We all know it is good practice to keep regular Forefront TMG configuration backups as they help you recover your deployment quickly and accurately in case of a failure or miss configuration.  There is however a scenario where these backups cannot be restored to bail you out.  When Forefront TMG has a corrupt configuration database, the backup and restore mechanism itself is broken and as such you need to fix this first before you can recover from backup.

Symptoms of a Corrupt Configuration

In the cases of corrupt configuration that I have seen, Forefront TMG generally keeps working as per normal, but you do not have any ability to change anything. Another symptom you may notice is an empty Firewall policy screen.

In Monitoring | Configuration, you may also see an error about not having synchronized since 1999/11/30.

Under Monitoring | Alerts and in the Windows event logs (Application log), you may also see the following errors:

Level: Error
Event ID:  21209
Source: Microsoft Forefront TMG Control
Description:  The Forefront TMG configuration agent was unable to upload the configuration to the forefornt TMG services. This could be due to a corrupt configuration.  The Forefront TMG configuration agent is reverting the configuration back to the last known configuration.

 

Level: Error
Event ID: 14016
Source: Microsoft Forefront TMG Firewall
Description:  Forefront TMG failed to load the firewall policy configuration

 

Level: Error
Event ID: 21177
Source: Microsoft Forefront TMG Web Proxy
Description:  The <service> failed to reload its configuration.  If you recently applied changes to the configuration, verify that these changes are configured properly.

You may also get pop up warnings when selecting the different screens in the TMG Management Console, or if you are attempting to restore from a backup.

So what is broken?

Forefront TMG stores it configuration in an Active Directory Lightweight Directory Services (AD-LDS) database.  AD-LDS and its predecessor ADAM provides a directory very similar to Active Directory.  This database is a file located on the TMG server and there are also registry references to the directory.

From past experience it is usually a single entity that has become corrupt. Imagine a rule that was created and then deleted but the entry was not successfully purged from AD-LDS.  This causes a conflict that prevents the configuration database from being loaded.

Recovery Steps

Step 1 – Decide on course of action

The procedure that follows involves editing the registry and manually editing the AD-LDS database.  This should not be done unless all the actions are understood and the risk of further damage has been negated. Know that you are proceeding at your own risk.  It is also strongly advised that once the config is loading up, to restore from a last known good backup.

The alternative is to rebuild from scratch, then import an existing backup.

Step 2 – Backup exiting registry keys and database

Since we will be manually scratching around in the registry it is a good idea to export the following keys and sub keys before you start.

HKEY_LOCAL_MACHINEIsaStg_Eff1Policy
HKEY_LOCAL_MACHINEIsaStg_Eff2Policy

Next, create a copy of the existing AD-LDS database.

  • To do this you will first need to stop the ISASTGCTRL service.
  • Then copy the adamntds.dit file from C:Program Files\Microsoft Forefront Threat Management Gateway\ADAMData
  • Start the service again.

 Step 3 – Provoke an error pop up message

In one instance the following error would occur every time I selected the firewall policy. In another instance I had to attempt make a change to the array properties before the error would occur.

You should see an error similar to this:

The key here is to look for the faulty object.  Make a note of the “object“, “class” and “scope” as you will need these later on.

Step 4 – Look up the object GUID

Open regedit and browse to HKEY_LOCAL_MACHINEIsaStg_Eff1Policy.  Now Find the “object” name from the error message above.

The object would be the value of the MSFPCname key (SSTP Publishing from our screen shot)

The object GUID is the parent key eg. {0298BBEA-4E05-427C-BFE5-D9079CFA25AE} from

HKEY_LOCAL_MACHINEIsaStg_Eff1PolicyPolicyRules{0298BBEA-4E05-427C-BFE5-D9079CFA25AE}

 

Step 5 – Connect to the AD-LDS with ADSI edit

Go to Administrative Tools | ADSI Edit (adsiedit.msc)

Connect with the following settings

  • Name: TMG
  • Connection Point: CN=FPC2
  • Computer: localhost:2171

Browse down the directory till you find the GUID

Typically this would be under  CN=PolicyRules,CN=ArrayPolicy,CN={the array GUI},CN=Arrays,CN=Array-Root,CN=FPC2

Compared to the other object you may see that this one is empty.

Step 6 – Clear the corrupt entries

Delete the policy object in ADSI Edit (CN={GUID}

Delete the GUID key entry from the registry using Regedit.

Search for the GUID value again just ensure that all copies are removed.

 

Step 7 – Restart and check

It is possible to restart the individual services, but a full reboot is recommended.

If you have the same symptoms, check the alert detail and see if the object is the same or a different one. Repeat the process for the new object.

If everything is working again, take the time to restore your last backup and overwrite the existing configuration.

 

Conclusion

It is possible to manually edit the Forefront TMG configuration, but it is only as a last resort short of rebuilding.  The best advice is still to create and store regular backups. For more information on this, see my previous article – Forefront TMG Configuration Backup Scripts For Standalone and Enterprise Arrays

TMG 설정 충돌나게 저장했다가 멘붕이 왔던 오늘이였습니다.  거기 거 최모이사님? 모르는거 좀 만지지좀 말지? ㅋㅋㅋㅋ
역시나 구글신은 이러한 사항을 검색해 주더랍니다.

2014/10/31 01:14 2014/10/31 01:14
술이 이 작성.
TAGS

NAT Service

2014/10/16 22:48 / Life Story

제 1 조 (목적 등) 
(1) 이 약관은 (이하 '서비스제공자')케이그리드에서 제공하는 그리드딜리버리서비스(이하 '서비스')의 사용에 관하여 모든 서비스의 이용 조건 및 절차에 관한 사항과 기타 필요한 사항을 규정함을 목적으로 합니다.
 
제 2 조 (서비스 약관의 효력 및 변경) 
(1) 이 '서비스'의 이용자(이하 '이용자')는 본 서비스 약관을 주의깊게 읽어야 하며, '이용자'는 서비스 약관의 '동의' 버튼을 누름으로써 이 약관에 동의한 것으로 간주됩니다.
(2) 이 약관은 서비스 화면을 통해 공시함으로써 효력을 발생하며, 합리적인 사유가 발생할 경우 관련 법령에 위배되지 않는 범위 안에서 개정될 수 있습니다. 개정된 약관은 서비스 화면에 공지함으로써 효력을 발휘합니다.
(3) 이 약관에 명시되지 않은 사항은 전기통신기본법, 전기통신사업법, 기타 관련 법령의 규정 및 상관습과 '서비스제공자'의 서비스 운영 정책에 따릅니다.

제 3 조 (서비스의 사용권 부여) 
(1) 이 약관에 의하여 '서비스제공자'는 '서비스' 제공에 필요한 소프트웨어와 관련 자료에 대한 양도 불가능한 비독점적인 사용권을 이 약관의 조건에 따라 '이용자'에게 부여합니다.
(2) 이 약관이 명시적으로 부여하지 않은 모든 권리는 '서비스제공자'에게 전적으로 유보되어 있습니다.

제 4 조 (용어의 정의) 
(1) 본 약관에서 사용하는 용어의 정의는 다음과 같습니다 .
(2) 서비스제공자 : "케이그리드" 서비스 제공 회사
(3) 이용자: '서비스제공자'의 서비스 이용에 관한 동의한자.
(4) 서비스 : 케이그리드 딜리버리 서비스
 
제 5 조 (약관의 명시와 개정) 
(1) 이 약관은 서비스 화면을 통해 공지하거나 기타의 방법으로 '이용자'에게 공지함으로써 효력을 발생합니다.
(2) '서비스제공자'는 영업상 필요 또는 기타 사정 변경으로 인하여 약관을 변경해야 할 상당한 이유가 있는 경우 그 약관을 변경할 수 있으며, 약관을 변경할 경우에는 지체 없이 이를 공시하여야 하고,
    변경된 약관은 공시함으로써 효력을 발생합니다. '이용자'는 변경된 약관에 동의하지 않을 권리가 있으며, 변경된 약관에 동의하지 않을 경우 '서비스' 이용이 중단될 수 있습니다.
    다만, '이용자'가 '서비스제공자'에 대하여 거부의 의사표시를 하지 않는 경우 '이용자'는 변경된 약관에 동의한 것으로 간주됩니다.
(3) 새로운 서비스가 출시될 경우 그 서비스는 별도의 명시된 설명이 없는 한, 이 약관에 따라 제공됩니다.

제 6 조 (서비스의 내용) 
(1)  "서비스제공자"는 회원에게 빠르고, 안정적인 서비스를 제공하기 위해 이용자 PC의 저장공간이나 리소스를 활용하여
다른 이용자에게 데이터를 전송하는 그리드 딜리버리(Grid Delivery) 나 멀티 캐스팅(Multicasting) 등의
기술을 적용할 수 있습니다.
(2) "서비스제공자"는 회원에게 고품질의 다운로드 서비스를 제공하기 위해 nat Service라는 소프트웨어(이하 "본 소프트웨어")를
설치하며, 이를 통해 이용자의 자원을 제한적으로 활용하여 그리드 딜리버리 기술을 위한 목적으로 사용 할 수 있습니다.
(3) 본 소프트웨어는 다운로드 속도 향상을 위한 목적으로만 사용되며, 다른 상업적인 용도로 사용되지 않습니다.
(4) 본 소프트웨어는 소프트웨어 설치 및 자동 업데이트를 제외하고 이용자의 PC의 저장 공간을 임의로 사용하지 않습니다.

제 7 조 (서비스 이용 및 제한) 
(1) '서비스' 이용은 '서비스제공자' 의 업무상 또는 기술상 특별한 사정이 없는 한 연중무휴, 1일 24시간을 원칙으로 합니다.
(2) 전항의 '서비스' 이용시간은 시스템 정기및긴급점검 등 '서비스제공자' 가 필요에 의하여 서비스가 제한될 수 있습니다. 
 
제 8 조 ('서비스제공자'의 의무) 
(1) '서비스제공자'는 특별한 사정이 없는 한 '이용자'가 신청한 '서비스' 제공 개시일에 '서비스'를 이용할 수 있도록 합니다.
(2) '서비스제공자'는 이 약관에서 정한 바에 따라 계속적, 안정적으로 '서비스'를 제공할 의무가 있습니다.

제 9 조 (준거법) 
이 약관은 대한민국의 법률에 의하여 규율 됩니다.


시행일 본 약관은 2009년 10월 1일부로 시행합니다.

"사용자
컴퓨터 고장의 원인이며 네트워크 다운의 주 범인입니다. 그리드 방식이라 예전의 P2P보다 더 무서운 서비스입니다. 속도좀 빠르게 한답시고 UDP프로토콜을 사용합니다. 그것도 멀티캐스트로 쏴버리는데 어떤 네트워크가 안뻗는다는 말입니까...

난 저 그리드 다운로드에 서명한적 없다네 씨발롬들...

우리나라 웹하드 99프로가 저런 악성 다운로드 사이트입니다. 공짜쿠폰은 일종의 미끼이며 자동으로 그리드가 깔리게 해놓구는 서버의 트래픽을 일으키지 않고 엔드유저단에 트래픽으로 패킷장사를 합니다. 즉 저들은 위반했으며 사기질을 한겁니다. 상업용도로 사용안한다고는 하지만 실제 패킷을 장사하는 놈들입니다.

이런 웹하드를 왜 사용하면 안되냐면 모 회사에서 네트워크 다운으로 전산 장애가 발생하여 6억의 손실을 안겨주었습니다. 그래서 손해배상 청구한다고 하여 담당직원 6명은 이유도 모르고 회사에서 짤렸습니다. 그들중 한사람은 출근한지 2일만에 짤렸다는겁니다. 이런 그리드 다운로드 문제로 네트워크망이 장애가 생긴거지만 오히려 바이러스 문제로 몰고가서 보고서 올라가고 당사자들은 보내버리고...

아무튼 뭐 이렇습니다. 웹하드의 쓰레기짓 만행은 일반 사용자들도 알아야 되는데 자신의 PC가 왜 고장나고 열받고 잘 다운되고 전기요금도 많이 나오는지는 다 이런데서 나오는겁니다.

2014/10/16 22:48 2014/10/16 22:48
술이 이 작성.

Hyper-V 2012 SMB 파일 공유를 이용한 스토리지 구성과 노드 이동 마이그레이션을 하기위한 구성 방법입니다.

2014/09/03 09:53 2014/09/03 09:53
술이 이 작성.
TAGS ,

« Prev : 1 : 2 : 3 : 4 : 5 : ... 201 : Next »