Tajemnica serwera VPN… ;)

Razu pewnego, przydarzyło się koledze…
Wyobraźcie sobie, że któregoś dnia, np. po instalacji nowej serii poprawek i restarcie serwera VPN, nagle zaczynają się telefony od użytkowników zdalnych, którzy nie mogą się połączyć z serwerem VPN. Co do ciężkiej… (?)
 
Rzut oka do logów i od razu wpadają nam w oczy dwa zdarzenia.
Wszystko mówiący id 7001:
 
"The Remote Access Connection Manager service depends on the Telephony service which failed to start because of the following error: The operation completed successfully."
 
image
 
I troszkę mniej tajemniczy id 7024:
 
"The Routing and Remote Access service terminated with service-specific error 711 (0x2C7)."
 
image
 
Wycieczka na google od razu pokazała nieco, odnośnie 7024. Konkretnie artykuł KB 330163 http://support.microsoft.com/kb/330163.

CAUSE

This issue may occur if the following services are disabled:
Telephony
Remote Access Connection Manager
Remote Access Auto Connection Manager
 
Szybki rzut oka na usługi i… Faktycznie żadna z wymienionych nie jest uruchomiona. Zakładka "Dependencies" we właściwościach poszczególnych usług informuje nas, że łańcuszek przedstawia się następująco:
Najpierw powinna wystartować usługa "Telephony", od niej zależna jest "Remote Access Connection Manager", a z kolei od niej zależna jest "Remote Access Auto Connection Manager".
Rozwiązaniem według KB ma być…. oczywiście włączenie wyłączonych usług.🙂 Problem w tym, że żadna z nich nie była wyłączona. Wszystkie były w trybie Manual, a nie Disabled.
Nie pozostało jednak nic innego jak po prostu spróbować je włączyć…
Oczywiście próba ta, w przypadku dwóch serwisów zależnych od usługi "Telephony", zakończy się spodziewanym wynikiem, czyli błędem 1068: "The dependency service or group failed to start."
 
image
Wszystkie znaki na niebie i ziemi wskazywały więc na problem z "Telephony". Podczas manualnej próby startu, zakończonej oczywiście niepowodzeniem, otrzymujemy dosyć ciekawy komunikat. "The Telephony service on Local Computer started and then stopped. Some services stop automatically if they have no work to do, for example, the Performance Logs and alerts service."
 
image
Pięknie. Powiem tylko tyle, że dość intensywne googlanie i różne eksperymenty nie przynosiły spodziewanych rezultatów… Trzeba jednak było w jakiś sposób wyciągnąć więcej informacji odnośnie powodów przez które serwisy nie wstawały (a konkretnie jeden). Przełomem okazała się ta komenda, włączająca logowanie tapi.
 
netsh ras set tracing tapisrv enable
 
Plik z logiem znajdziemy w %WINDIR%\Tracing\tapisrv.LOG. Po ponownej próbie uruchomienia "Telephony", zawartość pliku, choć bardzo uboga (dwie linijki), to jednak daje nam bardzo cenną wskazówkę:
 
[1028] 16:51:53:316: [ERROR] Failed to set security on the ini file
[1028] 16:51:53:316: [TRACE] ServiceMain: enter

 
Od tego momentu, do rozwiązania problemu upłynęło niecałe 5 minut.🙂 Wiemy, że plik. Wiemy, że ini.
Jak zwykle niezawodny okazał się File Monitor ze stajni Sysinternals.
Start Filemon, start "Telephony". Następnie przeszukanie wyniku (CTRL+F "ini" (bez cudzysłowia naturalnie). I oto naszym oczom ukazuje się: C:\WINDOWS\TAPI\tsec.ini ——- PATH NOT FOUND.
 
image
 
Szybka weryfikacja na maszynie wirtualnej potwierdziła obecność katalogu TAPI, a w nim pliku tsec.ini. Nie można jednak było tego samego powiedzieć o serwerze produkcyjnym.😉 Po przywróceniu katalogu i pliku, kolega mógł ponownie cieszyć się działającym serwerem VPN. Tajemnicą pozostaje jedynie sposób w jaki katalog zniknął (prawdopodobnie przyczynił się do tego któryś Hotfix).

3 comments so far

  1. Barbara on

    gratuluję świetnie przeprowadzonego śledztwa🙂

  2. dzialkowiec on

    kurde, skad ja to znam – nie orientujesz sie przypadkiem?🙂

  3. Dariusz on

    Mam strasznie słabą pamięć Tomku.😉


Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

%d bloggers like this: