none
Странные сетевые проблемы в Windows Server 2012 RRS feed

  • Общие обсуждения

  • Имеется зоопарк серверов HP DL380 G5, G6, DL580 G7 - всего 4 штуки

    Из трех собран кластер, один стоит отдельно. Периодически возникает такая проблема:

    Какие-то из двух хостов перестают видеть друг-друга, по ощущениям как будто ограничивается какой-то протокол - возможно целиком ТСР. Как правило пинг в такой ситуации присутствует, но нельзя зацепиться какой-нибудь консолью управления или зайти на административную шару. Поведение хостов при этом не зеркально, т.е. с одного хоста консоль Computer Management совсем не заходит, а с другого цепляется, но нет некоторых Snap-In, чаще всего Event View. Попытки восстановить соединение без перезагрузки не приводят к успеху. После перезагрузки все восстанавливается на неопределенный срок, как правило около недели, может дольше. Далее в случайном порядке это может произойти с другой парой хостов.

    Методом проб и ошибок выяснил, что как правило в таком поведении виноват один из хостов, какой из двух заранее не известно. Если повезет перегрузишь проблемный и все заработает.

    Антивирус исключил, от железа не зависит, драйвера стоят последние - от них тоже зависимости не обнаружено.

    Так же был выключен ChecksumOffload на сетевых адаптерах, субъективно стало пореже проявляться. 

    Так же было замечено, что чаще это происходит на хостах и сетевых интерфейсах на которых наибольшая нагрузка.

    Может быть у кого-то есть мысли где искать корень проблемы?

    Важное дополнение: выясняется, что поведение на проблемном хосте меняется в зависимости от того применяется ли имя сервера или его IP. Например на административную шару можно зайти с помощью IP, но по имени не получается. При этом nslookup все прекрасно выдает, а ipconfig /flushdns не помогает. Если использовать IP вместо имении для соединения консолью Computer management, то консоль цепляется, при этом с противоположного (непроблемного) хоста вообще никаких изменений - не работает при использовании имени или IP.

Все ответы

  • Если на ресурсы получается зайти по IP, а по имени не разрешает. Т это скорее всего проблемы с Kerberos в сети. Смотрите журналы безопасности на наличие соответствующих ошибок. Не забудьте включить расширенное логирование Kerberos на серверах и контроллерах домена.


    MCP,MCTS
    Если вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"


    • Изменено Aleksey Medvedovskiy 27 мая 2013 г. 6:30 важное добавление про контроллеры
  • Думаю если бы это был керберос, то небыло бы таймаута около 5 минут. Приложение с которого предпринимается попытка доступа зависает минут на 5-ть и затем отваливается так как если бы небыло связи.  Единственно происходит это по времени значительно дольше.

    Да, отказов доступа в журнале не замечено, в ближайшее время включу расширенное логирование и посмотрю еще

    • Изменено ToIIIa 27 мая 2013 г. 7:48
  • Эмулировал трабловые ситуации вообще не нашел в секурити-журналах откликов, при подключении по IP - отклик в журнале есть. К сожалению на КД доступа не имею - не смотрел.

    p.s. Расширеное логирование керберос включал - очень много сообщений не о чем.

  • желательно бы посмотреть конечно логи контроллеров

    MCP,MCTS
    Если вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"