URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 56798
[ Назад ]

Исходное сообщение
"Не работают из локальной сетки Windows Update, Pop3s,..."
Отправлено HiRUrg , 26-Май-05 17:11

После установки ключевого обновления KB893066
на рабочую станцию Win2k перестали работать некоторые сервисы...
Например перестала работать почта с внешнего сервака:
соединение по SSL
Не получается получить сертификаты
Прблема проявляется, только на компах внутри сетки при попытке обратиться наружу.
Фаервол открывал-не помогает.
причина глюка - обновление файла...\system32\drivers\tcpip.sys
сеть стоит за брандмауэром FreeBSD 4.0
крутится nat, ipfw, bind(внутренний и внешний)
Проблема в серваке но не поюму какая
Мимо него все работает(с реальным ИП прямое подключение)
НО ВСЕ ЖЕ РАБОТАЛО НЕСКОЛЬКО ЛЕТ ДО КЛЮЧЕВОГО ОБНОВЛЕНИЯ!!!
не могу докопаться до истины
проблема разростается: перестала работать(получать сертификаты) прга импексбанка...
Простите, что так сумбурно
Если у кого есть какие идеи с радостью приму, т.к. я уже не знаю, что это может быть

Содержание

Ну натолкните хотябы на какую-нибудь мысль :(,HiRUrg, 10:00 , 27-Май-05
- Ну натолкните хотябы на какую-нибудь мысль :(,jonatan, 10:21 , 27-Май-05
  - VPN - нет. ,HiRUrg, 10:38 , 27-Май-05
Не работают из локальной сетки Windows Update, Pop3s,...,BarS, 10:28 , 27-Май-05
- какие логи?,HiRUrg, 10:44 , 27-Май-05
  - какие логи?,BarS, 10:59 , 27-Май-05
    - Прости :(,HiRUrg, 11:06 , 27-Май-05
      - Прости :(,BarS, 11:10 , 27-Май-05
        
        Ничего в логах не появляется.,HiRUrg, 11:24 , 27-Май-05
        
        Ничего в логах не появляется.,BarS, 11:34 , 27-Май-05
        
        Ничего в логах не появляется.,BarS, 11:48 , 27-Май-05
        
        А вот это похоже то!!!,HiRUrg, 13:15 , 27-Май-05
        
        К сожалению не из моей оперы...,HiRUrg, 12:22 , 27-Май-05
  - какие логи?,jonatan, 11:21 , 27-Май-05
    - Чот ICMP пакетов не видел :(,HiRUrg, 11:27 , 27-Май-05
      - Чот ICMP пакетов не видел :(,jonatan, 11:52 , 27-Май-05
        
        Чот ICMP->DEST_UNREACH есть :(,HiRUrg, 12:58 , 27-Май-05
        
        Чот ICMP->DEST_UNREACH есть :(,jonatan, 13:02 , 27-Май-05
        
        Чот ICMP->DEST_UNREACH есть :(,HiRUrg, 13:06 , 27-Май-05
        
        Чот ICMP->DEST_UNREACH есть :(,jonatan, 13:10 , 27-Май-05
        
        ICMP->DEST_UNREACH,HiRUrg, 13:26 , 27-Май-05
        
        ICMP->DEST_UNREACH,jonatan, 13:30 , 27-Май-05
        
        Круто!!!,HiRUrg, 14:13 , 27-Май-05
        
        Круто!!!,jonatan, 15:07 , 27-Май-05
        
        Спасибо большое!!!,HiRUrg, 14:35 , 27-Май-05
Решение на шлюзе (комплексное),HiRUrg, 09:47 , 30-Май-05
- Решение на шлюзе (комплексное),jonatan, 10:17 , 30-Май-05
  - ...,HiRUrg, 10:39 , 31-Май-05
    - ...,jonatan, 10:58 , 31-Май-05

Сообщения в этом обсуждении

"Ну натолкните хотябы на какую-нибудь мысль :("
Отправлено HiRUrg , 27-Май-05 10:00

Ответ-то наверняка прост :)

"Ну натолкните хотябы на какую-нибудь мысль :("
Отправлено jonatan , 27-Май-05 10:21

Странно. Microsoft пишет, что в этом обновлении всего лишь устанавливается TCP receive window обратно в 17,520 bytes. Подключение к Инет клиентов/сервера через vpn? Попробуйте посмотреть сниффером, что происходит в такие моменты.

"VPN - нет. "
Отправлено HiRUrg , 27-Май-05 10:38

Смотрел я сниффером до и после шлюза.
При корректной работе набор пакетов до и после шлюза одинаков.
При некорректной - нет + они другие :(
не пойму где они могут подрезаться....
при старом tcpip.sys все в норме...

"Не работают из локальной сетки Windows Update, Pop3s,..."
Отправлено BarS , 27-Май-05 10:28

Логи покажи на 2000. От них и пляши.

"какие логи?"
Отправлено HiRUrg , 27-Май-05 10:44

Могу пакеты показать(снятые ИРИСОМ)
Где что еще можно глянуть?

"какие логи?"
Отправлено BarS , 27-Май-05 10:59

>Могу пакеты показать(снятые ИРИСОМ)
>Где что еще можно глянуть?

Нафиг мне твои пакеты, логи покажи 2000. Пля в 2000 тоже логи есть, только почему-то многие этого не знают...

"Прости :("
Отправлено HiRUrg , 27-Май-05 11:06

Прости :( Наверное я из этих многих...
Ну подскажи мне где эти логи?
В Event Viewer ничего нет.
Коннекты вылетают по таймауту.

"Прости :("
Отправлено BarS , 27-Май-05 11:10

Event Viewer стери все события всех журналов, попробуй подключится и смотри в логах что есть...

"Ничего в логах не появляется."
Отправлено HiRUrg , 27-Май-05 11:24

В Security Log сразу после обнуления появляется Success Audit
Больше ничего.
Outlook вылетает по таймауту
Wundows Update выдает ошибку:
Ошибка Windows Update

Обнаружена ошибка Windows Update. Это может быть связано с расхождением показаний часов на компьютере.
Чтобы проверить настройку даты и времени:
Дважды щелкните индикацию времени на панели задач.
Проверьте установленную дату и время.

При наличии вопросов относительно работы программы Windows Update можно также обратиться в службу поддержки пользователей.

Отправить номер ошибки в корпорацию Майкрософт (0x800C0008)

"Ничего в логах не появляется."
Отправлено BarS , 27-Май-05 11:34

http://support.microsoft.com/default.aspx?scid=kb;en-us;830066
http://support.microsoft.com/default.aspx?scid=kb;en-us;811834
смотри что твое.

"Ничего в логах не появляется."
Отправлено BarS , 27-Май-05 11:48

вот ище немного:
http://support.microsoft.com/kb/898060/

"А вот это похоже то!!!"
Отправлено HiRUrg , 27-Май-05 13:15

Спасибо за наводку!

"К сожалению не из моей оперы..."
Отправлено HiRUrg , 27-Май-05 12:22

>http://support.microsoft.com/default.aspx?scid=kb;en-us;830066
Страница https://v4.windowsupdate.microsoft.com/getmanifest.asp у меня загружается в виде:
- <catalog>
<provider />
</catalog>
никакого сертификата не просит...
>http://support.microsoft.com/default.aspx?scid=kb;en-us;811834
этого пункта у меня нет:
Under Policy in the right pane, double-click System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing, and then click Disabled
Все остальное делал - пофиг...
>смотри что твое.
:(

"какие логи?"
Отправлено jonatan , 27-Май-05 11:21

Там случайно не было icmp пакетов Need Fragment...?

"Чот ICMP пакетов не видел :("
Отправлено HiRUrg , 27-Май-05 11:27

А чем можно глянуть? Может я не тем глядю?

"Чот ICMP пакетов не видел :("
Отправлено jonatan , 27-Май-05 11:52

Сниффером.

"Чот ICMP->DEST_UNREACH есть :("
Отправлено HiRUrg , 27-Май-05 12:58

смотрю ИРИСОМ

"Чот ICMP->DEST_UNREACH есть :("
Отправлено jonatan , 27-Май-05 13:02

Мне все равно, чем Вы смотрите. Я спросил, нет ли в такие моменты icmp пакетов
ICMP: Packet Type = Destination Unreachable
ICMP: Unreachable Code = Fragmentation Needed, DF Flag Set

"Чот ICMP->DEST_UNREACH есть :("
Отправлено HiRUrg , 27-Май-05 13:06

Я же написал, правдо коряво :), ICMP->DEST_UNREACH есть

"Чот ICMP->DEST_UNREACH есть :("
Отправлено jonatan , 27-Май-05 13:10

Эти icmp пакеты кто шлет и кому? Реагирует ли получатель на эти пакеты?

"ICMP->DEST_UNREACH"
Отправлено HiRUrg , 27-Май-05 13:26

Шлет мой роутер мне(я внутри)
Внутри пишет, что хост почтовика к которому я стучусь unreachable нуждается в врагментации
соурс мой ИП
Дестаншн ИП почтовика

"ICMP->DEST_UNREACH"
Отправлено jonatan , 27-Май-05 13:30

Попробуйте добавить следующие параметры в реестр и перезагрузитесь.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnablePMTUDiscovery"=dword:00000001
"EnablePMTUBHDetect"=dword:00000001

"Круто!!!"
Отправлено HiRUrg , 27-Май-05 14:13

Заработало! Правдо не все. Skype так и не работает...
Все остальное заработало, но както медленно :)
Объясните пожалуйста в чем проблема? Насколько я понимаю чтото в несоответствии в MTU...
Может чтото можно подрулить на шлюзе, чтобы на рабочих станциях не настраивать?

"Круто!!!"
Отправлено jonatan , 27-Май-05 15:07

Для увеличения скорости работы с Инетом попробуйте увеличить TcpWindowSize до 64 КБ:
http://support.microsoft.com/kb/890345
Подробнее о параметрах TCP/IP в Windows можете посмотреть здесь:
http://support.microsoft.com/kb/120642/

"Спасибо большое!!!"
Отправлено HiRUrg , 27-Май-05 14:35

Вы мне очень помогли

"Решение на шлюзе (комплексное)"
Отправлено HiRUrg , 30-Май-05 09:47

sysctl -w net.inet.tcp.rfc1323=1 на шлюзе + подбор оптимального MTU на интерфейсах...
Раньше path MTU discovery было включено, тяперь низя :(

Еще раз большое спасибо за идею и информацию :)

"Решение на шлюзе (комплексное)"
Отправлено jonatan , 30-Май-05 10:17

Будьте готовы еще к тому, что некоторые админы вообще запрещают прохождение icmp пакетов правилами файерволла. Соответственно до получателя пакеты ICMP: Unreachable Code = Fragmentation Needed, DF Flag Set не дойдут.

"..."
Отправлено HiRUrg , 31-Май-05 10:39

Т.е. проблемы возникнут у тех(у кого ICMP запрещен), кто будет ломиться ко мне с большими пакетами, а ему мой шлюз будет отвечать, что нужна фрагментация?
Непонятно мне только одно:
Почему это появилось после обновления tcpip.sys? они там отключили автоматическое PMTU и теперь его нужно включать в реестре???

"..."
Отправлено jonatan , 31-Май-05 10:58

>Т.е. проблемы возникнут у тех(у кого ICMP запрещен), кто будет ломиться ко
>мне с большими пакетами, а ему мой шлюз будет отвечать, что
>нужна фрагментация?
Да. Обычно это ответы серверов в Инете, с которыми Вы пытаетесь работать. Посылать icmp пакеты может не только Ваш шлюз, но и любой промежуточный.
>Непонятно мне только одно:
>Почему это появилось после обновления tcpip.sys? они там отключили автоматическое PMTU и
>теперь его нужно включать в реестре???
Мне тоже непонятно. На сайте microsoft указано, что PMTU включен по умолчанию. Проблема появилась именно после update-а и решается только явным указанием этих параметров в реестре.