Nonostante ormai le installazioni di SBS 2003 siano cosa abbastanza rara questo problema si è presentato diverse volte su alcune vecchie installazioni, quindi ne scrivo anche a titolo di mio promemoria. Capita infatti che i clienti lamentino, a seguito di un riavvio, l’impossibilità di accedere al server sia dall’interno che dall’esterno della rete. Esso infatti risulta privo connettività, non risponde al ping, non consente l’accesso alle share e non accede ad internet, precludendomi quindi l’ingresso tramite gli strumenti di gestione remota che utilizzo normalmente per la teleassistenza. Il problema è dovuto all’aggiornamento relativo alla protezione server DNS 953230 (MS08-037) ed è documentato qui.A seguito di tale aggiornamento, apparentemente in modo random, potrebbero verificarsi errori in fase di avvio di alcuni servizi, come indicato nell’articolo della kb di Microsoft, ma nel mio caso il preblema ha sempre interessato il servizio IPSec e è contraddistinto da un registro eventi di sistema con errori simili a:
Tipo evento: Errore
Origine evento: Gestione controllo servizi
Categoria evento: Nessuna
ID evento: 7023
Data: Date
Ora: Time
Utente: N/D
Computer: Nome_server
Descrizione: Servizio Servizi IPSEC terminato con l’errore: Di norma è consentito un solo utilizzo di ogni indirizzo di socket (protocollo/indirizzo di rete/porta).
oppure
Tipo evento: Errore
Origine evento: IPSec
Categoria evento: Nessuna
ID evento: 4292
Data: Date
Ora: Time
Utente: N/D
Computer: Nome_server
Descrizione: Driver IPSec in modalità di blocco. Verrà ignorato tutto il traffico di rete TCP/IP in ingresso e in uscita non consentito dalle esenzioni ai criteri IPSec durante la fase di avvio. Azione utente: per ripristinare la completa connettività TCP/IP non protetta, disabilitare i servizi IPSec, quindi riavviare il computer. Per informazioni dettagliate sulla risoluzione dei problemi, verificare gli eventi nel registro eventi di protezione.
Come indicato nell’errore, per rendere nuovamente accessibile il server è sufficiente quindi disabilitare il servizio ed eseguire un riavvio. Qualora IPSec fosse invece utilizzato e quindi necessario dovremo eseguire la modifica di una chiave di registro, andando a specificare la porta da lui utilizzata (la UDP 4500) e contestualmente quelle utilizzate da altri servizi critici, come indicato nella kb, per evitare che il servizio DNS rimanga in ascolto su porte UDP già dedicate ad altre funzionalità.
La sottochiave contenente il parametro da modificare è
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
dove dobbiamo aggiungere al valore ReservedPorts i range di porte destinate agli altri servizi, indicati nella tabella che segue:
| 1645-1646 | IAS | |
| 1701-1701 | L2TP | |
| 1718-1719 | H.323 Gatekeeper (solo ISA 2000) | |
| 1745-1745 | ISA Server 2000 o ISA Server 2004 | |
| 1812-1813 | IAS | |
| 2883-2883 | AUTD | |
| 3500-3619 | Solo ISA Server 2000 | |
| 4500-4500 | IPSec |
Una volta eseguite queste modifiche sarà possibile riabilitare il servizio IPSec con avvio automatico ed eseguire un riavvio del server per riottenere una macchina perfettamente funzionante.
Leave a Reply