none
FWX_E_TCP_NOT_SYN_PACKET_DROPPED RRS feed

  • Pregunta

  • Hola,

    Dispongo de un servidor ISA 2004 std SP2 con todos los updates al dia. El equipo tiene 4 interfaces

    1 - Usuarios

    2 - Internal (192.168.17.x/24, 192.168.19.x/24)

    3 - DMZ

    4 - External

    Dispongo de una regla para que cualquir usuario usuando MS CIFS TCP y UDP puede acceder al File Server (192.168.187.x) y veo conexiones Inicializadas y Finalizadas en el logging del ISA.

    Pero cuando desde un aplicativo quiro guardar un documento en la red, en el logging aparecen los paquetes de MS CIFS denegados, y después de 20/40 seg. aprox inicializa la conexion y puedo aceder a las carpetas.

    Al parecer ISA bloquea las conexiones TCP que ya han sido cerradas pero el equipo cliente usa el mismo soquet para conectar el MSCIFS que la anterior conexión. Po ello parece ser que ISA los deniega.

    Alguno tiene una idea de como puedo solucionar este problema? Ralentiza muchisimo el acceso a las unidades de red y repercute en el feedback de los usuarios hacia el Dept de Sistemas... Os adjunto la respuesta de Microsoft, que unque paree que tiene detectado el origen no me dan la solucion....

    Un saludo y gracias por adelantado.

    First of all thanks for sending the data. I have looked into it and can see that when the ISA Server denies a packet it is because the packet is sent on a TCP connection that has already been closed by ISA. I can see that the TCP connection has most likely already been closed from the following in the ISA log: FWX_E_TCP_NOT_SYN_PACKET_DROPPED. ISA logs these entries when it receives data on a TCP connection that it has already closed. If you look at the ISA log file, you can see that all denied requests are coming from the same TCP connection (TCP source port 1838). Hence the CIFS client is trying to resend data since it does not receive a response from the File Server (I can see from the TCP sequence numbers the client sends that it is a TCP resend. These resends takes up to 20 seconds depending on the TcpMaxDataRetransmissions setting in Windows). The reason the client does not receive any response is of course because ISA is dropping this traffic with FWX_E_TCP_NOT_SYN_PACKET_DROPPED since it has already closed the TCP connection with source port 1838. Why this TCP connection has been closed I cannot say at this moment. ISA may have closed it for some particular reason or the file server may also have instructed that the connection should be closed.

     

    192.168.19.250                                                  -                              -              -              -                              Internal                Internal                                                                                                0              0              0              0xc0040017 FWX_E_TCP_NOT_SYN_PACKET_DROPPED                                0x0         Firewall               15/01/2007 10:55:12        445         192.168.17.3       1838       192.168.19.250  Denied Connection        Microsoft CIFS (TCP)                                      PEDRAFORCA    TCP                        -                              0x0

     

    Based on the above from the ISA log, I then looked at the Network Monitor traces you sent (they are part of the ISABPA output), but unfortunately it does not show when TCP connection with source port 1838 was opened or closed. So the connection was likely opened and closed before you reproduced the problem. Because of this it is very difficult to say what happened as I don´t know why and when ISA closed the connection.

    martes, 16 de enero de 2007 10:13

Respuestas

  • Tio, tio. Es para cortarte los .... ejem

    Pues el problema esta claro, no es el file server ni el isa los que estan reteniendo el socket es el sevidor vmware el que deja la sesion abierta y no la cierra. Creo recordar que en la pagina de soporte de vmware hay un par de articulos al respecto y aparecen sus soluciones.

    Salu2:)

    • Marcado como respuesta Ismael Borche lunes, 4 de abril de 2011 20:34
    martes, 23 de enero de 2007 9:45

Todas las respuestas

  • Buenas Aclaudon:

    ¿has probado ha crearte una regla que te permita el trafico por lo puertos mencionados en tu mensaje desde las maquinas de tu red hacia el File Server?

     

    Salu2:)

    martes, 16 de enero de 2007 12:05
  • Hola,

    tengo una regla creada que permite el trafico de MSCIFS desde Internal. DMZ y OLD hacia el File Server permitido. Y se puede acceder... las unidades del login script se conectan correctamente y se pueden acceder a las unidades... Pero si en algún momento durante el dia accedes a Mi Pc, este se queda colgado... y monitorizando el tráfico veo las conexiones como Denied... hasta que pasado unos 20/40 segundos aparece un paquete como initiated y la conexión se establece.

    Según Microsoft el problema es que el File Server finaliza la conexión inicial por el primer socket que utiliza al conectarse y ese Closed el ISA lo recuerda, de manera que al acceder un cliente por ese mismo socket el ISA lo deniega, hsata que el cliente utiliza otro socket diferente, que entonces inicializa....

    Gracias de antemano y un saludo.

     

    miércoles, 17 de enero de 2007 9:19
  • ¿en los clientes tienes instalado Client Firewall de Microsoft que viene con el ISA?

    Salu2:)

    miércoles, 17 de enero de 2007 12:25
  • No, nadie tiene instalado el cliente de firewall de ISA....

     

    :(

     

    PD: Microsoft lleva con esta incidencia de nivel B una semana, les he mandado los logs del isabpapack, las capturas del monitor de red tanto del cliente como del servidor pero aún no me han dado respuesta... Me empieza a preocupar... No creo que la topología de red que he montado sea tan compleja como para que nadie antes se haya encontrado con este problema... Aunque instalaré el cliente del Firewall a ver que pasa...

    viernes, 19 de enero de 2007 15:49
  • Pues no.... con el cliente de Firewall instalado también se reproduce el error...

    O bien el ISA o bien el servidor hacen un closed de la conexión MSCIFS... alguien sabe como puedo evitar esto?

    Saludos.

    viernes, 19 de enero de 2007 15:55
  • A nadie se le ocurre una possible solución?

     

    Venga... echarme una mano porfa....

    lunes, 22 de enero de 2007 9:56
  • ¿No puedes sacar a ese servidor y ponerlo en la misma lan que a los usuario?

    Aunque tambien se me ocurre que monitorices el servidor y un cliente de prueba de manera que veas los puertos a traves de los cuales estan estableciendo la comunicación. Todo pinta a que en un moneto dado esos puertos se quedan abiertos en el servidor ISA y creo que existe la posibilidad de solicitar que si no hay comunicación se cierren.

    Salu2:)

    lunes, 22 de enero de 2007 21:06
  • La verdad es que la red .17 está destinada a servidores y la .19 sería la de usuarios. No me gustaría a las primeras de cambio modificar el plan IP que se ha diseñado...

    Los puertos que se abren y cierran en el cliente son siempre HiPorts que apuntan al 445 en el File Server

    Pero he averiguado algo y esto me preocupa aún mas...

    La plataforma de servidores está virtualizada con un cluster de VMWare atancando por fibra a una SAN de discos CLARION. Se han virtualizado los servidores y tengo 4 nodos en cluster funcionando en HA para mover servidores de nodo sin que afecte a los usuarios. El File Server está también virtualizado y corre sobre unos equipos Fujitsu RX300 con un Linux como SO de gestión y sobre el cual corre la plataforma de VMWare.

    Esta mañana me ha dado por hacer la prueba con un equipo físico y SORPRESA... NO SUCEDE!!! Así que por descarte parece que el problema está en los Servidores Virtuales hacia los que conecto las unidades mapeadas....  Tal vez el Linux que los gestiona....

    Hay que joderse... ahora si que tengo un marrón...

     

    martes, 23 de enero de 2007 9:31
  • Tio, tio. Es para cortarte los .... ejem

    Pues el problema esta claro, no es el file server ni el isa los que estan reteniendo el socket es el sevidor vmware el que deja la sesion abierta y no la cierra. Creo recordar que en la pagina de soporte de vmware hay un par de articulos al respecto y aparecen sus soluciones.

    Salu2:)

    • Marcado como respuesta Ismael Borche lunes, 4 de abril de 2011 20:34
    martes, 23 de enero de 2007 9:45
  • Gracias tio, le estoy dando un vistazo a la documentación.

    Otra cosa... he metido el equipo en la red de servidores sin pasar por el ISA y no se quedan colgadas las unidades... me funciona perfectamente.... Pero si hago pasar el tráfico por el ISA las conexiones se cierran y hasta que el cliente no cambia de puerto no se vuelven a establecer.... no se que pensar ya... ( no ver el smiley que está llorando...   )  ¿Incompatibilidad de ISA Server 2004 con ESX 3.0 Server?

    martes, 23 de enero de 2007 10:08
  • ESX 3.0 contra Windows XP SP2 a través de ISA 2000 funciona perfectamente.... La tabla sería la siguiente...

     

    IP Client            IP Server        Virtual?    Thorgut ISA 2004    Thorugt ISA 2000   State
    19.0                    17.0                Yes        Yes                       No                        No OK
    19.0                    17.0                No          Yes                       No                        Ok
    17.0                    17.0                Yes        No                         No                        Ok
    17.0                    17.0                No          No                         No                        Ok
    19.0                    17.0                Yes        No                         Yes                       Ok
    martes, 23 de enero de 2007 11:12
  • Puede ser, que sea tema de incompatibilidad, aunque creo que el error viene mas bien por parte del ESX. Pero, ¿podrías probar con ISA SERVER 2006?

     

    Saludos.

    martes, 23 de enero de 2007 11:21
  • Su lógica tiene porque el ESX tiene corriendo por encima 5 servidores Windwos 2003 y debe repartirse los puertos de la tarjeta de red entre todos estos hosts y para no quedarse sin vaya cerrando puertos en funcion de la actividad que se generen por ellos....

    Hay alguna forma de hacer que el cliente se entere cuando un host le cierra un puerto al ISA (closed)? En caso de poder notificar al cliente que ese puerto está cerrado intentará establecer la comunicación por otro....

     

    Gracias por las repuestas

    jueves, 25 de enero de 2007 11:16