Драйвер IPsec перешел в режим блокировки windows 2003
Обновлено: 21.11.2024
Чтобы понять, как работают политики, важно понимать, что драйвер IPSec работает в трех режимах: запуск компьютера, рабочий и диагностический. Режим запуска компьютера используется при запуске компьютера. Рабочий режим используется, когда компьютер запущен и работает в обычном рабочем режиме. Режим диагностики используется для устранения неполадок.
Режим запуска компьютера
Драйвер IPSec загружается при запуске вместе с другими системными службами и драйверами. Режим запуска компьютера используется до тех пор, пока агент политики IPSec не переведет драйвер в рабочий режим. При запуске драйвер IPSec может выполнять одно из следующих действий:
Совет по дню тестирования
■ Разрешение В режиме разрешения никакие IP-пакеты не фильтруются (разрешены все) и безопасность IPSec не используется. Режим разрешения — это состояние драйвера IPSec по умолчанию, если к компьютеру не применялась политика IPSec.
■ С отслеживанием состояния В режиме с отслеживанием состояния разрешен весь исходящий трафик, и фильтры входящего трафика создаются на основе исходящего трафика. Входящие одноадресные, широковещательные и многоадресные пакеты отбрасываются. Режим с отслеживанием состояния — это режим по умолчанию для драйвера IPSec, если для компьютера назначена политика IPSec.
■ Блокировать В блочном режиме отбрасываются все пакеты, кроме тех, которые соответствуют определенным фильтрам, настроенным для использования в блочном режиме. Весь входящий и исходящий трафик DHCP разрешен по умолчанию, чтобы компьютер мог получить IP-адрес.
Состояние драйвера по умолчанию можно изменить с помощью утилиты командной строки netsh.exe. Чтобы изменить состояние, используйте команду netsh ipsec static set config bootmode.
В зависимости от типа запуска службы IPSec драйвер IPSec запустится в одном из трех режимов: выключен, вручную или автоматически. В отключенном режиме драйвер IPSec загружается в разрешенном режиме, безопасность IPSec не применяется, и драйвер IPSec не фильтрует пакеты. В ручном режиме драйвер IPSec также запускается в режиме разрешения, и фильтрация безопасности пакетов не выполняется. В автоматическом режиме драйвер IPSec запускается в режиме запуска, заданном агентом политики IPSec. Если политика IPSec не применяется, драйвер IPSec запустится в режиме разрешения. Если применяется политика IPSec, драйвер IPSec будет загружаться в режиме с отслеживанием состояния.
После запуска службы IPSec применяется постоянная политика (если есть), а для драйвера IPSec устанавливается безопасный режим, который является конфигурацией по умолчанию.
Рабочий режим
После запуска службы IPSec на компьютере агент политики IPSec устанавливает для драйвера IPSec один из трех режимов работы: безопасный, разрешающий или блокирующий.
■ Безопасность В безопасном режиме фильтры политик IPSec применяются для стандартных операций IPSec. Агент политики IPSec переводит драйвер в безопасный режим после применения любых существующих постоянных политик (постоянные политики обсуждаются в следующем разделе) и перед применением политик Active Directory или локальных политик. Если постоянные политики не определены, безопасность IPSec не начинается до тех пор, пока не будет применена политика Active Directory или локальная политика. Если политика IPSec не назначена, защита IPSec в этом режиме не предоставляется.
■ Разрешить Если драйвер IPSec настроен на разрешение в рабочем режиме, он не фильтрует IP-пакеты, и безопасность IPSec не применяется. Если служба IPSec вручную остановлена на компьютере, рабочий режим будет разрешен.
■ Блокировать В блочном режиме любые исключения, которые могут применяться при запуске, не применяются, и блокируется весь входящий и исходящий трафик. Этот режим используется для повышения безопасности в случае, если агенту политики IPSec не удается применить постоянную политику. Постоянная политика, как следует из названия, остается на компьютере. Он применяется с помощью команд netsh.exe. Через минуту мы рассмотрим постоянные политики.
Важно отметить, что вы не можете установить эти режимы с помощью команды netsh. Рабочий режим может быть настроен только агентом политики IPSec.
Режим диагностики
Вы можете использовать режим диагностики для устранения неполадок, чтобы записывать события и ошибки. Журналы драйвера IPSec могут записывать входящие и исходящие события отбрасывания для каждого пакета как в режиме запуска, так и в рабочем режиме. Ведение журнала отключено по умолчанию, поэтому при включении ведения журнала следует соблюдать осторожность. Его не следует использовать в течение длительного периода времени. В зависимости от настроенного вами уровня ведения журнала файл системного журнала может заполняться очень быстро.
Совет по дню тестирования
За несколько дней до теста просмотрите общий процесс взаимодействия всех компонентов IPSec и обратите особое внимание на запуск и режимы работы драйвера IPSec. Также помните, что команды netsh для IPSec можно использовать только для настройки политик IPSec для компьютеров под управлением Windows Server 2003.
Что нового в IP-безопасности в Windows Server 2003
В реализации IP-безопасности в Windows Server 2003 произошли изменения, которые могут повлиять на работу IPSec на компьютерах с более ранними версиями Windows, включая Windows 2000 и Windows XP. Поскольку вы, вероятно, увидите такую информацию, включенную в вопросы на экзамене, и столкнетесь с этими проблемами на работе, важно ознакомиться с изменениями, связанными с развертыванием IPSec в Windows Server 2003. Они сведены в Табл. 5.11. р>
Таблица B.11 Новые функции IPSec в Windows Server 2GG3
Новая функция IPSec
Описание и рекомендации по использованию
Исключения по умолчанию удалены.
netsh включает поддержку IPSec из командной строки.
Фильтры IPSec обновляют IP-конфигурации партнеров.
Добавлена поддержка обхода преобразования сетевых адресов (NAT-T).
Результирующий набор политик (RSoP) теперь поддерживается для IPSec.
Поддержка группы Диффи-Хеллмана 2048.
Windows 2000 и Windows XP содержали исключения по умолчанию для фильтрации IPSec. В частности, эти операционные системы исключали широковещательный, многоадресный трафик ISAKMP, Kerberos и протокол резервирования ресурсов (RSVP). В Windows Server 2003 по умолчанию исключается только трафик ISAKMP.
Утилита командной строки netsh.exe теперь имеет контекст IPSec, что позволяет запускать команды, связанные с IPSec, из этой утилиты. В предыдущих версиях Windows использовались другие команды: Ipsecpol.exe и Ipseccmd.exe.
Поля адреса источника или получателя, которые компьютер интерпретирует как DHCP-сервер, DNS-сервер, WINS-сервер или шлюз по умолчанию, можно настроить с помощью оснастки «Управление политикой IP-безопасности» или команды netsh.exe. Политики IPSec теперь могут автоматически управлять изменениями в IP-конфигурации источника или назначения с помощью DHCP или статических IP-конфигураций.
IPSec в Windows Server 2003 теперь поддерживает защищенный ESP трафик IPSec, проходящий через NAT. Некоторые приложения могут не работать, если их трафик защищен с помощью IPSec ESP и проходит через NAT. IKE обнаруживает NAT и использует инкапсуляцию EDP ESP для отправки всех пользовательских данных через UDP-порт 4500. Использование протокола AH через NAT не поддерживается.
Оснастка RSoP используется для просмотра результатов применения различных политик к компьютеру для устранения непредвиденных результатов. В Windows Server 2003 добавлена поддержка политик IPSec.
Таблица 5.11. Новые функции IPSec в Windows Server 2GG3
Новая функция IPSec
Описание и рекомендации по использованию
Постоянная политика IPSec поддерживается.
Постоянная политика IPSec — это политика, которая присутствует во время запуска компьютера до применения других политик. Постоянную политику IPSec можно использовать для защиты компьютера во время запуска. Администраторы также могут принудительно применять локальную политику IPSec при применении политики Active Directory. Как правило, политика Active Directory переопределяет любую локальную политику.
IPSec в Windows Server 2003 теперь поддерживает фильтрацию с отслеживанием состояния во время запуска. Он разрешает только исходящий трафик, который компьютер инициирует во время запуска, и входящий трафик, отправляемый в качестве ответа.
Спасибо за публикацию здесь.
Можете ли вы проверить количество этих исправлений, которые вы только что исправили для серверов с момента возникновения этой проблемы?
Вы можете попробовать обходной путь, который обсуждается в блоге ниже, чтобы изменить раздел реестра и посмотреть, как идут дела:
Не забудьте нажать «Пометить как ответ» на сообщении, которое вам поможет, и нажать «Снять пометку как ответ», если помеченное сообщение на самом деле не отвечает на ваш вопрос. Это может быть полезно другим участникам сообщества, читающим ветку.
Мы также сталкиваемся с этой проблемой на нескольких серверах в разных сайтах. Я полагаю, что это характерно для 2003 года. Это не проблема с портами DNS с 2008 года. Это связано с исправлениями, выпущенными в июне/2011 году. До сих пор нам удавалось обойти это только путем отключения IPSec и перезагрузки, но мы будем пробовать решение, упомянутое Войцехом, когда это возможно. Я все еще пытаюсь определить, какие исправления были применены ко всем затронутым серверам. У меня есть открытый билет для этого с PSS, и я отправлю сообщение, если найду больше информации. В основном я был рад видеть, что мы не единственные, кто видит это, и хотел помочь распространить информацию и обострить эту проблему.
Привет, ребята, и спасибо за ответ.
Я постараюсь проверить это завтра и сообщу вам, какие патчи были развернуты, когда сервер перешел в режим блокировки ipsec.
Как писал Джоэл, в 2008 году не было режима блокировки, и решение этой проблемы довольно просто реализовать в небольших средах. В более крупных это чрезвычайно сложно из-за простоя серверов баз данных и т. д.
Я не могу на 100 % согласиться с Джоэлом, что это вызвано июньскими патчами, потому что я починил несколько серверов в январе и феврале.
Я буду держать вас в курсе моего расследования, а также, если вы что-то найдете, поделитесь, пожалуйста.
Спасибо за обновление.
На самом деле вы можете проверить последнее исправленное исправление, проверив историю обновлений на этом сервере.
Если есть какие-либо обновления по этой проблеме, сообщите нам об этом.
Не забудьте нажать «Пометить как ответ» на сообщении, которое вам поможет, и нажать «Снять пометку как ответ», если помеченное сообщение на самом деле не отвечает на ваш вопрос. Это может быть полезно другим участникам сообщества, читающим ветку.
Сейчас я ожидаю создания учетной записи и отправлю заявку в службу поддержки Microsoft, так как это болезненная проблема.
Я сообщу вам о случае и решении.
Мы все еще отслеживаем эту проблему, и я еще не получил ответа от PSS, но теперь я увидел это на сервере, на котором НЕ установлены июньские исправления. Я начинаю подозревать, что на этих серверах что-то еще. Войцех, не могли бы вы написать мне напрямую по электронной почте, чтобы сравнить, какое программное обеспечение у нас может быть общим на затронутых серверах?
Нет проблем, Джоэл, я сделаю это завтра.
Я добился определенного прогресса в работе с Microsoft PSS и решил поделиться своими наблюдениями. Любопытно, можете ли вы подтвердить, что это относится и к вашим серверам.
Похоже, IPSec был симптомом повреждения Winsock. Мне удалось воссоздать проблему на виртуальной машине с минимальной установкой Windows, исправлений и нашего программного обеспечения для управления. Выполнение «сброса netsh winsock» действительно решает проблему, но, очевидно, цель состоит в том, чтобы определить причину и в конечном итоге предотвратить ее.
Покопавшись самостоятельно, я нашел следующую базу знаний, которая помогла в дальнейшей диагностике проблемы с winsock:
Использование «netsh winsock show catalog» на наших затронутых серверах показало, что отсутствуют следующие компоненты:
- MSAFD Tcpip [TCP/IP]
- MSAFD Tcpip [UDP/IP]
Я надеюсь, что это позволит нам обнаружить проблему до перезагрузки, но я все еще работаю над определением причины.
Важно! В этой статье содержится информация о том, как изменить реестр. Обязательно сделайте резервную копию реестра перед его изменением. Убедитесь, что вы знаете, как восстановить реестр в случае возникновения проблемы. Для получения сведений о резервном копировании, восстановлении и изменении реестра щелкните следующий номер статьи базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
СИМПТОМЫ
При попытке открыть политику безопасности протокола Интернета (IPSec) консоли управления (MMC) на компьютере под управлением Microsoft Windows Server 2003 появляется следующее сообщение об ошибке:
Не удалось открыть контейнер хранилища политик IPSec. Произошла следующая ошибка: Система не может найти указанный файл. (80070002).
При возникновении этой проблемы в журнал могут регистрироваться события, подобные следующим: Тип события: Информация
Источник события: Диспетчер управления службами
Категория события: Нет
Идентификатор события: 7040 < br />Дата: Дата
Время: Время
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: Имя_компьютера
Описание: Тип запуска службы IPSEC Services изменен с отключенного на автоматический начать.
- Служба IPSEC запускается объектом групповой политики. Это было подтверждено отключением службы IPSEC и запуском gpupdate /force.
Тип события: Информация
Источник события: IPSec
Категория события: Нет
Идентификатор события: 4294
Дата: Дата
Время: Время
Пользователь : Н/Д
Компьютер: Имя_компьютера
Описание: Драйвер IPSec перешел в безопасный режим. Политики IPSec, если они были настроены, теперь применяются к этому компьютеру.Данные:
0000: 00 00 00 00 01 00 54 00 . Т.
0008: 00 00 00 00 c6 10 00 40 . @
0010: 01 00 00 00 00 00 00 00 .
0018: 00 00 00 00 00 00 00 00 .
0020: 00 00 00 00 00 00 00 00 .Тип события: Ошибка
Источник события: IPSec
Категория события: Нет
Идентификатор события: 4292
Дата: Дата
Время: Время
Пользователь : Н/Д
Компьютер: Имя_компьютера
Описание: Драйвер IPSec перешел в блочный режим. IPSec будет отбрасывать весь входящий и исходящий сетевой трафик TCP/IP, который не разрешен исключениями политики IPSec во время загрузки. Действия пользователя: Чтобы полностью восстановить незащищенное соединение TCP/IP, отключите службы IPSec и перезагрузите компьютер. Для получения подробной информации об устранении неполадок просмотрите события в журнале событий безопасности.Данные:
0000: 00 00 00 00 01 00 54 00 . Т.
0008: 00 00 00 00 с4 10 00 с0 . ¨¤
0010: 01 00 00 00 00 00 00 00 .
0018: 00 00 00 00 00 00 00 00 .
0020: 00 00 00 00 00 00 00 00 .Тип события: Информация
Источник события: Диспетчер управления службами
Категория события: Нет
Идентификатор события: 7035
Дата: Дата
Время: Время
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: Имя_компьютера
Описание: Службе служб IPSEC успешно отправлено управление запуском.Тип события: Информация
Источник события: Диспетчер управления службами
Категория события: Нет
Идентификатор события: 7036
Дата: Дата
Время: Время
>Пользователь: Н/Д
Компьютер: Имя_компьютера
Описание: Служба служб IPSEC перешла в состояние остановки.Тип события: Ошибка
Источник события: Диспетчер управления службами
Категория события: Нет
Идентификатор события: 7023
Дата: Дата
Время: Время
Пользователь: Н/Д
Компьютер: Имя_компьютера
Описание: Служба служб IPSEC прервана из-за следующей ошибки:
Системе не удается найти указанный файл.ПРИЧИНА
Эта проблема возникает из-за поврежденного файла в хранилище политик. Прерывание, возникающее при записи политики на диск, может привести к повреждению.
РАЗРЕШЕНИЕ
Чтобы решить эту проблему, удалите следующий раздел реестра и перестройте политику:
Для этого выполните следующие действия.
Примечание. Выполняя эти шаги, вы удаляете локальную политику. Вы должны перестроить локальную политику.
Предупреждение. Если вы неправильно измените реестр с помощью редактора реестра или другим способом, могут возникнуть серьезные проблемы. Эти проблемы могут потребовать переустановки операционной системы. Майкрософт не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на свой страх и риск.
- Удалите подраздел реестра локальной политики. Для этого выполните следующие действия:
- Нажмите "Пуск", выберите "Выполнить", введите regedit и нажмите "ОК".
- В редакторе реестра найдите и щелкните следующий подраздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local
- Нажмите "Пуск", выберите "Выполнить", введите regsvr32 polstore.dll и нажмите "ОК".
ССЫЛКИ
Для получения дополнительной информации щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
CallPilot ELAN появляется в начале загрузки, а затем отключается. После этого CallPilot не может пинговать ни входящие, ни исходящие вызовы. CallPilot может пинговать только свой собственный IP-адрес, но больше ничего. Наблюдается следующая ошибка:
25.09.2006 11:10:22 Критическая ошибка NGen 40592 Н/Д Событие ANCCALLPILOT от службы управления сбоями [IPSec] : Событие от , Событие: Описание: Драйвер IPSec перешел в блочный режим. IPSec будет отбрасывать весь входящий и исходящий сетевой трафик TCP/IP, который не разрешен исключениями политики IPSec во время загрузки. Действия пользователя: Чтобы полностью восстановить незащищенное соединение TCP/IP, отключите службы IPSec и перезагрузите компьютер. Для получения подробной информации об устранении неполадок просмотрите события в журнале событий безопасности.
Причина проблемы:
Драйвер IPSec перешел в блочный режим. IPSec отбрасывает весь входящий и исходящий сетевой трафик TCP/IP, который не разрешен исключениями политики IPSec во время загрузки. Поврежденный файл в хранилище политик вызывает эту проблему. Прерывание, возникающее при записи политики на диск, может привести к повреждению.
Решение проблемы:
<р>2. Серьезные проблемы могут возникнуть, если вы неправильно измените реестр с помощью редактора реестра или другим способом. Эти проблемы могут потребовать переустановки операционной системы. Майкрософт не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на свой страх и риск.Чтобы решить эту проблему, удалите следующий раздел реестра и перестройте политику:
Выполните следующие шаги:
<блочная цитата>1. Удалите подраздел реестра локальной политики. Для этого выполните следующие действия:
a. Нажмите «Пуск», выберите «Выполнить», введите regedit и нажмите «ОК».
b. В редакторе реестра найдите и щелкните следующий подраздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Localc. В меню «Правка» нажмите «Удалить».
d. Нажмите Да, чтобы подтвердить удаление подраздела.
e. Закройте редактор реестра.
Это были очень интересные два дня в тестовой лаборатории, которую мы поддерживаем в организации, в которой я работаю. Вчера мне сообщили о проблеме с сервером, который оказался основным (и единственным) DNS/DHCP-сервером, который не взаимодействовал с сетью тестовой лаборатории. Несколько сотрудников уже рассматривали проблему в течение нескольких часов, прежде чем позвонили мне.
Это был сервер Windows 2003 с пакетом обновления 2, работающий на HP DL580. У сервера была связь с Nortel Ethernet Routing Switch 5510, и он правильно автоматически согласовал скорость до 1,0 Гбит/с. На сервере была таблица ARP (arp -a) с многочисленными записями. Однако серверу не удалось связаться или пропинговать что-либо в сети, ни шлюз по умолчанию, ни другие серверы в той же VLAN, ни рабочие столы в той же VLAN.Беглый просмотр системных логов на сервере и коммутаторе ничего интересного не выявил. Я не поверил, что дело в сетевой карте, коммутационном кабеле, порте коммутатора, но мы буквально поменяли все, включая сервер, просто вынув жесткие диски из одной коробки и перекинув их в другую. Один из инженеров даже удалил сетевые карты в диспетчере устройств Windows и переустановил их после перезагрузки. Тем не менее проблема сохранялась. После изучения проблемы в течение почти 60 минут собралась небольшая толпа людей, ожидающих известий о том, когда лаборатория будет доступна, поэтому я решил пойти по пути наименьшего сопротивления и попросил серверную команду переустановить образ сервера, и я перестроит конфигурацию DHCP/DNS, и проблема будет решена.
Пока я не пришел сегодня на работу и мне не сказали о еще одном сервере в тестовой лаборатории, который ведет себя так же, как сервер, образ которого мы пересоздали вчера. У меня сразу же возникли подозрения, был ли какой-то троян в сети тестовой лаборатории, был ли какой-то патч безопасности Microsoft, который вышел из строя, или это было что-то более зловещее, например, McAfee ePolicy Orchestrator (ePO) или Symantec Altiris. Все антивирусные проверки и проверки RootKit дали отрицательный результат, и к настоящему времени у нас был еще один сервер, на котором возникла точно такая же проблема. Это означало, что за 2 дня у нас было до 3 серверов, 1 из которых был восстановлен путем повторного создания образа и перестроения конфигурации приложения. Ближе к вечеру один из наших старших инженеров обратился к базе знаний Microsoft и Google в поисках ответов и, заметив интересное событие в системном журнале,
Описание: Драйвер IPSec перешел в блочный режим. IPSec будет отбрасывать весь входящий и исходящий сетевой трафик TCP/IP, который не разрешен исключениями политики IPSec во время загрузки. Действия пользователя: Чтобы полностью восстановить незащищенное соединение TCP/IP, отключите службы IPSec и перезагрузите компьютер. Для получения подробной информации об устранении неполадок просмотрите события в журнале событий безопасности,
наткнулся на KB870910 на веб-сайте службы поддержки Microsoft. Мы ввели следующую команду;
Нажмите "Пуск", выберите "Выполнить", введите regsvr32 polstore.dll и нажмите "ОК".
После быстрой перезагрузки мы снова заработали. Мы подозреваем, что локальный диск C: на серверах был заполнен, что привело к повреждению хранилища политик, из-за чего служба IPSec перешла в режим «Блокировка».
Читайте также: