none
Проблемы с dns (dcdiag), глючит контроллер домена RRS feed

  • Вопрос

  • Добрый день!

    Похожие темы были, каюсь. Но не отыскал правильных шагов по решению. Помогите советом и подсказкой в какую сторону смотреть...

    В Новый год сервер КД подвергся атаке вируса-шифровальщика. Из логов видно было что ломали пароль с 1 по 9 января. 10 января пароль взломали, запустили шифровальщика.

    С того времени пошли "глюки", КД самопроизвольно зависает, прекращает доступ по rdp и на общие папки.

    При перезагрузке очень долго происходит применение параметров компьютера - порой до 20 минут. Как временный способ - отключение питания роутера, и включение - тогда минут за 5 система загружается.

    Результат dcdiag:

    [spoiler]

    C:\Users\Администратор>dcdiag /q
             Хотя DNS-имя на основе GUID
             (0828bf18-9dab-414c-96b9-0dcae22af972._msdcs.apteka_kb.local)
             разрешено в IP-адрес (88.150.135.234), для проверки связи недоступный,
             имя сервера (APTEKA.apteka_kb.local) разрешено в IP-адрес (::1),
             доступный для проверки связи.  Убедитесь, что IP-адрес на DNS-сервере
             зарегистрирован правильно.
             Получена ошибка при проверке подключения LDAP и RPC. Проверьте
             параметры брандмауэра.
             ......................... APTEKA - не пройдена проверка Connectivity

    [/spoiler]

    Результат ipconfig /all

    [spoiler]

    C:\Users\Администратор>ipconfig /all

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : APTEKA
       Основной DNS-суффикс  . . . . . . : apteka_kb.local
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Да
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : apteka_kb.local
                                           apteka_kb

    Ethernet adapter Подключение по локальной сети:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : TeamViewer VPN Adapter
       Физический адрес. . . . . . . . . : 00-FF-78-72-C8-41
       DHCP включен. . . . . . . . . . . : Да
       Автонастройка включена. . . . . . : Да

    Ethernet adapter Internet:

       DNS-суффикс подключения . . . . . : apteka_kb
       Описание. . . . . . . . . . . . . : DGE-560T Gigabit PCI Express Ethernet Ada
    pter.
       Физический адрес. . . . . . . . . : D8-FE-E3-A8-5E-A7
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.2.2(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.2.1
       DNS-серверы. . . . . . . . . . . : 192.168.2.1
       NetBios через TCP/IP. . . . . . . . : Включен

    Ethernet adapter Local:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
       Физический адрес. . . . . . . . . : 74-D4-35-43-07-75
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.10.1(Основной)
       Маска подсети . . . . . . . . . . : 255.255.0.0
       Основной шлюз. . . . . . . . . :
       Основной WINS-сервер. . . . . . . : 192.168.10.1
       NetBios через TCP/IP. . . . . . . . : Включен

    Туннельный адаптер isatap.{5C8AF9DA-AEC5-4F28-A4FD-4B88A818A820}:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер isatap.{AC6F76E0-64ED-4779-BB5B-95A3A930F71B}:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . : apteka_kb
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер Teredo Tunneling Pseudo-Interface:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер isatap.{7872C841-A574-4F1F-85C7-01BD470BCE12}:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #3
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    [/spoiler]

    Вижу что ip не моей сети присутствует... А где он прописался - не могу разобраться

    17 апреля 2017 г. 9:51

Все ответы

  • Ethernet adapter Internet: Удалить отсюда dns-сервер
    Ethernet adapter Local: установить dns-сервер 127.0.0.1

    MCSAnykey

    17 апреля 2017 г. 10:11
  • Вы начинаете не с того. Раз DC был компрометирован, необходимо постараться от него избавиться. Для этого надо поднять дополнительный DC, перенести на него роли FSMO и поменять IP DNS сервера в настройках клиента. После этого он проблемного контроллера домена избавиться и поменять все пароли на случай, если они были скомпроментированы.

    По выводу ipconfig видно, что у вас некорректно настроен DNS:

     DNS-серверы. . . . . . . . . . . : 192.168.2.1

    Тут должен быть 127.0.0.1. А вот уже в настройках сервера DNS необходимо указать, куда отправлять рекурсивные запросы (например, на 192.168.2.1).

    17 апреля 2017 г. 10:13
  • Вижу что ip не моей сети присутствует... А где он прописался - не могу разобраться

    Команда dcdiag /test:DNS это, скорее всего, покажет. И вообще проверит настройку DNS.

    Но это пока чисто для информации. Потому что присоединяюсь к рекомендации предыдущих отвечавших сначала убрать или поменять на 127.0.0.1 адрес сервера DNS для подключения Internet. Возможно, после этого заданный выше вопрос вас заботить не будет - сам собой разрешится.

    PS Все самопроизвольные зависания и пр. - это не от ошибки DNS, это что-то другое. Так что переустановка после вирусной атаки рекомендуется правильно.


    Слава России!


    • Изменено M.V.V. _ 17 апреля 2017 г. 10:42
    17 апреля 2017 г. 10:42
  • Спасибо за ответы. Перелопатил массу литературы, кажется нашел то что нужно. Ближе к выходным буду поднимать резервный КД и переносить на него роли.

    Если позволите, буду просить совета в этой ветке.

    21 апреля 2017 г. 4:46
  • Диагностика сервера каталогов


    Выполнение начальной настройки:

       Выполняется попытка поиска основного сервера...

       Основной сервер = APTEKA

       * Идентифицирован лес AD.
       Сбор начальных данных завершен.


    Выполнение обязательных начальных проверок


       Сервер проверки: Default-First-Site-Name\APTEKA

          Запуск проверки: Connectivity

             ......................... APTEKA - пройдена проверка Connectivity



    Выполнение основных проверок


       Сервер проверки: Default-First-Site-Name\APTEKA


          Запуск проверки: DNS



             Проверки DNS выполняются без зависания. Подождите несколько минут...

             ......................... APTEKA - пройдена проверка DNS


       Выполнение проверок разделов на: ForestDnsZones


       Выполнение проверок разделов на: DomainDnsZones


       Выполнение проверок разделов на: Schema


       Выполнение проверок разделов на: Configuration


       Выполнение проверок разделов на: apteka_kb


       Выполнение проверок предприятия на: apteka_kb.local

          Запуск проверки: DNS

             Результаты проверки контроллеров домена:


                Контроллер домена: APTEKA.apteka_kb.local

                Домен: apteka_kb.local




                  TEST: Records registration (RReg)
                      Сетевой адаптер

                      [00000007] Realtek PCIe GBE Family Controller:

                         Внимание!
                         Отсутствует запись A на DNS-сервере 192.168.10.1:
                         gc._msdcs.apteka_kb.local

                   Внимание! Не удается найти регистрации записей для некоторых

                   сетевых адаптеров


                   APTEKA                       PASS PASS PASS PASS PASS WARN n/a  
             ......................... apteka_kb.local - пройдена проверка DNS

    Поправил интерфейсы. Вот это предупреждение выделенное - 192.168.10.1 (это адрес КД внутри сети), в gc._msdcs.apteka_kb.local присутствует только одна запись А 192.168.2.2 (это интерфейс внешней сетевой на роутер)

                                                                                                                 
    21 апреля 2017 г. 5:21
  • По возможности нужно избавляться от контроллеров домена с кучей сетевых интерфейсов, это не самое лучшее и не рекомендуемое решение. Интерфейс должен быть один и смотреть в локальную сеть.
    Например, https://support.microsoft.com/ru-ru/help/272294/active-directory-communication-fails-on-multihomed-domain-controllers

    MCSAnykey



    21 апреля 2017 г. 5:25
  • Имеет смысл отключить использование Teredo и isatap? - как я понимаю, они для связи ip6 и ip4.
    21 апреля 2017 г. 5:39
  • Teredo по умолчанию и так должен быть выключен.

    ISATAP реально активируется при нахождении маршрутизатора ISATAP (после ручной настройки или через DNS, что по умолчанию блокировано уже на сервере DNS).

    Короче, обычно эти протоколу не мешают, т.к. их псевдоинтерфейсы не получают IP.


    Слава России!

    21 апреля 2017 г. 11:02
  • Уважаемые форумчане! Пробовал поискать информацию насчет минимизации интерфейсов на КД... везде наталкиваюсь на конфигурацию с 2-мя сетевыми картами, 1 в локалку, 2 в интернет....  Уважаемый .as рекомендовал использовать только один интерфейс. Я правильно понимаю - раздавать интернет должна "железяка" D-Link DIR-300, а на КД нужно поднять DNS и настроить пересылку на роутер... И использовать для этих целей только одну сетевую карту?
    21 апреля 2017 г. 20:36
  • Если интерфейс на КД не один, то

    1. нужно, чтобы  ни на одном интерфейсе не были в качестве серверов DNS настроены серверы, ничего не знающие про домен (обычно этим грешит интерфейс в Интернет, где системный администратор осталяет автоматически настраеваемые адреса серверов DNS или вручную указывает серверы DNS провайдера);

    2. крайне желательно (а если КД не является шлюзом по умолчанию для клиентов, то необходимо) чтобы адрес интерфейса, смотрящего в Интернет, не был зарегистрирован в DNS для имени КД (запись типа A); и для этого недостаточно снять галку "регистрировать это подключение" в свойствах интерфейса, нужна ещё и дополнительная настройка сервера DNS на КД (он тоже может регистрировать  записи типа A для имени КД) - проще всего в его свойствах указать, чтобы он не прослушивал этот адрес.

    PS По п.2 есть статья в MS KB (кстати, ссылку на неё вам уже тут дали).


    Слава России!

    21 апреля 2017 г. 23:50