Windows防火墙拒绝连接,除非打开日志logging
从Windows Mystery Caves :
尝试访问Windows Server 2008 R2远程桌面会话主机的用户在尝试build立连接时正在获取networking超时。 远程桌面exception已启用并受限制(与其他子网一起)到远程子网192.168.202.0/23 。 用户主机的IP地址是192.168.203.63 。 防火墙日志不包含具有此IP地址的丢弃连接尝试条目。
如果我更改域configuration文件的Windows防火墙日志logging设置并启用这样的成功尝试的日志logging,
- Windows Web服务器login尝试
- Microsoft Exchange 2007和Windows防火墙
- 在具有高级安全性的Windows防火墙中对每个用户应用出站连接规则
- configurationWindows防火墙以阻止除特定通信以外的所有通信
- 如何将子网添加到Windows防火墙“本地子网”?
连接开始成功build立,并在防火墙日志中logging“允许”条目。 禁用成功尝试的logging会再次破坏用户的连接。 主机IP地址为192.168.203.71的另一台用户机器似乎不受影响,即使禁用了日志logging,也可以启动连接。
WTH? 除了实际启用日志function之外,日志logging设置的变化是什么?
尝试降低“ 控制面板 –远程桌面连接”的安全设置– 系统和安全 – (部分系统)允许远程访问。 它会打开远程选项卡上的窗口系统属性 。 窗口的下半部分是组远程桌面 ,您可以在其中设置远程桌面安全级别。 尝试将其从仅允许从运行具有networking级身份validation(更安全)的远程桌面的计算机连接 更改 为 允许从运行任何版本的远程桌面的计算机(安全性较低)
看来这只是一个巧合还是一个副作用。 在从客户端使用networking跟踪分析连接超时之后,很明显,根本原因是客户端的通用协商超时为60秒。 超时时钟似乎等待TLS握手以及x.204握手完成,并且已经过期。
原因是客户端无法获取服务器证书CA的当前证书撤销列表,因为客户端只能通过代理访问Internet。 代理configuration方法的select是给定站点上的PAC ,显然CRL更新方法不支持PAC。 它试图通过WPAD进行直接连接或获取代理信息,而这些信息都拥有自己的超时定时器,并总计超过60秒,从而导致整个远程桌面连接尝试失败。 解决方法是在IE Internet选项中手动configuration代理。
不过,我不知道为什么我与启用/禁用防火墙日志logging连接失败相关。