web-dev-qa-db-ja.com

Windowsファイアウォールは、再起動後にほぼすべてのトラフィックをブロックしますか?

システムが起動すると、インバウンドトラフィックをまったく受け入れず、IPSecルールがアウトバウンドで機能しない場合があります。サーバーが起動後の初期構成でスタックしているように見えます。これは主に2008r2およびWindows7用です。

Windowsの高度なファイアウォールには、すべてのインバウンドトラフィックをブロックし、特定のアウトバウンドトラフィック(メモリが機能する場合はドメインコントローラー、DNS、DHCP)のみを許可するが、他のすべてのアクセスは「実際の」ルールがロードされ、適用されます。これは、システムが再起動後にスタックしている状態のようです。

この状態の名前は何ですか?問題を診断するにはどうすればよいですか?私はそれ以来ずっとそれらの詳細を見失いました、そして私はそれらを再び見つけるのにかなりの時間を費やしています。

編集:

私はついにこの振る舞いの適切な名前、 Windowsファイアウォールブートタイムフィルター を見つけました

編集:

これは見知らぬ人になりました。 IPSECに対応していないシステムからインバウンド接続を確立できるようになりましたが、IPSEC要求はすべて失敗しているようです。いくつかのauditpolロギングを有効にしたところ、次のようになりました。

Additional Information:
Keying Module Name: IKEv1
Authentication Method:  Unknown authentication
Role:           Responder
Impersonation State:    Not enabled
Main Mode Filter ID:    0

Failure Information:
Failure Point:      Local computer
Failure Reason:     No policy configured <<< Looks wrong. 

State:          No state
Initiator Cookie:   cec5de8d625d2196
Responder Cookie:   0d40a3b58c477709

ローカルIPSECポリシーを定義することで、この問題を一時的に回避することができました。ファイアウォールルールは機能しますが、なぜそうなるのか、または長期的に修正するために何ができるのかわかりません。

4
Tim Brigham

以下に概説するレジストリの変更により、これまでに適用されたサーバーの半ダースほどが問題なく起動できるようになりました。これが解決策であるかどうかはまだ100%確信していませんが、サーバーが正常に起動した場合は約50/50でしたが、非常に役立ったようです。それぞれ3回以上再起動する半ダースのサーバーが正常に動作しています。

Name: ChainUrlRetrievalTimeoutMilliseconds
Location: HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
Type: REG_DWORD
Decreasing the amount of time to allow CRL retrieval can significantly improve performance when internet access is poor or non-existent. Setting the value to 200 (milliseconds) may be a reasonable timeout.


Name: ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds
Location: HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
Type: REG_DWORD
Decreasing the amount of time to allow all CRL retrievals can significantly improve performance when internet access is poor or non-existent. Setting the value to 500 (milliseconds) may be a reasonable timeout.

背景、これが修正だと思う理由

私たちの環境のいくつかのサーバーは、再起動時にサービスが起動するときに問題を示していました。これらのサービスは、主に何らかの形で.NETに関連していました。彼らは皆7009のイベントを思いついた。問題のあるファイアウォールサーバー上の一部のサービスでも、このイベントIDが表示されます。 7009がファイアウォールまたはベースフィルタリングサービスに登場することはありませんでしたが、ロードプロセス中のタイムアウトは、特にクリーンにロードされることがあるため、原因のように思われました。

これらのレジストリ設定は、technetブログ インターネットアクセスなしのExchangeサーバーの構成 から取得されました。

0
Tim Brigham