Bents Blog

 

Ein IT Blog mit Themen aus dem Windows Server Umfeld.

Forefront TMG 2010: Ein Nicht-SYN-Paket wurde verworfen, 0xc0040017

In der vergangenen Woche habe ich einige Tests mit dem Failovercluster-Feature von Windows Server 2012 durchgeführt. Unter anderem interessierte mich die neue Funktion Clusterfähiges Aktualisieren – also automatisierte Windows Updates für die Knoten eines Clusters.

Problem

Nach der initialen Konfiguration des Features CAU (Cluster-Aware Updating) führte ich die erste Update-Installation mit Hilfe des Assistenten durch. Nach kurzer Wartezeit erhielt ich jedoch den folgenden Fehler:

Dabei ist der folgende Abschnitt interessant, welcher auch im Ereignisprotokoll des Clusterknotens, auf dem die Update-Routine gestartet wurde, als Fehler auftauchte (Quelle: ClusterAwareUpdating, Event-ID: 2002):

Fehler: WU_E_PT_HTTP_STATUS_REQUEST_TIMEOUT ==> (CimException) FAILED HRESULT 0x8024401c —> Microsoft.ClusterAwareUpdating.ClusterUpdateException: Fehler in einem CIM-Vorgang (Common Information Model), d. h. einem Vorgang, der von Software ausgeführt wurde, von der das clusterfähige Aktualisieren abhängt.

Ursache

Es kostete mich einige Zeit, bevor ich herausfand, dass unsere Firewall als Ursache für das Problem in Frage kam. Zuvor hatte ich irrtümlich nach einer falschen Proxy-Konfiguration gesucht.

Auf der Firewall, einem Microsoft Forefront TMG 2010 Server, erhielt ich über die Protokollierung dann die entscheidenden Hinweise auf das eigentliche Problem.

Da sich der Cluster in einem anderen Netzwerk als unser – durch Gruppenrichtlinien konfigurierter – WSUS-Server (Windows Server Updates Services) befand, wurden demnach alle Pakete über die Firewall geroutet. Und hier erhielt ich bei jedem Verbindungsversuchs des Clusterknotens mit dem entfernten WSUS-Server folgende Meldungen:

Nach dem Senden eines RST-Pakets durch einen Peer erfolgte ein Verbindungsabbruch. (0x80074e21 FWX_E_ABORTIVE_SHUTDOWN) Ein Nicht-SYN-Paket wurde verworfen, weil es von einer Quelle gesendet wurde, die über keine vorhandene Verbindung mit dem Forefront TMG-Computer verfügt. (0xc0040017 FWX_TCP_NOT_SYN_PACKET_DROPPED)

Somit trennte die Firewall die Verbindung zum WSUS-Server.

Lösung

Nach einiger Suche im Internet konnte ich die tatsächliche Fehlerquelle schnell eingrenzen. Die Netzwerkkarten der beiden Clusterknoten (Hewlett Packard DL360) tragen die Bezeichnung HP NC373i Multifunction Gigabit Server Adapter und stammen ursprünglich vom Hersteller Broadcom. Leider sind die Karten dieses Herstellers eine häufige Fehlerquelle, wenn es um diverse Netzwerkprobleme geht.

Und so auch hier. Da die aktuellsten Netzwerktreiber und Firmware-Stände vorhanden waren, blieb nur noch eine Lösung. Nachdem ich auf beiden Clusterknoten auf den entsprechenden Adaptern die Funktionen

  • TCP Chimney Offload
  • Receive-Side Scaling

deaktiviert hatte, startete ich erneut die Ausführung der Cluster-Updates über das PowerShell-Kommando:

Set-CauClusterRole -ClusterName cluster-w2k12 -UpdateNow -Force

Daraufhin wurden alle Updates ohne Probleme installiert.

 Auch auf der Firewall tauchten im Anschluss keinerlei Fehlermeldungen im Protokoll der Verbindungen mehr auf.

Fazit

Wie so oft – kleine Änderungen erzielen oftmals große Wirkung. Für mich folgt als Erkenntnis, dass die On-Board-Adapter des Herstellers Broadcom mit Vorsicht zu genießen sind – zumindest bei den älteren Modellen.

Für Verbesserungsvorschläge, Kritik oder Fragen bin ich immer offen und freue mich über jederzeit über einen Kommentar.

Einen Blog am Leben zu erhalten kostet Zeit und Geld. Da ich auf meiner Seite weder Werbung einbinde, noch andersweitige Zuwendungen erhalte, freue ich mich über jede kleine Spende. Einfach und unkompliziert geht das über PayPalMe. Du unterstützt damit diesen Blog. Vielen Dank.