none
Отключается служба Computer Browser на контроллерах домена RRS feed

  • Вопрос

  • Добрый день!

    Есть домен, в нем два контроллера DC1 и DC2, на  DC1 все роли + DHCP.
    За последние сутки с периодичностью в 1-2 часа на обоих контроллерах падает служба  Computer Browser, причем почти одновременно.
    На сколько я понимаю это происходит в момент репликации, может и нет.
    после этого блокируются некоторые учетки на контроллере DC2, если стартовать службу Computer Browser и разблокировать учетки, то все работает нормально до следующего сбоя.

    Подскажите пожалуйста, как решить эту проблему, может кто нибудь сталкивался.
    В логах только ошибки связанные с падением этой службы. 
    апчи!!!
    26 августа 2009 г. 8:26

Ответы


  • Очень похоже, что у Вас в сети Conficker завелся! Срочно лечиться!



    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)

    • Изменено Dmitry PonomarevEditor 26 августа 2009 г. 8:45
    • Помечено в качестве ответа mleck 27 августа 2009 г. 10:57
    26 августа 2009 г. 8:43
    Отвечающий

Все ответы

  • Как именно служба "падает" - переходит в состояние "остановлено" или завершается с ошибкой?..


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    26 августа 2009 г. 8:36
    Отвечающий
  • переходит в состояние остановлено.
    апчи!!!
    26 августа 2009 г. 8:39

  • Очень похоже, что у Вас в сети Conficker завелся! Срочно лечиться!



    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)

    • Изменено Dmitry PonomarevEditor 26 августа 2009 г. 8:45
    • Помечено в качестве ответа mleck 27 августа 2009 г. 10:57
    26 августа 2009 г. 8:43
    Отвечающий
  • проверял контроллеры на вирусы, все чисто, подскажите пожалуйста как его выявить.
    апчи!!!
    26 августа 2009 г. 8:52
  • Какие события регистрируются в журналах ?

    26 августа 2009 г. 9:20
  • Тип события:	Ошибка
    Источник события:	Userenv
    Категория события:	Отсутствует
    Код события:	1030
    Дата:		25.08.2009
    Время:		21:22:17
    Пользователь:		NT AUTHORITY\SYSTEM
    Компьютер:	DC
    Описание:
    Windows cannot query for the list of Group Policy objects. Check the event log for possible messages previously logged by the policy engine that describes the reason for this.
    
    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
    


    Тип события:	Ошибка
    Источник события:	Userenv
    Категория события:	Отсутствует
    Код события:	1058
    Дата:		25.08.2009
    Время:		21:22:17
    Пользователь:		NT AUTHORITY\SYSTEM
    Компьютер:	DC
    Описание:
    Windows cannot access the file gpt.ini for GPO CN={57827D9B-6778-4796-89FC-0D896D19F272},CN=Policies,CN=System,DC=mikh-partn,DC=ru. The file must be present at the location <\\mikh-partn.ru\SysVol\mikh-partn.ru\Policies\{57827D9B-6778-4796-89FC-0D896D19F272}\gpt.ini>. (Configuration information could not be read from the domain controller, either because the machine is unavailable, or access has been denied. ). Group Policy processing aborted. 
    
    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
    


    Но они думаю появляются после остановки службы
    апчи!!!
    26 августа 2009 г. 9:26
  • Какие меры безопасности и  защиты от вирусов вы предпринимаете?
    26 августа 2009 г. 9:38
    Отвечающий
  • Используем Symantec Endpoint Protection, обновляется каждый день, под локальными админа очень мало пользователей сидит. Отключена автозагрузка с носителей в глобальных политиках. Установлены все обновления безопасности, кроме некоторых, сейчас этим занимаюсь.
    апчи!!!
    26 августа 2009 г. 9:43
  • Это точно  все события регистрируемые в журналах ?
    Факт падения службы должен быть зарегистрирован, что там написано ?

    26 августа 2009 г. 9:45

  • Смотреть нужно не только контроллеры и серверы, но и рабочие станции. Именно они, как правило, и являются основными силами эпидемии Conficker.
    У Вас происходит lockout учеток и служба Computer Browser останавливается - это симптомы действия Conficker в сети.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    26 августа 2009 г. 9:46
    Отвечающий
  • То есть,
    а) существуют пользователи с административными привилегиями, но не являющиеся администраторами
    б) не установлены обновления безопасности
    в) применены ли Software Restriction Policies? тоже вряд ли

    Наличие симантеков на защиту от вирусов влияет незначительно, это всё перечёркивается сразу же наличием административных привилегий.

    Итого, вероятность вирусного поражения весьма велика. А симптомы выдают Конфикера!

    26 августа 2009 г. 9:52
    Отвечающий
  • Спасибо!
    Буду проверять.
    апчи!!!
    26 августа 2009 г. 9:52