Hallo zusammen,
gestern ist es mal wieder passiert. Serverneustart (SBS2k3) zwecks Wartungsarbeiten durchgeführt. Das Anmeldebild erscheint. Dann plötzlich:
Plopp! Mindestens ein Dienst konnte nicht gestartet werden..."
Nach der Anmeldung natürlich erst mal geprüft, was das für ein Dienst war. Natürlich mal wieder IPSec
. Das heißt, kein Ping mehr möglich (Zielhost nicht erreichbar). Der Server ist übers Netz nicht mehr ansprechbar. Bisher hat dann ein abermaliger Neustart geholfen. Aber warum das so ist, hab ich erst durch diese tolle Seite im Microsoft Technet...
...
Das Verhalten von Windows TCP/IP bezüglich temporären, reservierten und blockierten Ports ...
...und diesen KB-Artikel...
...
Einige Dienste können auf Computern mit Windows SBS ggf. nicht gestartet werden oder funktionieren nicht ordnungsgemäß, nachdem das Sicherheitsupdate 953230 (MS08-037) für den DNS-Serverdienst installiert wurde ...
...erfahren
Abgekürzt formuliert:
Der DNS-Dienst vereinnahmt für sich (seit Update 953230 - MS08-037) temporäre UDP-Ports (von 1024-60000). Da es bei Ports so ist, dass es "nur einen geben kann", können andere Dienste, die zufällig einen dieser Ports benötigen (z.B. IPSec: 4500), nicht korrekt ausgeführt werden und versagen ihren Dienst (im wahrsten Sinne des Wortes
).
Also klappt es immer dann nicht, wenn der DNS beim Start schneller ist als die Problem-Dienste.
IPSec wechselt dann in den gesperrten Modus und lässt keine Verbindung mehr zu.
Bei mir hat nun geholfen, den Port für IPSec einfach zu reservieren, sodass DNS diesen in Frieden lässt. Das geht über den Registierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Dort dann in "ReservedPorts" den entsprechenden Port hinzufügen, Fertig
