none
problema errore ipsec windows server 2003 standard edition RRS feed

  • Domanda

  • buongiorno, 

    questa mattina il server ha improvvisamente smesso di andare in rete.

    Ecco cosa rilevo dal registro degli eventi:

    Tipo evento: Errore
    Origine evento: IPSec
    Categoria evento: Nessuno
    ID evento: 4292
    Data: 27/11/2014
    Ora: 9.42.08
    Utente: N/D
    Computer: SRV2003
    Descrizione:
    Driver IPSec in modalità di blocco. Verrà ignorato tutto il traffico di rete TCP/IP in ingresso e in uscita non consentito dalle esenzioni ai criteri IPSec durante la fase di avvio. Azione utente: per ripristinare la completa connettività TCP/IP non protetta, disabilitare i servizi IPSec, quindi riavviare il computer.  Per informazioni dettagliate sulla risoluzione dei problemi, verificare gli eventi nel registro eventi di protezione.

    Tipo evento: Errore

    Origine evento:
    W32Time
    Categoria evento: Nessuno
    ID evento: 17
    Data: 27/11/2014
    Ora: 9.42.20
    Utente: N/D
    Computer: SRV2003
    Descrizione:
    Provider servizi orari NtpClient: si è verificato un errore durante la ricerca DNS del peer configurato manualmente 'time.windows.com,0x1'. NtpClient ritenterà la ricerca DNS fra 15 minuti. Errore Tentativo di operazione del socket verso un host non raggiungibile. (0x80072751)


    Tipo evento: Errore
    Origine evento: Service Control Manager
    Categoria evento: Nessuno
    ID evento: 7023
    Data: 27/11/2014
    Ora: 9.43.32
    Utente: N/D
    Computer: SRV2003
    Descrizione:
    Servizio Windows Firewall / Condivisione connessione Internet (ICS) terminato con l'errore: 
    Indirizzo utilizzato incompatibile con il protocollo richiesto. 

    Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.

    Tipo evento: Errore
    Origine evento: Service Control Manager
    Categoria evento: Nessuno
    ID evento: 7023
    Data: 27/11/2014
    Ora: 9.43.32
    Utente: N/D
    Computer: SRV2003
    Descrizione:
    Servizio Servizi IPSEC terminato con l'errore: 
    Impossibile trovare elemento. 

    Dando per scontato fosse un problema di ipsec ho cercato informazioni a riguardo e applicato soluzioni quali:

    http://support.microsoft.com/kb/912023/en-us            e

    http://www.mangiarano.net/windows-server-2003-sp1-errore-4292-ipsec/         ma in entrambi i casi, se dopo aver fatto le modifiche al registro riattivo il servizio 'automatico' di IPSEC, l'errore si ripresenta.

    Al momento riesco a far entrare in rete il server solo ed esclusivamente DISATTIVANDO ipsec.

    Avete consigli da darmi?  Vorrei sistemare il problema e capire cosa può averlo causato.

    Grazie

    paola



    giovedì 27 novembre 2014 11:51

Risposte

  • Ciao Paola, partendo dal basso... Visto l'utilizzo di IPSEC davo per scontato la presenza di un dominio e di una rete blindata. I comandi che ti ho proposto di eseguire sono validi soltanto se è presente un dominio. La tua rete è in modalità workgroup quindi i comandi non hanno senso di essere eseguiti, ed in ogni caso dovresti installare il support tool.

    A mio avviso puoi disattivare il servizio senza avere nessun problema tangibile. IPSEC prevede che siano implementate delle policy di sicurezza, ma se non adeguatamente gestite le policy creano più "intoppi" che altro. Una infrastruttura aggiornata a livello patch, un antivirus aggiornato e magari un buon firewall con le dovute policy fanno molto, ma quello che più conta è l'utilizzo che se ne fa dello strumento senza la necessità di adottare misure estreme. Ovvero se ti metti a navigare su certi siti dal server prima o poi ci resti... e non c'è struttura adeguata che tenga.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    venerdì 28 novembre 2014 10:29
    Moderatore
  • vista l'infrastruttura che hai e che hai descritto a Nino, ti consiglio anch'io di disabilitare IPsec che ti serve a poco.

    per disabilitare anche l'alert all'avvio vai nella console di gestione dei servizi e metti il servizio Ipsec Policy Agent in tipo avvio: disabilitato

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    venerdì 28 novembre 2014 13:05
    Moderatore

Tutte le risposte

  • Ciao Paola, puoi descrivere brevemente se nei giorni scorsi sono state fatte delle attività sul server e dare una descrizione dell'infrastruttura per capire il mancato utilizzo di IPSEC cosa comporta.

    Se esegui un dcdiag ed un netdiag riscontri errori particolati?

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    giovedì 27 novembre 2014 13:34
    Moderatore
  • oltre alla modifica del registro hai fatto anche

    net stop policyagent

    regsvr32 polstore.dll

    net start policyagent

    + reboot of server and it is working.

    ?


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    venerdì 28 novembre 2014 08:42
    Moderatore
  • Ciao Nino e grazie per la risposta.

    Nei giorni precedenti non ero in servizio e sono stata sostituita da colleghi i quali non mi hanno detto di aver fatto cose particolari o notato anomalie.....non mi hanno detto non significa però che non vi siano stati eventi o usi 'particolari' della macchina.

    Prima delle 9.40 di ieri ho notato uno strano comportamento del server che mi pareva stranemente lento; ho fatto un giro con ClamWin (OK), MBAM (OK) e adwcleaner che mi ha restituito il seguente errore :
    ***** [ Servizi ] *****
    ***** [ File / Cartelle ] *****
    ***** [ Compiti ] *****
    ***** [ Collegamenti ] *****
    ***** [ Registro ] *****
    Chiave Trovati : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GoogleUpdate.exe
    ***** [ Browser ] *****
    -\\ Internet Explorer v8.0.6001.18702
    -\\ Mozilla Firefox v33.1 (x86 it)

    Sempre ieri mattina il server ha fatto un aggiornamento (KB3011780).

    La rete è del tipo a stella (senza dominio) e il server viene utilizzato praticamente e quasi esclusivamente come gestore delle licenze per un programma di disegno tecnico.  Questa mattina, sebbene il servizio IPSEC fosse disattivato, gli utenti hanno potuto usare Autocad senza problemi e questo mi consola. Quali guai/malfunzionamenti può combinare IPSEC disattivo su un utilizzo così elementare di un server? Se non mi cambia nulla, come posso eliminare l'alert all'avvio che mi avvisa che è 'impossibile avviare uno o più servizi o driver'?

    DCDIAG e NETDIAG ....bella grana: lancio il comando da prompt e dalla finestra Esegui ma mi viene detto 'impossibile trovare ......' e 'non è riconosciuto come comando interno....' .     Facendo una ricerca, non trovo gli eseguibili. Mistero?!?

    Grazie ancora per l'aiuto

    paola

    venerdì 28 novembre 2014 10:12
  • Ciao Paola, partendo dal basso... Visto l'utilizzo di IPSEC davo per scontato la presenza di un dominio e di una rete blindata. I comandi che ti ho proposto di eseguire sono validi soltanto se è presente un dominio. La tua rete è in modalità workgroup quindi i comandi non hanno senso di essere eseguiti, ed in ogni caso dovresti installare il support tool.

    A mio avviso puoi disattivare il servizio senza avere nessun problema tangibile. IPSEC prevede che siano implementate delle policy di sicurezza, ma se non adeguatamente gestite le policy creano più "intoppi" che altro. Una infrastruttura aggiornata a livello patch, un antivirus aggiornato e magari un buon firewall con le dovute policy fanno molto, ma quello che più conta è l'utilizzo che se ne fa dello strumento senza la necessità di adottare misure estreme. Ovvero se ti metti a navigare su certi siti dal server prima o poi ci resti... e non c'è struttura adeguata che tenga.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    venerdì 28 novembre 2014 10:29
    Moderatore
  • Buongiorno Edoardo e grazie anche a te per la gentile risposta.

    Non avevo dato i Netstop e Netstart ed ho fatto il tentativo di ripetere la procedura aggiungendo i comandi da te consigliati.

    Ho tentato in 2 modi; avviando il servizio IPSEC prima del riavvio e in seguito lasciando disattivo il servizio IPSEC prima del riavvio.....nulla di fatto.

    Se riattivo prima, al riavvio IPSEC si blocca inesorabilmente e manda in blocco la rete; se non riattivo, la rete funziona ma IPSEC è off.

    Idee?

    grazie anticipatamente

    paola

    venerdì 28 novembre 2014 10:44
  • Grazie Nino, la tua risposta mi consola molto.

    Eh sì, molte persone sono convinte che il server sia solo un 'piccì più potente' e lo usano come fosse l'ultimo dei pc della rete ma, come penso immaginerai, non posso arrabbiarmi  con i colleghi 'scellerati' andando a spulciare i log di navigazione dei giorni della mia assenza (il firewall che abbiamo con smoothwall me lo consentirebbe).

    La nostra rete è davvero semplice semplice sebbene vi siano 150 macchine tra cablato e wifi; per fortuna IPSEC down non mi comporta nulla di particolare.

    Sai se è possibile (e come) disabilitare l'alert all'accensione che notifica il problema? Se un lunedì non fossi presente al lavoro, alla riaccensione dei sistemi, mi telefonerebbero a casa alle 7 !!

    Grazie infinite per la pazienza.

    saluti

    paola

    venerdì 28 novembre 2014 10:52
  • vista l'infrastruttura che hai e che hai descritto a Nino, ti consiglio anch'io di disabilitare IPsec che ti serve a poco.

    per disabilitare anche l'alert all'avvio vai nella console di gestione dei servizi e metti il servizio Ipsec Policy Agent in tipo avvio: disabilitato

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    venerdì 28 novembre 2014 13:05
    Moderatore
  • Sai se è possibile (e come) disabilitare l'alert all'accensione che notifica il problema? Se un lunedì non fossi presente al lavoro, alla riaccensione dei sistemi, mi telefonerebbero a casa alle 7 !!

    Ti ha già risposto Edoardo... ma per sicurezza chiuderei il telefono almeno fino a dopo il caffè :)

    Mi sorge spontanea una domanda... ma con 150 client non avete un dominio?

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    venerdì 28 novembre 2014 14:31
    Moderatore
  • Ciao Paola 123456,

    Non abbiamo ricevuto alcun aggiornamento e mi chiedevo se possiamo aiutarti ulteriormente o se il tuo quesito è stato risolto.
    Se così fosse ti saremmo grati di condividere il feedback in questo spazio ricordandoti che altri membri della community potrebbero riscontrare comportamenti simili.

    Grazie in anticipo.


    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è e non comporta alcuna responsabilità da parte dell’azienda.

    lunedì 1 dicembre 2014 13:54
  • Buonasera, 

    scusate il ritardo con il quale aggiorno il post.

    Ho disabilitato il servizio IPsec policy Agent ma all'avvio appare comunque il seguente messaggio:

    'gestione controllo servizi'   'impossibile avviare uno o più servizi o driver....'

    Dal registro eventi l'unico errore è il seguente:  

    Servizio Windows Firewall / Condivisione connessione Internet (ICS) terminato con l'errore: 
    Indirizzo utilizzato incompatibile con il protocollo richiesto. 

    Comunque sia, con un OK si prosegue l'avvio del server e tutto quello che ci serve funziona .

    Mistero.

    grazie

    paola

    venerdì 20 febbraio 2015 16:02
  • Ciao Paola, tra i vari servizi in avvio automatico dovresti avere Condivisione Connessione Internet (ICS). Modifica l'impostazione su disabilitato ed al prossimo riavvio non dovresti più avere la segnalazione.

    Saluti
    Nino

     

    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    venerdì 20 febbraio 2015 16:33
    Moderatore
  • Grazie!!!  ora è tutto perfetto.; all'avvio nessun messaggio di errore.

    Grazie ancora per le preziose informazioni.

    paola

    lunedì 23 febbraio 2015 07:09