题,但我不确定为什么会出现这种情况或者我可以做些什么来长期修复它.
下面列出的注册表更改允许我的服务器的六个左右,它已应用到目前为止启动没有问题.虽然我还不能100%确定这是一个解决方案 – 如果一台服务器干净利落,那它大约是50/50,但它看起来确实有很大的帮助.每次重启3次的服务器正常运行.
Name: ChainUrlRetrievalTimeoutMilliseconds Location: HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config Type: REG_DWORD Decreasing the amount of time to allow CRL retrieval can significantly improve performance when internet access is poor or non-existent. Setting the value to 200 (milliseconds) may be a reasonable timeout. Name: ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds Location: HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config Type: REG_DWORD Decreasing the amount of time to allow all CRL retrievals can significantly improve performance when internet access is poor or non-existent. Setting the value to 500 (milliseconds) may be a reasonable timeout.
背景,为什么我认为这是一个修复
我们环境中的几台服务器在重新启动服务时出现问题.这些服务主要以某种方式与.NET相关.他们都提出了7009个事件.我们有问题的防火墙服务器上的某些服务也会显示此事件ID.虽然防火墙或基本过滤服务的7009从来没有出现过加载过程中的超时 – 特别是因为它有时会干净地加载 – 似乎可能是罪魁祸首.
这些注册表设置来自technet博客,Configuring Exchange Servers Without Internet Access.