none
Event ID 5501

    Dotaz

  • Ahoj, na Win Serveru 2000 SP4, který využívám jako sekundární jmenný server, se stále objevuje v logu varování (event id 5501) - The DNS Server encountered bad packet from <IP Address>. Packet processing leads beyond packet length. 

    V poli IP je adresa primárního jmeného serveru.

    Můžete mi poradit v čem je problém?

    8. srpna 2011 12:33

Odpovědi

  • MP: Doplneni: Je dost neobvykle mit u sebe na jednom subnetu oba verejne DNS servery. Lepsi varianta by mohla byt s primarnim DNS u sebe (DMZ)  a se sekundarnim DNS serverem u ISP. Pokud mate problem s managementem verejnych DNS serveru, pak je dobre mit oba DNS servery u providera na ruznych sitich.

    Ano, je to nestandartní. Oba servery jsou v datacentru u ISP ve stejném subnetu. Je v plánu upgrade systému a zároveň přesunutí do oddělené sítě.

     

    Další věcí, které jsem si všiml byla pomalá odezva systému na primárním NS. Byla nastavena automatická instalace aktualizací, které se před pár dny nainstalovaly. Aktualizace vyžadovaly restart serveru, ten ale proveden nebyl. Po restartu se odezva systému vrátila do původního stavu a začal fungoval i zone transfer z primárního na sekundární NS. Problém je tedy vyřešen.

    Děkuji všem zúčastněním za pomoc.

    12. srpna 2011 7:14

Všechny reakce

  • Problem a reseni jsou popsane zde http://support.microsoft.com/kb/330574

    Dalsi moznosti nastanou pokud mate na siti DNS server BIND nebo muze vzniknout chyba pri komunikaci s klientem. 

    Take na Technetu je vas pripad v seznamu chyb http://technet.microsoft.com/en-us/library/ee783616(WS.10).aspx

    Pod carou: Podpora Windows 2000 skoncila minuly rok v cervenci. Doporucuji vam migraci na novejsi operacni system. 


    8. srpna 2011 13:05
    Moderátor
  • Děkuji za reakci. Migrace na novější OS je v plánu, ale nyní potřebuji vyřešit tento problém. Hotfix uvedený v KB je použitelný pouze se service packem 3, nicméně jestli tomu rozumím, příčina je (dle KB) vytíženost primárního NS, který špatně ukončuje přenos zóny.

    Primární NS vytížen není. Také jsem si všiml, že neproběhla replikace nově založených DNS zón z primárního na sekundární NS (primární NS běží na Win Server 2003 x64 SP2).

    Předem díky za případné odpovědi.

    8. srpna 2011 18:21
  • To ale meni situaci. Proc neudavate vsechny dulezite udaje uz v prvnim dotazu? Chyba v konfiguraci AD, DNS ci v replikaci muze mit za nasledek nestandardni chovani.

    Jak jsou servery nakonfigurovane? Jak jsou rozdelene ulohy FSMO? Global Catalog?

    Spoustel jste adprep? (domain & forest)

    Nechal jste nativni 2000?

    Provedl jste po zmene konfigurace systemu replikaci? Probehla bez chyb?

    Jak jsou nakonfigurovane DNS? Kolik jich mate? Primarni, sekundarni, integrovane.... ?

    Zkuste si vynutit replikaci a pak jeste z prikazoveho radku spustte

    netdiag /fix /debug

    ipconfig /flushdns

    Log soubor netdiag.log vystavte a uverejnete link na vystaveny soubor.

     

     

    9. srpna 2011 8:57
    Moderátor
  • Trochu se v tom ztrácím. Pokusím se to ujasnit.

    Mám 2 DNS servery (oba v DMZ):

    Primary -  Win Server 2003 x64 SP2

    Secondary - Win Server 2000 SP4

    Úvodní dotaz směřoval k eventu 5501. Chtěl jsem se dopátrat, čím může být toto varování způsobené. Poté jsem si všiml, že neproběhl zone transfer u nově založených zón. Pokud vím, tak sekundární NS by měl pravidelně dotazovat primární NS, zda nejsou nějaké aktualizace zón a pokud ano, automaticky je stáhnout.

    Při zakládání zóny na primárním NS nastavuji, aby byl sekundární NS notifikován o nové zóně, ale ten o ni "neví".

    Pozn.: NEvyužívám replikaci zón v active directory.


    9. srpna 2011 10:47
  • Abych vam mohl dal rozumnou odpoved, potrebuji od vas relevantni data. A ty porad nechcete poradne uvest. Dva DNS mate v DMZ, to znamena, ze jsou na domenovych kontrolerech a ty jsou tim padem take v DMZ, nebo mluvite o samostatnych verejnych serverech DNS, ktere jsou v DMZ a domenove kontrolery jsou na privatni siti? Kde jsou pak zaznamy DNS nutne pro spravnou funkci active directory (RR)?

    Nezlobte se, ale co je tohle za nesmysl? "NEvyužívám replikaci zón v active directory." Jak vam muze fungovat AD? Pak se nedivte, ze mate chybu 5501, kdyz nemate spravne nakonfigurovanou sit.

    Zadal jsem vas o provedeni dvou prikazu a uvedeni logu. Zrejme jste ani jedno neudelal. 

     

    9. srpna 2011 11:41
    Moderátor
  • Dva DNS mate v DMZ, to znamena, ze jsou na domenovych kontrolerech a ty jsou tim padem take v DMZ, nebo mluvite o samostatnych verejnych serverech DNS, ktere jsou v DMZ a domenove kontrolery jsou na privatni siti?
    Jedná se o samostatné veřejné servery. Doménové kontrolery jsou na privátní síti.
    Kde jsou pak zaznamy DNS nutne pro spravnou funkci active directory (RR)?
    Na privátních DNS serverech.
    Nezlobte se, ale co je tohle za nesmysl? "NEvyužívám replikaci zón v active directory." Jak vam muze fungovat AD?
    Na veřejných DNS serverech není aktivní funkce AD Replication, na privátních DNS serverech ano.
    spustte netdiag /fix /debug ipconfig /flushdns Log soubor netdiag.log vystavte a uverejnete link na vystaveny soubor.
    Příkazy jsem spustil. Jakou část logu potřebujete vidět? Celý výpis zde vystavovat nebudu.
    9. srpna 2011 12:36
  • Takze jeste jednou, na jakem serveru jsou privatni DNS, na DC, nebo jsou na nejakem jinem serveru (napr Linux)? Jak jsou nakonfigurovane vnitrni DNS (DNS na lokalni siti.)?

    Vypis je zapotrebi zverejnit v te casti, kde je videt chyba. Pokud ji neumite najit, budete muset zverejnit cely vypis.

    Na vnitrni siti doufam ma kazdy pocitac v nastaveni site IP adresu DNS serveru, ktery je pouze na vnitrni siti.

    Doplneni: Je dost neobvykle mit u sebe na jednom subnetu oba verejne DNS servery. Lepsi varianta by mohla byt s primarnim DNS u sebe (DMZ)  a se sekundarnim DNS serverem u ISP. Pokud mate problem s managementem verejnych DNS serveru, pak je dobre mit oba DNS servery u providera na ruznych sitich.

     


    9. srpna 2011 12:59
    Moderátor
  • Co je na tom pro MP nejasneho?

    2 servery Windows, NEJSOU v Active Directory a slouzi jako DNS servery (primarni a sekundardni) pro internetove veci v DMZ. ZADNE AD, ZADNE DC. A maji replikacni problem pres standardni DNS zone transfer. Nic sloziteho. Nema to nic spolecneho s vnitrni siti, kde bezi jine DNS pro AD.

     

    Opravdu neni nejaky vysoky provoz na vase DNS? treba utok typu Ddos?

    Ja osobne bych zkusil dalsi "pokusny" (treba virtualni) Windows 2000 server nastavit jako dalsi sekundar proti W2003 primaru. pokud se bude chovat rozumne, pak DNS server na W2000 preinstalovat.

    Je to sice ponekud podivny zpusob, ale vzhledem ke stari systemu W2000 asi lepsi rada nabude.

    11. srpna 2011 8:15
  • MT: Je dobre se podivat na genezi komunikace. Z puvodniho dotazu nebylo mozne vytahnout rozumne informace, a tak se ptam, a kdyz nedostanu vycerpavajici odpoved, tak davam doplnkove dotazy smerujici k reseni problemu. Z odpovedi nebylo zrejme, zda neni nahodou chyba v provazani verejnych a privatnich serveru. 

    Analyza s network monitorem by mela dat odpoved na otazku, co se na siti deje, jak velky je provoz a zjistila by i pripadnou pritomnost nezadouciho provozu. Windows 2000 budou daleko vice zranitelne nez novejsi verze Windows Serveru, takze nejen stari a absence supportu je argumentem pro renovaci.

    Pokud je zonovy prenos povoleny z primarniho serveru na sekundarni, pak je mozne si vynutit aktualizaci manualne. Tim se prokaze, ze lze prenaset nastaveni na sekundarni DNS. Druha vec je, zda to je schopen sekundarni DNS udelat prenos samostatne a pripadne zjistit, co mu v tom brani. 

     

    11. srpna 2011 9:20
    Moderátor
  • MP: Jsem reagoval na odpoved ze 9. srpna 2011 12:59, kdy znovu pokladate jiz zodpovezene otazky. Crystalprofile to ve 12:36 naprosto pregnantne dovysvetlil. Kladete dalsi dotazy na temata, ktera s danou problematikou nesouviseji (AD, vnitrni DNS, DC na lokalni sit apod.) 

    Proto jsem si dovolil se zeptat, co je stale nejasne, protoze z meho pohledu byla sitace jasna uz z odpovedi Crystalprofile z 9. srpna 2011 10:47

    Chapu a vidim, ze dokopat Crystalprofile popsat situaci podrobne vas stalo usili :) 


    11. srpna 2011 9:57
  • Nekdy to opravdu stoji velke usili se dobrat k relevantni informaci. Mne slo o to, zda neni spatne provazana vnitrni a externi struktura DNS. To by mohlo byt zdrojem problemu. Jinak mam stejnou snahu jako Vy, aby vse konvergovalo k reseni pokud mozno rychle :-)
    11. srpna 2011 10:37
    Moderátor
  • MP: Doplneni: Je dost neobvykle mit u sebe na jednom subnetu oba verejne DNS servery. Lepsi varianta by mohla byt s primarnim DNS u sebe (DMZ)  a se sekundarnim DNS serverem u ISP. Pokud mate problem s managementem verejnych DNS serveru, pak je dobre mit oba DNS servery u providera na ruznych sitich.

    Ano, je to nestandartní. Oba servery jsou v datacentru u ISP ve stejném subnetu. Je v plánu upgrade systému a zároveň přesunutí do oddělené sítě.

     

    Další věcí, které jsem si všiml byla pomalá odezva systému na primárním NS. Byla nastavena automatická instalace aktualizací, které se před pár dny nainstalovaly. Aktualizace vyžadovaly restart serveru, ten ale proveden nebyl. Po restartu se odezva systému vrátila do původního stavu a začal fungoval i zone transfer z primárního na sekundární NS. Problém je tedy vyřešen.

    Děkuji všem zúčastněním za pomoc.

    12. srpna 2011 7:14