Error en ISA server: Conexiones RPC denegadas (WSATIMEDOUT)

Publicado: 05/20/2010 en Errores, Manual
Etiquetas:,

Hace un tiempo tuve que configurar un servidor ISA para uno de los clientes. Me solicitaron que las reglas de acceso del ISA tuviesen autenticación windows, dividiendo los accesos permitidos según grupos de usuarios en el directorio activo. Cuando terminé de configurar y ordenar las reglas ( en ISA las reglas se aplican de arriba abajo como un firewall normal, por lo que se deben colocar de la más restrictiva a la más genérica), me dispuse a crear los grupos de usuarios para aplicar a las reglas correspondientes. En el paso de configuración de usuarios en que se accede al directorio activo para  comprobar el usuario, aparecía un mensaje de error que indicaba que no se podía acceder al directorio activo y por tanto no se podía crear ningún usuario. Al probar desde el menú de usuarios y grupos de directorio activo, ocurría lo mismo.

El registro de ISA nos proporciona poca información ya que por lo que vemos sólo aparece que las conexiones RPC están denegadas. Desactivo el firewall que ISA lleva incorporado para comprobar si es un problema de permisos y efectivamente: una vez desactivado el firewall, las conexiones RPC funcionan correctamente. Mi conclusión fue que ISA se estaba cortando el acceso a sí mismo, así que cree una regla que permitiese todo el tráfico desde el Host local (osease el ISA) a todos los destunos por todos los puertos (vamos, un peazo de agujero) para comprobar si se solucionaba el problema y a partir de ahí empezar a restringir la regla. Por desgracia, este intento es fútil y el problema persiste.

Miro en el registro de error por si existiese alguna pista útil, y observo que hay un error ISA que se repite: WSAETIMEDOUT. Googleando un poco, averiguo que el problema viene porque el hash de conexión Software y Hardware no funciona debido a que los puertos han cambiado. La solución pasa por tunear un poco el registro.

ADVERTENCIA: Antes de tocar el registro es conveniente hacer una copia de seguridad del mismo por si nos cargamos algo (de hecho yo lo hice).

Si googleas buscando el error, aparecen varios articulos aparentemente contradictorios. El primero que leí (y que me pareció lo suficientemente serio como para probarlo) indicaba que había que tocar una serie de variables:

– System\CurrentControlSet\Services\TcpIP\Parameters\EnableRSS -> Cambiar el DWORD value a 0.

– System\CurrentControlSet\Services\TcpIP\Parameters\EnableTCPA -> Cambiar el DWORD value a 0.

– System\CurrentControlSet\Services\TcpIP\Parameters\EnableTCPChimeney -> Cambiar el DWORD value a 0.

Si realizamos estos cambios y reiniciamos, no se puede volver a acceder a la máquina via terminal.

Otros articulos hablaban de modificar estos tres en distintas variaciones, así que tomé la decisión de ir poco a poco. Realizé el cambio sólo en

– System\CurrentControlSet\Services\TcpIP\Parameters\EnableRSS -> Cambiar el DWORD value a 0.

Y al reiniciar, el acceso al directorio activo funcionaba a la perfección, así que siguiendo mi máxima que dice “Si funciona, no lo toques, por tu padre” lo dejé así y no realicé más pruebas. A día de hoy sigue funcionando, así que parece que esta es la solución.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s