有时当系统启动时,他们根本不接受任何入站stream量,而且我的IPSec规则不能工作出站 – 看起来服务器停留在某种初始启动后configuration。 这主要是针对2008 R2和Windows 7。
我在前段时间看到,Windows高级防火墙中有一些默认configuration可以阻止所有入站stream量,只允许特定的出站stream量 – 如果我的内存用于域控制器,DNS,DHCP,但会阻止所有其他访问“真实”的规则被加载和应用。 这听起来像这是我的系统在重新启动后卡住的状态。
这个州的名字是什么,我怎么去诊断我的问题呢? 我很久以前就忘记了这些细节,我又花了一些时间find它们。
编辑:
我终于find了这个行为的适当名称, Windows防火墙启动时间filter
编辑:
这只是陌生人。 看起来我现在可以从非IPSEC启用的系统build立入站连接,但任何IPSEC请求都失败。 我启用了一些auditpol日志logging,我得到以下。
Additional Information: Keying Module Name: IKEv1 Authentication Method: Unknown authentication Role: Responder Impersonation State: Not enabled Main Mode Filter ID: 0 Failure Information: Failure Point: Local computer Failure Reason: No policy configured <<< Looks wrong. State: No state Initiator Cookie: cec5de8d625d2196 Responder Cookie: 0d40a3b58c477709 我能够通过定义本地IPSEC策略(即使是防火墙规则)来临时解决此问题,但我不确定为什么会出现这种情况,或者我可以如何解决这个问题。
下面列出的registry更改允许我的服务器的六打左右,到目前为止,它已经被应用到启动没有问题。 虽然我还没有100%确定这是一个解决scheme – 如果一台服务器干净地出现,它大约是50/50,看起来似乎有很大的帮助。 每台服务器重启3次以上的服务器数量正常。
Name: ChainUrlRetrievalTimeoutMilliseconds Location: HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config Type: REG_DWORD Decreasing the amount of time to allow CRL retrieval can significantly improve performance when internet access is poor or non-existent. Setting the value to 200 (milliseconds) may be a reasonable timeout. Name: ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds Location: HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config Type: REG_DWORD Decreasing the amount of time to allow all CRL retrievals can significantly improve performance when internet access is poor or non-existent. Setting the value to 500 (milliseconds) may be a reasonable timeout.
背景,为什么我认为这是一个修复
在我们的环境中,有几台服务器在重新启动服务时出现问题。 这些服务主要是以某种方式与.NET相关的。 他们都拿出了7009个活动。 有问题的防火墙服务器上的一些服务也显示此事件ID。 尽pipe7009从来没有出现在防火墙或基本过滤服务上,但是在加载过程中(特别是因为它有时会加载干净)似乎是一个可能的罪魁祸首。
这些registry设置来自technet博客, configuration没有Internet访问的Exchange服务器 。