none
Ошибки AD 1083, 1955 RRS feed

  • Вопрос

  • Доброго времени суток!
    Появились ошибки на вторичном контроллере домена 1083, 1955 через каждые 2 минуты перебирает всех пользователей и блокирует их.

    Ошибка 1083
    Тип события: Предупреждение
    Источник события: NTDS Replication
    Категория события: Replication
    Код события: 1083
    Дата: 30.09.2009
    Время: 14:41:02
    Пользователь: NT AUTHORITY\ANONYMOUS LOGON
    Компьютер: ХХХ-DCR-01
    Описание:
    Active Directory could not update the following object with changes received from the domain controller at the following network address because Active Directory was busy processing information.

    Object:
    CN=ХХХ,OU=DХХХ,OU=ХХХ,DC=ХХХ,DC=local
    Network address:
    dc7bb525-c225-4e18-9ad8-8a381c5b1af6._msdcs.ХХХ.local

    This operation will be tried again later.

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

    1955
    Тип события: Уведомление
    Источник события: NTDS Replication
    Категория события: Replication
    Код события: 1955
    Дата: 30.09.2009
    Время: 14:41:02
    Пользователь: NT AUTHORITY\ANONYMOUS LOGON
    Компьютер: ХХХ-DCR-01
    Описание:
    Active Directory encountered a write conflict when applying replicated changes to the following object.

    Object:
    CN=ХХХ,OU=ХХХ,OU=ХХХ,DC=ХХХ,DC=local
    Time in seconds:
    0

    Event log entries preceding this entry will indicate whether or not the update was accepted.

    A write conflict can be caused by simultaneous changes to the same object or simultaneous changes to other objects that have attributes referencing this object. This commonly occurs when the object represents a large group with many members, and the functional level of the forest is set to Windows 2000. This conflict triggered additional retries of the update. If the system appears slow, it could be because replication of these changes is occurring.

    User Action
    Use smaller groups for this operation or raise the functional level to Windows Server 2003.

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

    DCDIAG XXX-DCR-01

    Doing initial required tests

    Testing server: XXXCenter\XXX-DCR-01
    Starting test: Connectivity
    ......................... XXX-DCR-01 passed test Connectivity

    Doing primary tests

    Testing server: XXXCenter\XXX-DCR-01
    Starting test: Replications
    ......................... XXX-DCR-01 passed test Replications
    Starting test: NCSecDesc
    ......................... XXX-DCR-01 passed test NCSecDesc
    Starting test: NetLogons
    ......................... XXX-DCR-01 passed test NetLogons
    Starting test: Advertising
    ......................... XXX-DCR-01 passed test Advertising
    Starting test: KnowsOfRoleHolders
    ......................... XXX-DCR-01 passed test KnowsOfRoleHolders
    Starting test: RidManager
    ......................... XXX-DCR-01 passed test RidManager
    Starting test: MachineAccount
    ......................... XXX-DCR-01 passed test MachineAccount
    Starting test: Services
    ......................... XXX-DCR-01 passed test Services
    Starting test: ObjectsReplicated
    ......................... XXX-DCR-01 passed test ObjectsReplicated
    Starting test: frssysvol
    ......................... XXX-DCR-01 passed test frssysvol
    Starting test: frsevent
    ......................... XXX-DCR-01 passed test frsevent
    Starting test: kccevent
    An Warning Event occured. EventID: 0x8000043B
    Time Generated: 09/30/2009 14:24:41
    (Event String could not be retrieved)
    An Warning Event occured. EventID: 0x8000043B
    Time Generated: 09/30/2009 14:28:13
    (Event String could not be retrieved)
    An Warning Event occured. EventID: 0x8000043B
    Time Generated: 09/30/2009 14:30:00
    (Event String could not be retrieved)
    An Warning Event occured. EventID: 0x8000043B
    Time Generated: 09/30/2009 14:31:50
    (Event String could not be retrieved)
    An Warning Event occured. EventID: 0x8000043B
    Time Generated: 09/30/2009 14:33:36
    (Event String could not be retrieved)
    An Warning Event occured. EventID: 0x8000043B
    Time Generated: 09/30/2009 14:35:32
    (Event String could not be retrieved)
    An Warning Event occured. EventID: 0x8000043B
    Time Generated: 09/30/2009 14:37:27
    (Event String could not be retrieved)
    ......................... XXX-DCR-01 failed test kccevent
    Starting test: systemlog
    ......................... XXX-DCR-01 passed test systemlog
    Starting test: VerifyReferences
    ......................... XXX-DCR-01 passed test VerifyReferences

    Running partition tests on : ForestDnsZones
    Starting test: CrossRefValidation
    ......................... ForestDnsZones passed test CrossRefValidatio

    Starting test: CheckSDRefDom
    ......................... ForestDnsZones passed test CheckSDRefDom

    Running partition tests on : DomainDnsZones
    Starting test: CrossRefValidation
    ......................... DomainDnsZones passed test CrossRefValidatio

    Starting test: CheckSDRefDom
    ......................... DomainDnsZones passed test CheckSDRefDom

    Running partition tests on : Schema
    Starting test: CrossRefValidation
    ......................... Schema passed test CrossRefValidation
    Starting test: CheckSDRefDom
    ......................... Schema passed test CheckSDRefDom

    Running partition tests on : Configuration
    Starting test: CrossRefValidation
    ......................... Configuration passed test CrossRefValidation
    Starting test: CheckSDRefDom
    ......................... Configuration passed test CheckSDRefDom

    Running partition tests on : XXX
    Starting test: CrossRefValidation
    ......................... XXX passed test CrossRefValidation
    Starting test: CheckSDRefDom
    ......................... XXX passed test CheckSDRefDom

    Running enterprise tests on : XXX.local
    Starting test: Intersite
    ......................... XXX.local passed test Intersite
    Starting test: FsmoCheck
    ......................... XXX.local passed test FsmoCheck

    C:\Program Files\Support Tools>repadmin /syncall
    CALLBACK MESSAGE: The following replication is in progress:
    From: dc7bb525-c225-4e18-9ad8-8a381c5b1af6._msdcs.XXX.local
    To : 3e40d44f-d876-45e4-a8d5-f1c14d0720d3._msdcs.XXX.local
    CALLBACK MESSAGE: The following replication completed successfully:
    From: dc7bb525-c225-4e18-9ad8-8a381c5b1af6._msdcs.XXX.local
    To : 3e40d44f-d876-45e4-a8d5-f1c14d0720d3._msdcs.XXX.local
    CALLBACK MESSAGE: SyncAll Finished.
    SyncAll terminated with no errors.

    IPCONFIG /ALL c XXX-DCR-01

    C:\Program Files\Support Tools>ipconfig/all

    Windows IP Configuration

    Host Name . . . . . . . . . . . . : xxx-dcr-01
    Primary Dns Suffix . . . . . . . : XXX.local
    Node Type . . . . . . . . . . . . : Hybrid
    IP Routing Enabled. . . . . . . . : No
    WINS Proxy Enabled. . . . . . . . : No
    DNS Suffix Search List. . . . . . : XXX.local

    Ethernet adapter Local Area Connection:

    Connection-specific DNS Suffix . :
    Description . . . . . . . . . . . : HP NC7760 Gigabit Server Adapter
    Physical Address. . . . . . . . . : 00-0F-20-CF-5B-FA
    DHCP Enabled. . . . . . . . . . . : No
    IP Address. . . . . . . . . . . . : 10.4.132.2
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    Default Gateway . . . . . . . . . : 10.4.132.254
    DNS Servers . . . . . . . . . . . : 10.4.132.2
    10.4.132.18

    IPCONFIG /ALL c XXX-DCR-01

    C:\Program Files\Support Tools>ipconfig /all

    Windows IP Configuration

    Host Name . . . . . . . . . . . . : XXX-exc-01
    Primary Dns Suffix . . . . . . . : XXX.local
    Node Type . . . . . . . . . . . . : Hybrid
    IP Routing Enabled. . . . . . . . : No
    WINS Proxy Enabled. . . . . . . . : No
    DNS Suffix Search List. . . . . . : XXX.local

    Ethernet adapter Local Area Connection 2:

    Connection-specific DNS Suffix . :
    Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
    Physical Address. . . . . . . . . : 00-17-08-2C-CB-E4
    DHCP Enabled. . . . . . . . . . . : No
    IP Address. . . . . . . . . . . . : 10.4.132.18
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    Default Gateway . . . . . . . . . : 10.4.132.254
    DNS Servers . . . . . . . . . . . : 10.4.132.18
    10.4.132.2
    Primary WINS Server . . . . . . . : 10.4.132.18
    Secondary WINS Server . . . . . . : 10.4.132.2


    Хотя на примари контроллере EXC-01 все в порядке dcdiag без ошибок.
    Подскажите, где рыть ??

    P.S. raise the functional level to Windows Server 2003

    30 сентября 2009 г. 11:28

Ответы

  • Похоже на последствия заражения вирусом Kido
    Посмотрите в Security log на КД, чтобы узнать с какой машины идет подбор паролей. Выяснив, проверьте машину, например, утилитой Kido Killer касперского
    • Предложено в качестве ответа Yaroslav Turbin 1 октября 2009 г. 9:56
    • Помечено в качестве ответа Nikita PanovModerator 6 октября 2009 г. 10:49
    30 сентября 2009 г. 11:38
    Отвечающий

Все ответы

  • Похоже на последствия заражения вирусом Kido
    Посмотрите в Security log на КД, чтобы узнать с какой машины идет подбор паролей. Выяснив, проверьте машину, например, утилитой Kido Killer касперского
    • Предложено в качестве ответа Yaroslav Turbin 1 октября 2009 г. 9:56
    • Помечено в качестве ответа Nikita PanovModerator 6 октября 2009 г. 10:49
    30 сентября 2009 г. 11:38
    Отвечающий
  • Похоже на последствия заражения вирусом Kido
    Посмотрите в Security log на КД, чтобы узнать с какой машины идет подбор паролей. Выяснив, проверьте машину, например, утилитой Kido Killer касперского
    Это не вирус если шел подбор секюрити лог ругался бы, а так все тихо.
    30 сентября 2009 г. 11:46
  • Подбор, то уже идет, раз учетки блокируются ; )
    Проверьте в default domain controller policy включен ли аудит failure в событиях audit account logon events
    30 сентября 2009 г. 11:50
    Отвечающий
  • Подбор, то уже идет, раз учетки блокируются ; )
    Проверьте в default domain controller policy включен ли аудит failure в событиях audit account logon events
    Аудит ведется, в журнале безопасности отказов нет за сегодняшний день.
    30 сентября 2009 г. 12:39
  • Хорошо, что по вашему означает термин "блокировка"
    30 сентября 2009 г. 12:56
    Отвечающий
  • Хорошо, что по вашему означает термин "блокировка"
    Account is locket стоит галочка, в логах безопасности ничего нет, ошибка вDirectory service 1083 на этого пользователя.
    30 сентября 2009 г. 13:09
  • Мне неизвестны случаи блокирования аккаунта без попытки ввести неправильный пароль
    А раз так, то аудиты отказа должны быть - проверяйте настройки политики аудита

    PS: Тогда ищите события с ID 644 - в них тоже содержится информация с какой машины была произведена попытка входа в систему
    30 сентября 2009 г. 13:11
    Отвечающий
  • Мне неизвестны случаи блокирования аккаунта без попытки ввести неправильный пароль
    А раз так, то аудиты отказа должны быть - проверяйте настройки политики аудита

    PS: Тогда ищите события с ID 644 - в них тоже содержится информация с какой машины была произведена попытка входа в систему
    Сорри мой косяк события  есть, но все с этих же компьютеров, где сидит пользователь IP у всех событий разные.

    Тип события:    Аудит отказов
    Источник события:    Security
    Категория события:    Logon/Logoff
    Код события:    537
    Дата:        30.09.2009
    Время:        17:49:02
    Пользователь:        NT AUTHORITY\SYSTEM
    Компьютер:    ХХХ-DCR-01
    Описание:
    Logon Failure:
         Reason:        An error occurred during logon
         User Name:    ХХХ14008$
         Domain:        ХХХ.LOCAL
         Logon Type:    3
         Logon Process:    Kerberos
         Authentication Package:    Kerberos
         Workstation Name:    -
         Status code:    0xC00000DC
         Substatus code:    0x0
         Caller User Name:    -
         Caller Domain:    -
         Caller Logon ID:    -
         Caller Process ID:    -
         Transited Services:    -
         Source Network Address:    10.4.132.129
         Source Port:    0


    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".



    30 сентября 2009 г. 13:59
  • Ну и что, что разный. Если комп заражен, то кидо с него просто получает какой-то список пользователей и начинает под них подбирать пароль.
    1 октября 2009 г. 3:40
  • Ну и что, что разный. Если комп заражен, то кидо с него просто получает какой-то список пользователей и начинает под них подбирать пароль.
    Ну я так понимаю если это был бы вирус то IP адресс был бы одного компьютера в событиях, тем более что антивирус стоит на всех компьютерах домена.
    1 октября 2009 г. 5:35
  • Давайте вести конструктивную беседу, я например не собираюсь вам что-то доказывать.
    Я предлаю вам действия - в ответ получаю какие-то ваши предположения - так дело дальше не пойдет...
    • Помечено в качестве ответа Mikhail Sagaidako 1 октября 2009 г. 5:43
    • Снята пометка об ответе Mikhail Sagaidako 1 октября 2009 г. 5:43
    1 октября 2009 г. 5:39
    Отвечающий
  • Я разочек попробую. То есть пользователь у вас бегает по компам и пытается вводить пароль? Антивирус не гарантирует отсутствие вирусов.
    1 октября 2009 г. 5:43
  • Давайте вести конструктивную беседу, я например не собираюсь вам что-то доказывать.
    Я предлаю вам действия - в ответ получаю какие-то ваши предположения - так дело дальше не пойдет...

    Сегодня 10 пользователей позвонили, что аккаунт заблокирован я их разблокирую, а запись в журнале отказа на сегодняшний день нет одна где пользователь ввел  сам неправильный пароль. с ID 644 записей тоже нет.
    1 октября 2009 г. 5:52
  • Может у вас с настройками аудита что-то? Проверьте групповые политики для КД.
    1 октября 2009 г. 5:56
  •  с ID 644 записей тоже нет.

    Когда учетка блокируется - то на КД, где произошла блокировка и на PDC-эмуляторе регистрируется событие в журнале Security с ID 644, где содержится и информация о компьютере с которого была вызвана блокировка
    1 октября 2009 г. 5:58
    Отвечающий
  •  с ID 644 записей тоже нет.

    Когда учетка блокируется - то на КД, где произошла блокировка и на PDC-эмуляторе регистрируется событие в журнале Security с ID 644, где содержится и информация о компьютере с которого была вызвана блокировка
    Нашел
    Тип события:    Аудит успехов
    Источник события:    Security
    Категория события:    Account Management
    Код события:    644
    Дата:        01.10.2009
    Время:        9:18:40
    Пользователь:        NT AUTHORITY\SYSTEM
    Компьютер:    ХХХ-EXC-01
    Описание:
    User Account Locked Out:
         Target Account Name:    ХХХ04103
         Target Account ID:    ХХХ\ХХХ04103
         Caller Machine Name:    ХХХ-APP-01
         Caller User Name:    ХХХ-EXC-01$
         Caller Domain:    ХХХ
         Caller Logon ID:    (0x0,0x3E7)


    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
    Это есть машина с которой блокирубются учетки?

    1 октября 2009 г. 6:06
  • Это есть машина с которой блокирубются учетки?


    Это есть машина с которой блокируется учетка, указанная в событии. Вам нужно проанализировать все события блокирования.
    1 октября 2009 г. 6:11
    Отвечающий
  • Желательно еще аудит настроить, чтобы событий побольше валилось. А когда найдете машину, то идти и проверять, что там с ней не так. На антивирус я бы в этом вопрос не надеялся.
    1 октября 2009 г. 6:13
  • Похоже на последствия заражения вирусом Kido
    Посмотрите в Security log на КД, чтобы узнать с какой машины идет подбор паролей. Выяснив, проверьте машину, например, утилитой Kido Killer касперского
    Спасибо всем за помощь, действительно Kido, на одной машине антивирус не обновлялся, а ошибки репликации следствие. пробую исправить.
    1 октября 2009 г. 9:54