none
ISA + VPN. Отваливается VPN. Ошибки 20007 и 20050 RRS feed

  • Вопрос

  • Здравствуйте!

    Есть шлюз, на котором установлен Win 2003 Srv R2 и ISA Server 2006 со всеми апдейтами. По протоколу PPTP настроен VPN с центральным офисом. Иногда (раз в несколько недель) отваливается VPN. В журнале System перед потерей связи регестрируются два события:

    1) RemoteAccess, 20007 (параметр 00000268), Не удалось получить начальный кадр на порт "VPN4-100" из-за следующей ошибки: An asynchronous request is pending. Пользователь был подключен.

    2) Через 1-2 часа появляется - RemoteAccess, 20050, Пользователь MyDomain\vpnuser, подключенный к порту VPN4-100 был отключен, поскольку не удалось успешно согласовать ни один сетевой протокол.

    Также иногда не поднимается VPN, если перезагрузить сервер.

    Если перезапустит службу Windows Firewall (вместе с RRAS), то связь восстанавливается.

    Точно такая же конфигурация исы используется в других филлиалах, все работает безупречно.
    1 февраля 2010 г. 6:16

Ответы

  • Про связь RRAS и VPN я знаю :) Просто раньше не видел, что эта служба не стартует, а сейчас заметил и посчитал нужным написать.

    На этот раз журналы более многословны.

    В System:

    1) RemoteAccess, 20192,

    A certificate could not be found. Connections that use the L2TP protocol over IPSec require the installation of a machine certificate, also known as a computer certificate. No L2TP calls will be accepted.

    2) Service Control Manager, 7024,

    The Microsoft Firewall service terminated with service-specific error 212994 (0x34002).

    В Application:

    1) Microsoft Firewall, 21192,

    The Microsoft Data Engine (MSSQL$MSFW) service could not connect to the MSDE database for Microsoft Firewall logging because the database file could not be created or opened, there are insufficient resources, or the Microsoft Data Engine service is not started. Microsoft Data Engine service error description: Database 'ISALOG_20100210_FWS_000' already exists..

    2) Microsoft ISA Server Control, 14048,

    Failed to stop the fwsrv during execution of alert actions. Use the source location 118.320.5.0.5723.514 to report the failure. The computer should be restarted.

    3) Microsoft Firewall, 15120,

    The number of concurrent TCP connections from the source IP address 10.10.1.207 exceeded the configured limit. As a result, ISA Server will not allow the creation of new TCP connections from this source IP. This IP address probably belongs to an attacker or an infected host. See product documentation for more info about ISA flood resiliency.



    Вы надеюсь уже изучили что значают данные ошибки и как их исправлять ?

    По поводу пункта 3 это защита от flood.

    Попробуйте найти решения по кодам ошибок, выполнить рекомендации и если не получится обратится снова в эту тему. Будем разбираться дальше.
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    9 февраля 2010 г. 8:31

Все ответы

  • Здравствуйте!

    Есть шлюз, на котором установлен Win 2003 Srv R2 и ISA Server 2006 со всеми апдейтами. По протоколу PPTP настроен VPN с центральным офисом. Иногда (раз в несколько недель) отваливается VPN. В журнале System перед потерей связи регестрируются два события:

    1) RemoteAccess, 20007 (параметр 00000268), Не удалось получить начальный кадр на порт "VPN4-100" из-за следующей ошибки: An asynchronous request is pending. Пользователь был подключен.

    2) Через 1-2 часа появляется - RemoteAccess, 20050, Пользователь MyDomain\vpnuser, подключенный к порту VPN4-100 был отключен, поскольку не удалось успешно согласовать ни один сетевой протокол.

    Также иногда не поднимается VPN, если перезагрузить сервер.

    Если перезапустит службу Windows Firewall (вместе с RRAS), то связь восстанавливается.

    Точно такая же конфигурация исы используется в других филлиалах, все работает безупречно.

    Возможно что проблема с каналом. Попробуйте потестировать канал с провайдером ISP.

    Загрузка процессора на сервере ISA номральная ?

    Тут и тут смотрели ?


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/
    2 февраля 2010 г. 16:45
  • EventID просматривал, ни один вариант не подходит под мой случай. На technet тоже видел эту статью, но там описано конфигурирование RRAS непосредственно, а у меня он автоматических был сконфигурирован исой. Загрузка процессора в норме (10-20%).

    Насчет канал, вероятность конечно есть. Но:
    1) Канал отвалился, потом восстановился. По идее впн должен автоматически подниматься. Т.е. я бы наблюдал обрыв и восстановление связи, а не полную ее потерю.
    2) Если бы проблема была в канале, то перезагрузка сервера не влияла бы на VPN.
    4 февраля 2010 г. 0:22
  • Добрый вечер.

    Как продвигается решение вашей проблемы?
    но, тем не менее, у меня тоже есть определенные предположения на тему канала провайдера. И еще момент. IsaBPA пробовали смотреть? Может он что интересного напишет?
    5 февраля 2010 г. 13:21
    Модератор
  • Спасибо за ответы. Проверил сервер через IsaBPA, нашло несколько ошибок. Из всех, только одна, нестандартная была (которых нет на других серверах) - это зацикленность прокси. В ходе выяснения, откуда она взялась, обнаружил установленный и включенный драйвер Network Monitoring Driver на внешнем сетевом интерфейсе (видимо наследие ethereal). Я его удалил, пару раз перезагрузился, vpn поднялся. Повторный скан IsaBPA показал, что все ошибки исчезли. Пока вроде работает.

    Кроме того, оставил заявку прову на проверку канала. Нужно подождать несколько дней. Заодно поперезагружаю сервер. Надеюсь поможет. Как протестирую все, отпишусь о результатах.

    8 февраля 2010 г. 4:17
  • Проблема осталась. Канал проверили - чистый. Однако после перезагрузки сервера снова не поднялся VPN. При этом выяснились дополнительные детали:
    1) доступ в интернет есть, не работает только VPN
    2) не застартовала служба RRAS.

    После запуска этой службы VPN поднялся.

    9 февраля 2010 г. 2:51
  • Проблема осталась. Канал проверили - чистый. Однако после перезагрузки сервера снова не поднялся VPN. При этом выяснились дополнительные детали:
    1) доступ в интернет есть, не работает только VPN
    2) не застартовала служба RRAS.

    После запуска этой службы VPN поднялся.


    VPN без  RRAS не работает по определению.

    Что в логах ?
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    9 февраля 2010 г. 7:52
  • Про связь RRAS и VPN я знаю :) Просто раньше не видел, что эта служба не стартует, а сейчас заметил и посчитал нужным написать.

    На этот раз журналы более многословны.

    В System:

    1) RemoteAccess, 20192,

    A certificate could not be found. Connections that use the L2TP protocol over IPSec require the installation of a machine certificate, also known as a computer certificate. No L2TP calls will be accepted.

    2) Service Control Manager, 7024,

    The Microsoft Firewall service terminated with service-specific error 212994 (0x34002).

    В Application:

    1) Microsoft Firewall, 21192,

    The Microsoft Data Engine (MSSQL$MSFW) service could not connect to the MSDE database for Microsoft Firewall logging because the database file could not be created or opened, there are insufficient resources, or the Microsoft Data Engine service is not started. Microsoft Data Engine service error description: Database 'ISALOG_20100210_FWS_000' already exists..

    2) Microsoft ISA Server Control, 14048,

    Failed to stop the fwsrv during execution of alert actions. Use the source location 118.320.5.0.5723.514 to report the failure. The computer should be restarted.

    3) Microsoft Firewall, 15120,

    The number of concurrent TCP connections from the source IP address 10.10.1.207 exceeded the configured limit. As a result, ISA Server will not allow the creation of new TCP connections from this source IP. This IP address probably belongs to an attacker or an infected host. See product documentation for more info about ISA flood resiliency.

    9 февраля 2010 г. 8:15
  • Про связь RRAS и VPN я знаю :) Просто раньше не видел, что эта служба не стартует, а сейчас заметил и посчитал нужным написать.

    На этот раз журналы более многословны.

    В System:

    1) RemoteAccess, 20192,

    A certificate could not be found. Connections that use the L2TP protocol over IPSec require the installation of a machine certificate, also known as a computer certificate. No L2TP calls will be accepted.

    2) Service Control Manager, 7024,

    The Microsoft Firewall service terminated with service-specific error 212994 (0x34002).

    В Application:

    1) Microsoft Firewall, 21192,

    The Microsoft Data Engine (MSSQL$MSFW) service could not connect to the MSDE database for Microsoft Firewall logging because the database file could not be created or opened, there are insufficient resources, or the Microsoft Data Engine service is not started. Microsoft Data Engine service error description: Database 'ISALOG_20100210_FWS_000' already exists..

    2) Microsoft ISA Server Control, 14048,

    Failed to stop the fwsrv during execution of alert actions. Use the source location 118.320.5.0.5723.514 to report the failure. The computer should be restarted.

    3) Microsoft Firewall, 15120,

    The number of concurrent TCP connections from the source IP address 10.10.1.207 exceeded the configured limit. As a result, ISA Server will not allow the creation of new TCP connections from this source IP. This IP address probably belongs to an attacker or an infected host. See product documentation for more info about ISA flood resiliency.



    Вы надеюсь уже изучили что значают данные ошибки и как их исправлять ?

    По поводу пункта 3 это защита от flood.

    Попробуйте найти решения по кодам ошибок, выполнить рекомендации и если не получится обратится снова в эту тему. Будем разбираться дальше.
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    9 февраля 2010 г. 8:31
  • Проверьте доступность контроллеров домена (служб аутентификации пользователей)

    Проверьте синхронизацию времени. (w32tm /monitor && w32tm /resync)

    10 февраля 2010 г. 21:17
  • Добрый день!

    Уважаемый VladDV! У вас получилось решить проблему?
    16 февраля 2010 г. 13:20
    Модератор