none
Internet caindo, problema de DNS

    Question

  • Olá,

    Tenho um TMG que estava acessando normalmente. Ocorreu um problema em um dos servidores do AD, desliguei esse servidor e a internet caiu.

    Com o problema que tive no AD, o único jeito foi despromovê-lo e promovê-lo novamente para arrumar a replicação com um outro servidor que está perfeito.

    O problema de replicação parou dos Domain controlers parou.

    A internet acessa, mas só quando coloca um DNS externo na placa de rede interna do TMG, mas a conexão da VPN fica instável.

    Se deixo o DNS da placa interna apontada para meus Domain controlers, a internet cai depois de um tempo (aproximadamente 1h).

    Uma observação é que na hora que cai a internet, sobe um alerta no TMG de SYN ATACK e de conexões TCP excedidas de alguns usuários internos.

    Alguém pode me ajudar e saber o que acontece e o por que?

    Thursday, July 12, 2012 6:44 PM

Answers

  • Danilo

    Isso ocorre pq o AD esta sendo muito requisitado em consultas dns, o tmg interpreta como um ataque, e para o serviço do windows Firewall por 15 minutos.

    voce devera colocar uma exceção  do IP do seu AD, para que não seja interpretado como um ataque.

    qualquer duvida posta ai


    Júnior Ramos | MCSE | MCSA | MCTS Server 2008| MCTS R2, Server Virtualization | E-mail Consultoriaemredes@live.com |

    Monday, July 16, 2012 2:20 PM

All replies

  • Danilo

    Isso ocorre pq o AD esta sendo muito requisitado em consultas dns, o tmg interpreta como um ataque, e para o serviço do windows Firewall por 15 minutos.

    voce devera colocar uma exceção  do IP do seu AD, para que não seja interpretado como um ataque.

    qualquer duvida posta ai


    Júnior Ramos | MCSE | MCSA | MCTS Server 2008| MCTS R2, Server Virtualization | E-mail Consultoriaemredes@live.com |

    Monday, July 16, 2012 2:20 PM
  • Junior,

    Obrigado por responder, imaginei que era isso devido aos logs, mas é estranho que sempre funcionou com as configurações que estão aplicadas, só começou depois das ações que ocorreram mencionadas acima.

    Sabe dizer o por que?

    Coloquei a exceção e monitorarei hoje. 

    Posteriormente venho dar o feedback.

    Obrigado,


    Tuesday, July 17, 2012 4:48 PM
  • Danilo,

    Na minha ultima experiencia com esse tipo de problema, era um virus na rede que utilizava recursos da internet para se propagar, ou seja utilizava o DNS do meu ad para realizar as conexões, nesse momento que o TMG começou a identificar o uso demasiado da minha rede e negava os pacotes, sem dns voce não navega.

    Igual o seu caso, de um feedback caso resolvido ou não que te dou um help.


    Júnior Ramos | MCSE | MCSA | MCTS Server 2008| MCTS R2, Server Virtualization | E-mail Consultoriaemredes@live.com |

    Wednesday, July 18, 2012 1:14 PM
  • Junior,

    Coloquei os meus DCs na lista de excessões e mesmo assim o problema continua, fiz um teste e desabilitei o NIS e as opções do Behavioral Intrusion Detection e parou o problema, porém não posso deixar desabilitado.

    Como faço parar o problema?

    E aonde você achou esse vírus? nos DCs?

    Wednesday, July 18, 2012 4:34 PM
  • Danilo,

    Em behavioral Instrusion voce colocou o IP do seu DC como exceção?
    Quando gera log's no dashboard acusa outros IP's alem do seu DC?

    Primeiro passo tente identificar se tem mais IP's que estão sendo identificados com Instrusos.
    depois vá em cada IP, e verifique com um antivirus atualizado, se a maquina esta infectada, verifique tbem serviços etc..

    O virus que peguei estava no meu DC, e em mais 5 estações.


    Júnior Ramos | MCSE | MCSA | MCTS Server 2008| MCTS R2, Server Virtualization | E-mail Consultoriaemredes@live.com |

    Wednesday, July 18, 2012 5:14 PM
  • Em meus DCs não tem nada, acabei de rodar o full em ambos.

    Eles estão nas exceções do behavioral intrusion e NIS.

    Nos alertas não aparece o IP, somente o alerta de SYN ATACK.

    vou ficar de olho se alguma estação está infectada.

    Wednesday, July 18, 2012 6:22 PM
  • não gera um log de non-tcp sessions from one ip address limit exceeded ??

    Júnior Ramos | MCSE | MCSA | MCTS Server 2008| MCTS R2, Server Virtualization | E-mail Consultoriaemredes@live.com |

    Wednesday, July 18, 2012 6:54 PM
  • E se for um ataque externo? Como faço para solucionar esse problema?
    Tuesday, July 31, 2012 12:13 PM
  • Danilo,

    Primeiro voce tera de auditar suas soluções de segurança, como firewall do windows, Anti-virus e por sequencia o TMG.

    Como dito acima, no meu caso era um virus que utilizava minha banda para se replicar.
    Verifique os pontos citados e poste novamente.


    Júnior Ramos | MCSE | MCSA | MCTS Server 2008| MCTS R2, Server Virtualization | E-mail Consultoriaemredes@live.com |

    Tuesday, July 31, 2012 1:15 PM