none
netlogon event 5719 + Userenv 1053 RRS feed

  • Вопрос

  •  

    конфигурация:
    srv01(ISA): Microsoft Windows Server 2003 x32 (Build 3790)
    Netcard Local:
    Host Name. . . . . . . . . : srv01
    IP Address . . . . . . . . : 192.168.99.216
    Subnet Mask. . . . . . . . : 255.255.255.0
    Dns Servers. . . . . . . . : 192.168.99.217
    Netcard Inet:
    Host Name. . . . . . . . . : srv01
    IP Address . . . . . . . . : XX.XX.XXX.81
    Subnet Mask. . . . . . . . : 255.255.255.128
    Default Gateway. . . . . . : XX.XX.XXX.1

     

    srv02(DC): Microsoft Windows Server 2003 R2 x64 (Build 3790)
    Netcard Local:
    Host Name. . . . . . . . . : srv02
    IP Address . . . . . . . . : 192.168.99.217
    Subnet Mask. . . . . . . . : 255.255.255.0
    Default Gateway. . . . . . : 192.168.99.216
    Dns Servers. . . . . . . . : 192.168.99.217

    после установки и настройки ISA 2006 Server (на srv01) в логах появились след.ошибки:
    1. Система:
    Тип события: Ошибка
    Источник события: NETLOGON
    Код события: 5719
    Компьютер: SRV01
    Описание: Компьютер не может установить безопасный сеанс связи с контроллером домена COMPANY по следующей причине: Сбой при удаленном вызове процедуры. Это может затруднить проверку подлинности.
    2. Приложения:
    Тип события: Ошибка
    Источник события: Userenv
    Код события: 1053
    Пользователь: NT AUTHORITY\SYSTEM
    Компьютер: SRV01
    Описание: Не удалось определить имя пользователя или компьютера. (Сбой при удаленном вызове процедуры. ). Обработка групповой политики прекращена.

    ошибки появляются при входе в ОС под правами админа домена.

    netdiag на srv02(DC) ошибок не выдает:
    netdiag на srv01(ISA) выдает след. ошибки:
    =================================
    DNS test . . . . . . . . . . . . . : Passed
              [WARNING] Cannot find a primary authoritative DNS server for the name
                'srv01.company.local.'. [ERROR_TIMEOUT]
                The name 'srv01.company.local.' may not be registered in DNS.
    DC list test . . . . . . . . . . . : Failed
        [WARNING] Cannot call DsBind to srv02.company.local (192.168.99.217). [RPC_S_CALL_FAILED]
    Trust relationship test. . . . . . : Failed
        [FATAL] Secure channel to domain 'COMPANY' is broken. [ERROR_NO_LOGON_SERVERS]
    LDAP test. . . . . . . . . . . . . : Passed
        [WARNING] Failed to query SPN registration on DC 'srv02.company.local'.

     

    ПОДСКАЖИТЕ ГДЕ КОПАТЬ. в ИСЕ все поперепробовал. ошибки не пропадают..

    26 августа 2008 г. 16:31

Все ответы

  • Проверьте системные политики ISA Server относительно Active Directory, DNS.

     

    В тестовых целях создайте правило доступа из "внутренней сети" на "локальный компьютер" и обратно разрешающее весь исходящий трафик всем пользователям.

    Если проблема пропадет после этого - значит есть проблема с доступами.

    26 августа 2008 г. 18:37
  • Компьютер с ISA Server  является членом домена? Если да, то в какой момент он был зарегистрирован в домене, до установки ISA Server или после?
    Проверьте группу системной политики ISA Server Authentication Services - Active Directory. Попробуйте выключить Enforce strict RPC compliance.
    Также проверьте корректно ли Вы определили конфигурацию внутренней сети.
    26 августа 2008 г. 19:31
  •  Ilgiz Mamyshev написано:

    Проверьте системные политики ISA Server относительно Active Directory, DNS.

    DNS - включена, КУДА = Все сети и локальный компьютер

    Active Directory - включена, КУДА = Внутренняя, Требовать строгого соответствия RPC - включена. (выключал не помогает)

     Ilgiz Mamyshev написано:

    В тестовых целях создайте правило доступа из "внутренней сети" на "локальный компьютер" и обратно разрешающее весь исходящий трафик всем пользователям.

    есть такое правило. не помогает.

    27 августа 2008 г. 6:04
  •  Artyom [d.raven] Sinitsyn написано:
    Компьютер с ISA Server  является членом домена? Если да, то в какой момент он был зарегистрирован в домене, до установки ISA Server или после?

    да, член домена. введен в домен  до установки ISA был и ошибок не было.

     

     Artyom [d.raven] Sinitsyn написано:

    Проверьте группу системной политики ISA Server Authentication Services - Active Directory. Попробуйте выключить Enforce strict RPC compliance.
    Также проверьте корректно ли Вы определили конфигурацию внутренней сети.

    выключал - не помогло.

    внутренняя сеть указана верно.

    27 августа 2008 г. 6:12
  • Попробуйте у службы NetLogon добавить зависимость от службы Firewall Service. Для этого реобходимо внести изменения в реестр: HKLM/System/CurrentControlSet/Services/Netlogon. В параметр Dependonservice (reg_multi_sz) добавить строку "fwsrv".
    После выполнения этой операции нужно перезагрузить систему.
    27 августа 2008 г. 6:31
  • встречный вопрос, сервер с установленным ISA 2006 можно вводить в домен, или это не рекомендуется?

    и есть ли разница в случае ввода в домен до установки ISA 2006 или после установки?

    27 августа 2008 г. 8:49
  • Однозначно, лучше, когда ISA Server является членом домена Active Directory. Более детальную информацию в пользу данного сценария использования можете найти в этой статье Debunking the Myth that the ISA Firewall Should Not be a Domain Member.
    В случае ввода системы в домен ДО установки ISA Server мастер установки автоматически настроит коммуникации с доменной инфраструктурой. В случае ввода после возможен вариант, что не все правила будут корректно настроены для взаимодействия с контроллерами домена.
    27 августа 2008 г. 9:33
  •  Artyom [d.raven] Sinitsyn написано:

    В случае ввода системы в домен ДО установки ISA Server мастер установки автоматически настроит коммуникации с доменной инфраструктурой. В случае ввода после возможен вариант, что не все правила будут корректно настроены для взаимодействия с контроллерами домена.

     

    провел счас эксперимент. вывел сервер с ИСА 2006 из домена. ошибки исчезли. попробовал снова ввести в домен. не выходит, появляется ошибка "При присоединении к домену "company.local" произошла следующая ошибка: Сбой при удаленном вызове процедуры." Sad

    при этом посмотрел в АД, сервер появился в контейнере Computers, но как выключенный.

    странно. чего не хватает серверу с ИСА 2006 ?

    27 августа 2008 г. 10:27
  •  Artyom [d.raven] Sinitsyn написано:
    Попробуйте у службы NetLogon добавить зависимость от службы Firewall Service. Для этого реобходимо внести изменения в реестр: HKLM/System/CurrentControlSet/Services/Netlogon. В параметр Dependonservice (reg_multi_sz) добавить строку "fwsrv".
    После выполнения этой операции нужно перезагрузить систему.

    Вы эту операцию выполняли?
    27 августа 2008 г. 10:33
  •  dim386 написано:

    провел счас эксперимент. вывел сервер с ИСА 2006 из домена. ошибки исчезли. попробовал снова ввести в домен. не выходит, появляется ошибка "При присоединении к домену "company.local" произошла следующая ошибка: Сбой при удаленном вызове процедуры."

    при этом посмотрел в АД, сервер появился в контейнере Computers, но как выключенный.

    странно. чего не хватает серверу с ИСА 2006 ?

    Удалите учетку компьютера (бывшую от сервера с ISA).

    Создайте правило, разрешающие все из "внутренней сети" на "локальный компьютер" и обратно.

    Присоедините сервер с ИСА в домен.

    Отключите созданное правило.

    Проверьте\настройте правила системной политики в части AD.

    27 августа 2008 г. 10:41
  •  Artyom [d.raven] Sinitsyn написано:
    Вы эту операцию выполняли?

    нет.решил проверить выход из домена и вход снова. не вышло.

    а счас это делать бессмысленно как я понимаю.

    27 августа 2008 г. 11:24
  •  Artyom [d.raven] Sinitsyn написано:
     Artyom [d.raven] Sinitsyn написано:
    Попробуйте у службы NetLogon добавить зависимость от службы Firewall Service. Для этого реобходимо внести изменения в реестр: HKLM/System/CurrentControlSet/Services/Netlogon. В параметр Dependonservice (reg_multi_sz) добавить строку "fwsrv".
    После выполнения этой операции нужно перезагрузить систему.


    Вы эту операцию выполняли?

    выполнил, в результате ошибки остались, а сервер с ИСА стал еще и загружаться дольше до появления окна входа в систему (Ctrl+Alt+Del)

    27 августа 2008 г. 12:44
  •  Ilgiz Mamyshev написано:
     dim386 написано:

    провел счас эксперимент. вывел сервер с ИСА 2006 из домена. ошибки исчезли. попробовал снова ввести в домен. не выходит, появляется ошибка "При присоединении к домену "company.local" произошла следующая ошибка: Сбой при удаленном вызове процедуры."

    при этом посмотрел в АД, сервер появился в контейнере Computers, но как выключенный.

    странно. чего не хватает серверу с ИСА 2006 ?

    Удалите учетку компьютера (бывшую от сервера с ISA).

    Создайте правило, разрешающие все из "внутренней сети" на "локальный компьютер" и обратно.

    Присоедините сервер с ИСА в домен.

    Отключите созданное правило.

    Проверьте\настройте правила системной политики в части AD.

     

    все делал это. думаю причину нада искать в этом:

    netdiag на srv01(ISA) выдает след. ошибки:
    =================================
    DNS test . . . . . . . . . . . . . : Passed
              [WARNING] Cannot find a primary authoritative DNS server for the name
                'srv01.company.local.'. [ERROR_TIMEOUT]
                The name 'srv01.company.local.' may not be registered in DNS.
    DC list test . . . . . . . . . . . : Failed
        [WARNING] Cannot call DsBind to srv02.company.local (192.168.99.217). [RPC_S_CALL_FAILED]
    Trust relationship test. . . . . . : Failed
        [FATAL] Secure channel to domain 'COMPANY' is broken. [ERROR_NO_LOGON_SERVERS]
    LDAP test. . . . . . . . . . . . . : Passed
        [WARNING] Failed to query SPN registration on DC 'srv02.company.local'.

    27 августа 2008 г. 12:59
  • попробовал отключить RPC-фильтр в Надстройках

    и снова netdiag на srv01(ISA):

    =======================

    DNS test . . . . . . . . . . . . . : Passed
    DC list test . . . . . . . . . . . : Passed
    Trust relationship test. . . . . . : Passed
        Secure channel for domain 'COMPANY' is to '\\srv02.company.local'.
    Kerberos test. . . . . . . . . . . : Passed
    LDAP test. . . . . . . . . . . . . : Passed

     

    и в логах исчезли ошибки netlogon event 5719 + Userenv 1053.

     

    кто прокомментирует почему RPC-фильтр от родного продукта Майкрософт так себя ведет?

    27 августа 2008 г. 13:19
  •  

    http://support.microsoft.com/kb/887222/

    "To work around this problem, disable the ISA Server RPC filter."

    зачем тогда вообще нужен RPC filter, который не работает должным образом ?

    27 августа 2008 г. 13:25
  •  dim386 написано:

     

    http://support.microsoft.com/kb/887222/

    "To work around this problem, disable the ISA Server RPC filter."

    зачем тогда вообще нужен RPC filter, который не работает должным образом ?

    To resolve this problem, install ISA Server 2004 Service Pack 1 (SP1). For more information about how to obtain the latest ISA Server 2004 service pack, click the following article number to view the article in the Microsoft Knowledge Base:

    891024 (http://support.microsoft.com/kb/891024/) How to obtain the latest ISA Server 2004 service pack
     
    Установите последние обновления для ISA Server.
    На этой странице вы найдете ссылки на Service Pack 3 для ISA Server 2004 (очевидно у вас этот продукт):
     
    27 августа 2008 г. 14:53
  •  Ilgiz Mamyshev написано:
    Установите последние обновления для ISA Server.
    На этой странице вы найдете ссылки на Service Pack 3 для ISA Server 2004 (очевидно у вас этот продукт):
     
    у меня ISA Server 2006.
    28 августа 2008 г. 6:01
  •  dim386 написано:
    у меня ISA Server 2006.

    ОК. SP1 тогда стоит на ISA 2006?

    28 августа 2008 г. 6:22
  •  Ilgiz Mamyshev написано:
     dim386 написано:
    у меня ISA Server 2006.

    ОК. SP2 тогда стоит на ISA 2006?

     

    ISA Server 2006 SP1 (Microsoft ISA Server 2006, Версия: 5.0.5723.493)

    srv01(ISA): Microsoft Windows Server 2003 x32 (Build 3790) SP2 + все последнии обновления.

    28 августа 2008 г. 7:06
  • хмм.. (наморщил лоб Smile )

    может еще в чем нибудь дело а не в RPC ?

    У меня по крайней мере такие же версии и с в ключенным фильром RPC работает.

    --

    Попробуйте:

    - экспортируйте конфигурацию ISA Server 2006 в файл.

    - удалите ISA Server с сервера

    - ребут ё систем

    - вгоните машину в домен (если не вдомене), проверьте корректность работы с доменом

    - установите ISA, ребут

    - экспортируйте системную политику в файл

    - импортируйте конфигурацию ISA, ранее сохраненную

    - импортируйте системную политику

     

    На все про все во времена тестовой эксплуатации у меня уходило на такие фокусы менее получаса.

    Если что - можете вернуться к первоначальному состоянию - импортировав конфигурацию ISA, ранее сохраненную.

    28 августа 2008 г. 7:46
  •  dim386 написано:
    srv01(ISA): Microsoft Windows Server 2003 x32 (Build 3790) SP2 + все последнии обновления

    Так как у Вас установлен Microsoft Windows Server 2003 SP2 ознакомьтесь с этой статьёй базы знаний An update to turn off default SNP features is available for Windows Server 2003-based and Small Business Server 2003-based computers. Установите обновление, следуя инструкциям в этой статье.
    Описание этих проблем можно также прочитать на русском в блоге Ильи Сазонова Service Pack 2 для Windows 2003 и проблемы работы сети .
    28 августа 2008 г. 8:15
  •  dim386 написано:
    http://support.microsoft.com/kb/887222/

    "To work around this problem, disable the ISA Server RPC filter."

    зачем тогда вообще нужен RPC filter, который не работает должным образом ?


    RPC Filter работает должным образом, просто бывают ситуации несовместимости этого фильтра с изменениями в RPC-протоколе, вносимыми пакетами обслуживания ОС (в частности, Windows Server 2003 SP1):
    This problem occurs because the ISA Server RPC filter is not compatible with the changes in the RPC protocol that are introduced by Windows Server 2003 SP1.
    Но, по идее, эти проблемы с совместимостью должны были устанить ещё в ISA Server 2006, и уж тем более в ISA Server 2006 SP1.
    28 августа 2008 г. 8:20
  •  Ilgiz Mamyshev написано:

    хмм.. (наморщил лоб )

    может еще в чем нибудь дело а не в RPC ?

    У меня по крайней мере такие же версии и с в ключенным фильром RPC работает.

    я вот думаю может дело в том что RPC трафик идет между Windows x64 и Windows x32 ???

    у вас как?

    28 августа 2008 г. 8:39
  •  Artyom [d.raven] Sinitsyn написано:
     dim386 написано:
    srv01(ISA): Microsoft Windows Server 2003 x32 (Build 3790) SP2 + все последнии обновления


    Так как у Вас установлен Microsoft Windows Server 2003 SP2 ознакомьтесь с этой статьёй базы знаний An update to turn off default SNP features is available for Windows Server 2003-based and Small Business Server 2003-based computers. Установите обновление, следуя инструкциям в этой статье.
    Описание этих проблем можно также прочитать на русском в блоге Ильи Сазонова Service Pack 2 для Windows 2003 и проблемы работы сети .

     

    Обновление для ОС Windows Server 2003 (KB948496) установлено на оба сервера(srv01 и srv02), причем обновления ставились автоматически через WSUS. это значит что функционал SNP отключен.

    статья хорошая, уже ее читал.

    28 августа 2008 г. 9:34
  •  Artyom [d.raven] Sinitsyn написано:
    RPC Filter работает должным образом, просто бывают ситуации несовместимости этого фильтра с изменениями в RPC-протоколе, вносимыми пакетами обслуживания ОС (в частности, Windows Server 2003 SP1):
    This problem occurs because the ISA Server RPC filter is not compatible with the changes in the RPC protocol that are introduced by Windows Server 2003 SP1.
    Но, по идее, эти проблемы с совместимостью должны были устанить ещё в ISA Server 2006, и уж тем более в ISA Server 2006 SP1.

    по идее, да, должно работать, но не работает.

    я вот думаю может дело в том что RPC трафик идет между Windows x64 и Windows x32 ???

    28 августа 2008 г. 9:56
  •  dim386 написано:

    я вот думаю может дело в том что RPC трафик идет между Windows x64 и Windows x32 ???


    Интересное предположение. Помниться читал я про потенциальные проблемы с RPC-трафиком и системах x64. Советую и Вам почитать:64-bit RPC traffic fails across ISA Sever 2006.
    28 августа 2008 г. 10:20
  •  

    ага, тоже читал. остался один вопрос: "Что делать?" Smile

    кстати на сколько опасно отключение RPC-фильтра на ИСА сЕрвер 2006 с точки зрения безопасности?

    28 августа 2008 г. 12:25
  • Если Вы не публикуете любого рода RPC-серверы для досутпа из сети Интернет (публикация Exchange Outlook Anywhere например) и не создаёте правил доступа из сети Интернет к ресурсам Вашей сети по протоклу RPC, то отключение RPC Filter на Вашей конфигурации не отразиться никак.
    28 августа 2008 г. 12:29
  • Кстати, RPC Filter можно отключить на уровне конкретного правила доступа. Для этого необходимо перейти в Firewall Policy - View - Show System Policy Rules, затем в контекстном меню правила Allow RPC from ISA Server to trusted servers выбрать Properties -  Protocols - RPC - Edit - Parameters снять галочку у RPC Filter.
    Таким образом Вы можете использовать
    RPC Filter в правилах публикации и правилах доступа, кроме правил коммуникаций с контроллерами домена.
    28 августа 2008 г. 12:40
  •  Artyom [d.raven] Sinitsyn написано:
    Кстати, RPC Filter можно отключить на уровне конкретного правила доступа. Для этого необходимо перейти в Firewall Policy - View - Show System Policy Rules, затем в контекстном меню правила Allow RPC from ISA Server to trusted servers выбрать Properties -  Protocols - RPC - Edit - Parameters снять галочку у RPC Filter.
    Таким образом Вы можете использовать
    RPC Filter в правилах публикации и правилах доступа, кроме правил коммуникаций с контроллерами домена.

    теоретически я тоже так думал. практически - не работает. сразу вылазиет ошибка 5719 и netdiag выдает те же ошибки.

    все это уже напоминает мне шаманство и танцы с бубном
    28 августа 2008 г. 13:07
  • Очень странно. В таком случае Вам стоит включить Diagnostics Logging и более детально изучить, какие правила обрабатываются ISA Server при обработке RPC-трафика этого прафика. Затем уже в параметрах этих правил отключать RPC FIlter.
    29 августа 2008 г. 5:33
  • еще вопрос(подозреваю корень проблемы тот же):

    на шлюз инет-провайдера не проходят пинги, ИСА их блокирует.

    когда вместо шлюза инет-провайдера к внешнему интерфейсу ИСА подключаю обычный комп с IP-адресом шлюза инет-провайдера, то пинги проходят нормально. (использую такую схему как тестовый вариант)

    в чем тут может быть разница, не пойму. Иса же привязана к сетевым адаптерам(МАС-адресам и IP-адресам), а я их не меняю. просто провода перетыкаю, правда сервер с ИСА не перезагружаю, просто делаю перезапуск службы файервола ИСА. при этом в логах появляется ошибка по всем правилам публикации:

     

    Тип события: Предупреждение
    Источник события: Microsoft Firewall

    Код события: 21312

    Компьютер: SRV01

    Правилу публикации сервера dns_srv01, которое публикует IP-адрес 192.168.99.216:53 через порт TCP для протокола DNS-сервер, не удалось связать сокет для данного сервера, так как порт уже используется. Правило публикации сервера невозможно применить. Службе межсетевого экрана не удалось связать сокет для сервера на компьютере ISA Server, поскольку порт используется другим процессом.

     

    а потом чуть позже следующее:

     

    Тип события: Уведомление
    Источник события: Microsoft Firewall
    Код события: 14161
    Компьютер: SRV01
    Устранена ошибка, препятствовавшая применению правила публикации сервера dns_srv01, которое сопоставляет 192.168.99.216:53 UDP и XX.XX.XXX.81:53 для протокола DNS-сервер. Данное правило ранее игнорировалось.

     

    каковы причины такого поведения ИСА 2006???

    29 августа 2008 г. 12:36
  • ну вот и я нашел свои "грабли" Smile

    поставил microsoft isa server bpa tool v6.0.1, сделал и изучил отчет.

    вот на что интересное наткнулся в отчете:

    "A server publishing rule for traffic that uses the Exchange RPC Server protocol is configured. As a result, ISA Server will reject RPC requests sent to the listening IP address for other RPC services even if there are access rules or system policy rules that allow such RPC traffic."

    почитал пояснения и нашел интересное это:

    " ISA Server does not support server publishing rules for traffic that uses the Exchange RPC Server protocol. Instead, you can configure ISA Server to allow RPC requests to reach Exchange servers by creating an access rule that allows this traffic. To correct this issue, delete the server publishing rule specified in the warning message and create an access rule, which allows traffic that uses the Exchange RPC Server protocol."

    вот так вот.... браво Майкрософт... Sad такое инфо нада в раздел мануала помещать. а не в хелп BPA...

    жалко время на это столько убил. правило публикации такое я сделал же, в нем и седели "граблища".

    кстати как только это правило я выключил, так и все проблемы исчезли сами собой.

    и RPC-фильтр включил, и в системной политике поставил галки в RPC. вообщем по умолчаниям RPC без этого правила все работает!!! ну касается это не только сервера с ISA включенного в домен, но и поведение странное у ИСы наблюдается при включенном правиле публикации Exchange RPC (см. мой предыдущий пост)

     

    вообщем слава богу и не слава Майкрософту... обидно. ИСА денег стоит прилично.
    30 августа 2008 г. 16:10