Verhalten von Windows bezüglich temp., reservierten u. blockierten Ports

[iDiddi 27]

Hallo zusammen,

 

gestern ist es mal wieder passiert. Serverneustart (SBS2k3) zwecks Wartungsarbeiten durchgeführt. Das Anmeldebild erscheint. Dann plötzlich:

 

Plopp! Mindestens ein Dienst konnte nicht gestartet werden..." :shock:

 

Nach der Anmeldung natürlich erst mal geprüft, was das für ein Dienst war. Natürlich mal wieder IPSec :cry: . Das heißt, kein Ping mehr möglich (Zielhost nicht erreichbar). Der Server ist übers Netz nicht mehr ansprechbar. Bisher hat dann ein abermaliger Neustart geholfen. Aber warum das so ist, hab ich erst durch diese tolle Seite im Microsoft Technet...

 

... Das Verhalten von Windows TCP/IP bezüglich temporären, reservierten und blockierten Ports ...

 

...und diesen KB-Artikel...

 

... Einige Dienste können auf Computern mit Windows SBS ggf. nicht gestartet werden oder funktionieren nicht ordnungsgemäß, nachdem das Sicherheitsupdate 953230 (MS08-037) für den DNS-Serverdienst installiert wurde ...

 

...erfahren :wink2:

 

Abgekürzt formuliert:

 

Der DNS-Dienst vereinnahmt für sich (seit Update 953230 - MS08-037) temporäre UDP-Ports (von 1024-60000). Da es bei Ports so ist, dass es "nur einen geben kann", können andere Dienste, die zufällig einen dieser Ports benötigen (z.B. IPSec: 4500), nicht korrekt ausgeführt werden und versagen ihren Dienst (im wahrsten Sinne des Wortes :D ).

 

Also klappt es immer dann nicht, wenn der DNS beim Start schneller ist als die Problem-Dienste.

 

IPSec wechselt dann in den gesperrten Modus und lässt keine Verbindung mehr zu.

 

Bei mir hat nun geholfen, den Port für IPSec einfach zu reservieren, sodass DNS diesen in Frieden lässt. Das geht über den Registierungsschlüssel:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

 

Dort dann in "ReservedPorts" den entsprechenden Port hinzufügen, Fertig

[iDiddi 27]

Wo ich das hier noch mal lese: Kleiner Nachtrag der Vollständigkeit halber.

 

Falls dieses Problem noch bei jemandem auftreten sollte, kann er sich das händische bearbeiten der Registry, wie anfangs von mir beschrieben, übrigens sparen. Es gibt bereits seit 2009 ein Update dafür (war mir zum Zeitpunkt des Beitrags leider noch nicht bekannt):

 

Description of the UDP Port Reservation Utility for Windows Server 2003

 

Für den SBS2k3 kommt dieses Update sogar automatisch über den Microsoft Update-Dienst:

 

Note This utility is also available for Windows Small Business Server 2003 users through Microsoft Update.

 

 

 

So. Von meiner Seite aus kann der Beitrag jetzt wieder weiter schlafen ;)