none
IPSec vs LDAP, Kerberos RRS feed

  • Вопрос

  • Добрый день.
    Конфигурация: Cisco 851 <- Site-to-Site IPSec -> ISA 2006 Standard.
    По обеим сторонам сети DC.

    Пару дней назад возникла следующая проблема - перестала проходить репликация между DC. В мониторинге ISA фиксируется блокирование трафика Kerberos-SEC (TCP), LDAP и Unidentified IP Traffic (разные порты). При этом, поле Rule пустое.
    Трафик дрегих протоколов проходит без проблем.

    На ISA было включено журналирование IPSEC. В журнале фиксируются следующие сообщения:
    Event Type: Information Event Source: IPSec Event Category: None Event ID: 4291 Date: 11.11.2009 Time: 12:51:48 User: N/A Computer: ХХХ Description: The IPSec driver has dropped the following outbound packet: Source IP Address: Х.Х.Х.Х Destination IP Address: У.У.У.У Protocol: 6 Source Port: 35278 Destination Port: 88 Offset for IPSec status code: 0x14 Offset for Offload status code: 0x10 Offset for Offload flags: 0x20 Offset for packet start: 0x28 For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. Data: 0000: 00 00 2a 00 06 00 76 00 ..*...v. 0008: 00 00 00 00 c3 10 00 40 ....Ã..@ 0010: 00 00 00 00 01 00 00 c0 .......À 0018: 00 00 00 00 00 00 00 00 ........ 0020: 00 00 00 00 00 00 00 00 ........ 0028: 45 00 05 dc 7f c7 40 00 E..ÜÇ@. 0030: 7f 06 d2 25 ac 10 04 04 .Ò%¬... 0038: ac 10 48 0a 89 ce 00 58 ¬.H.‰Î.X 0040: da 6c f6 a2 f6 a5 b2 07 Úlö¢ö¥². 0048: 50 10 ff ff 36 f3 00 00 P.ÿÿ6ó.. 0050: 00 00 ..

    ISA Установлена на Windows 2003, параметр NoDefaultExempt выставлен в 3.

    Проблема возникла неожиданно, никаких изменений в конфигурацию не вносилось, обновления не устанавливались, даже перезагрузки небыло.

    В какую сторону копать?
    11 ноября 2009 г. 10:20

Все ответы

  • А вы не пробовали, в тестовых целях открыть в обе стороны все протоколы и перезагрузить ису?
    11 ноября 2009 г. 12:18
  • Да, пробовали. Только смысла нет, так как трафик рубится IPsec-ом, а не firewallом. Это видно из сообщений в журнале системы (см. первый пост) и отсутствием значения Rule в логах ISA.
    11 ноября 2009 г. 13:13