我前段时间读过,Windows高级防火墙中有某种默认配置阻止所有入站流量,只允许特定的出站流量 – 如果我的内存服务,则允许域控制器,DNS,DHCP – 但阻止所有其他访问,直到加载并应用“真实”规则.听起来这是我的系统在重启后陷入困境的状态.
这个州的名称是什么,我该如何诊断我的问题?我很久以前就忘记了那些细节,而且我很快就找到了它们.
编辑:
我终于找到了这个行为的正确名称,windows firewall boot time filter
编辑:
这只是陌生人.看起来我现在可以从非IPSEC启用的系统进行入站连接,但是任何IPSEC请求都失败了.我启用了一些auditpol日志记录,我得到以下内容.
Additional information: Keying Module Name: IKEv1 Authentication Method: UnkNown authentication Role: Responder Impersonation State: Not enabled Main Mode Filter ID: 0 Failure information: Failure Point: Local computer Failure Reason: No policy configured <<< Looks wrong. State: No state Initiator Cookie: cec5de8d625d2196 Responder Cookie: 0d40a3b58c477709
通过定义本地IPSEC策略 – 甚至防火墙规则工作 – 我能够暂时解决这个问题,但我不确定为什么会出现这种情况或者我可以做些什么来长期修复它.
Name: ChainUrlRetrievalTimeoutMilliseconds Location: HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config Type: REG_DWORD Decreasing the amount of time to allow CRL retrieval can significantly improve performance when internet access is poor or non-existent. Setting the value to 200 (milliseconds) may be a reasonable timeout. Name: ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds Location: HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config Type: REG_DWORD Decreasing the amount of time to allow all CRL retrievals can significantly improve performance when internet access is poor or non-existent. Setting the value to 500 (milliseconds) may be a reasonable timeout.
背景,为什么我认为这是一个修复
我们环境中的几台服务器在重新启动服务时出现问题.这些服务主要以某种方式与.NET相关.他们都提出了7009个事件.我们有问题的防火墙服务器上的某些服务也会显示此事件ID.虽然防火墙或基本过滤服务的7009从来没有出现过加载过程中的超时 – 特别是因为它有时会干净地加载 – 似乎可能是罪魁祸首.
这些注册表设置来自technet博客,Configuring Exchange Servers Without Internet Access.
原文地址:https://www.jb51.cc/windows/365739.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
