none
ISA2006:непонтная блокировка RPC RRS feed

  • Вопрос

  •  

    Приветствую. Моя проблемка:

     

    Нарушилась репликация между двумя контроллерами домена в разных сайтах, оба контроллера стоят за ISA2006.

    Стал мониторить ISA, указал фильтр CLient IP equals (айпишник удаленного контролера, на который нужно стянуть реплику). Далее, иду на контроллер, жму Replicate Now (строчка под From стоит основной контролер (глобальный каталог, пдс и т.д, на нем все роли), с него необходимо стянуть реплику.

    ISA показывает Initiated Connection по RPC, далее LDAP, а вот потом строка:

     

     

    от сервера1 к серверу2 порт 2219 (порты меняются) Unidentified Ip Traffic / а в графе Rule - пусто, нет ничего. Как можно блокировать трафки по неизвестному правилу непонятно :  -) Я думаю, что именно это - проблема репликации. Проблема появилась после внедрения ISA2006 в удаленном офисе. Наверное, я что-то не так настроил?

     

    Подозрения именно на ISA после прочтения http://support.microsoft.com/kb/830746/ru

    Ибо есть две причины, мы не использовали dcpromo и каналы у нас вполне себе.

    Вот еще запустил на серверах:

     

    На удаленном сервере:

    >netdiag

     


    ......................................

        Computer Name: NSK-MAIL
        DNS Host Name: nsk-mail.seas.hq.lan
        System info : Windows 2000 Server (Build 3790)
        Processor : x86 Family 15 Model 2 Stepping 9, GenuineIntel
        List of installed hotfixes :
            Q147222


    Netcard queries test . . . . . . . : Passed

     

    Per interface results:

        Adapter : Local Area Connection

            Netcard queries test . . . : Passed

            Host Name. . . . . . . . . : nsk-mail
            IP Address . . . . . . . . : 192.168.104.2
            Subnet Mask. . . . . . . . : 255.255.255.0
            Default Gateway. . . . . . : 192.168.104.1
            Dns Servers. . . . . . . . : 192.168.104.2
                                         192.168.101.2
                                         192.168.101.3

     


            AutoConfiguration results. . . . . . : Passed

            Default gateway test . . . : Passed

            NetBT name test. . . . . . : Passed

            WINS service test. . . . . : Skipped
                There are no WINS servers configured for this interface.


    Global results:


    Domain membership test . . . . . . : Passed


    NetBT transports test. . . . . . . : Passed
        List of NetBt transports currently configured:
            NetBT_Tcpip_{5B272BDE-90E3-4E62-BF4F-55DF6C8CF2F2}
        1 NetBt transport currently configured.


    Autonet address test . . . . . . . : Passed


    IP loopback ping test. . . . . . . : Passed


    Default gateway test . . . . . . . : Passed


    NetBT name test. . . . . . . . . . : Passed


    Winsock test . . . . . . . . . . . : Passed


    DNS test . . . . . . . . . . . . . : Passed
        PASS - All the DNS entries for DC are registered on DNS server '192.168.104.2' and other DCs also have some of the names registered.
        [WARNING] The DNS entries for this DC are not registered correctly on DNS server '192.168.101.2'. Please wait for 30 minutes for DNS server replication.
        [WARNING] The DNS entries for this DC are not registered correctly on DNS server '192.168.101.3'. Please wait for 30 minutes for DNS server replication.


    Redir and Browser test . . . . . . : Passed
        List of NetBt transports currently bound to the Redir
            NetBT_Tcpip_{5B272BDE-90E3-4E62-BF4F-55DF6C8CF2F2}
        The redir is bound to 1 NetBt transport.

        List of NetBt transports currently bound to the browser
            NetBT_Tcpip_{5B272BDE-90E3-4E62-BF4F-55DF6C8CF2F2}
        The browser is bound to 1 NetBt transport.


    DC discovery test. . . . . . . . . : Passed


    DC list test . . . . . . . . . . . : Passed


    Trust relationship test. . . . . . : Passed
        Secure channel for domain 'SEAS' is to '\\seas-mail.seas.hq.lan'.


    Kerberos test. . . . . . . . . . . : Passed


    LDAP test. . . . . . . . . . . . . : Passed
        [WARNING] Failed to query SPN registration on DC 'seas-mail.seas.hq.lan'.
        [WARNING] Failed to query SPN registration on DC 'frz-dc.seas.hq.lan'.
        [WARNING] Failed to query SPN registration on DC 'seas-sql.seas.hq.lan'.


    Bindings test. . . . . . . . . . . : Passed


    WAN configuration test . . . . . . : Skipped
        No active remote access connections.


    Modem diagnostics test . . . . . . : Passed

    IP Security test . . . . . . . . . : Skipped

        Note: run "netsh ipsec dynamic show /?" for more detailed information


    The command completed successfully

     

    >dcdiag


    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests
      
       Testing server: S2-Novosibirsk\NSK-MAIL
          Starting test: Connectivity
             ......................... NSK-MAIL passed test Connectivity

    Doing primary tests
      
       Testing server: S2-Novosibirsk\NSK-MAIL
          Starting test: Replications
             [Replications Check,NSK-MAIL] A recent replication attempt failed:
                From SEAS-MAIL to NSK-MAIL
                Naming Context: CN=Schema,CN=Configuration,DC=seas,DC=hq,DC=lan
                The replication generated an error (1722):
                Win32 Error 1722
                The failure occurred at 2008-02-05 16:15:18.
                The last success occurred at 2008-01-28 12:59:08.
                72 failures have occurred since the last success.
                [SEAS-MAIL] DsBindWithSpnEx() failed with error 1727,
                Win32 Error 1727.
                The source remains down. Please check the machine.
             [Replications Check,NSK-MAIL] A recent replication attempt failed:
                From SEAS-MAIL to NSK-MAIL
                Naming Context: CN=Configuration,DC=seas,DC=hq,DC=lan
                The replication generated an error (1722):
                Win32 Error 1722
                The failure occurred at 2008-02-05 16:15:39.
                The last success occurred at 2008-01-28 12:59:08.
                74 failures have occurred since the last success.
                The source remains down. Please check the machine.
             [Replications Check,NSK-MAIL] A recent replication attempt failed:
                From SEAS-MAIL to NSK-MAIL
                Naming Context: DC=seas,DC=hq,DC=lan
                The replication generated an error (1722):
                Win32 Error 1722
                The failure occurred at 2008-02-05 16:16:00.
                The last success occurred at 2008-01-28 12:59:12.
                69 failures have occurred since the last success.
                The source remains down. Please check the machine.
             REPLICATION-RECEIVED LATENCY WARNING
             NSK-MAIL:  Current time is 2008-02-05 17:30:57.
                CN=Schema,CN=Configuration,DC=seas,DC=hq,DC=lan
                   Last replication recieved from FRZ-DC at 2008-01-28 12:46:45.
                   Last replication recieved from SEAS-MAIL at 2008-01-28 12:59:08.
                   Last replication recieved from SEAS-SQL at 2008-01-28 12:46:34.
                CN=Configuration,DC=seas,DC=hq,DC=lan
                   Last replication recieved from FRZ-DC at 2008-01-28 12:46:45.
                   Last replication recieved from SEAS-MAIL at 2008-01-28 12:59:07.
                   Last replication recieved from SEAS-SQL at 2008-01-28 12:46:34.
                DC=seas,DC=hq,DC=lan
                   Last replication recieved from FRZ-DC at 2008-01-28 09:46:16.
                   Last replication recieved from SEAS-MAIL at 2008-01-28 12:59:08.
                   Last replication recieved from SEAS-SQL at 2008-01-28 12:58:12.
             ......................... NSK-MAIL passed test Replications
          Starting test: NCSecDesc
             ......................... NSK-MAIL passed test NCSecDesc
          Starting test: NetLogons
             ......................... NSK-MAIL passed test NetLogons
          Starting test: Advertising
             ......................... NSK-MAIL passed test Advertising
          Starting test: KnowsOfRoleHolders
             Warning: SEAS-MAIL is the Schema Owner, but is not responding to DS RPC Bind.
             [SEAS-MAIL] LDAP bind failed with error 1053,
             Win32 Error 1053.
             Warning: SEAS-MAIL is the Schema Owner, but is not responding to LDAP Bind.
             Warning: SEAS-MAIL is the Domain Owner, but is not responding to DS RPC Bind.
             Warning: SEAS-MAIL is the Domain Owner, but is not responding to LDAP Bind.
             Warning: SEAS-MAIL is the PDC Owner, but is not responding to DS RPC Bind.
             Warning: SEAS-MAIL is the PDC Owner, but is not responding to LDAP Bind.
             Warning: SEAS-MAIL is the Rid Owner, but is not responding to DS RPC Bind.
             Warning: SEAS-MAIL is the Rid Owner, but is not responding to LDAP Bind.
             Warning: SEAS-MAIL is the Infrastructure Update Owner, but is not responding to DS RPC Bind.
             Warning: SEAS-MAIL is the Infrastructure Update Owner, but is not responding to LDAP Bind.
             ......................... NSK-MAIL failed test KnowsOfRoleHolders
          Starting test: RidManager
             ......................... NSK-MAIL failed test RidManager
          Starting test: MachineAccount
             ......................... NSK-MAIL passed test MachineAccount
          Starting test: Services
             ......................... NSK-MAIL passed test Services
          Starting test: ObjectsReplicated
             ......................... NSK-MAIL passed test ObjectsReplicated
          Starting test: frssysvol
             ......................... NSK-MAIL passed test frssysvol
          Starting test: frsevent
             ......................... NSK-MAIL passed test frsevent
          Starting test: kccevent
             An Warning Event occured.  EventID: 0x80000709
                Time Generated: 02/05/2008   17:22:56
                Event String: The partition

             An Warning Event occured.  EventID: 0x80000709
                Time Generated: 02/05/2008   17:22:56
                Event String: The partition

             An Warning Event occured.  EventID: 0x8000061E
                Time Generated: 02/05/2008   17:22:56
                Event String: All domain controllers in the following site that

             An Error Event occured.  EventID: 0xC000051F
                Time Generated: 02/05/2008   17:22:56
                Event String: The Knowledge Consistency Checker (KCC) has

             An Warning Event occured.  EventID: 0x80000749
                Time Generated: 02/05/2008   17:22:56
                Event String: The Knowledge Consistency Checker (KCC) was

             An Warning Event occured.  EventID: 0x8000061E
                Time Generated: 02/05/2008   17:22:56
                Event String: All domain controllers in the following site that

             An Error Event occured.  EventID: 0xC000051F
                Time Generated: 02/05/2008   17:22:56
                Event String: The Knowledge Consistency Checker (KCC) has

             An Warning Event occured.  EventID: 0x80000749
                Time Generated: 02/05/2008   17:22:56
                Event String: The Knowledge Consistency Checker (KCC) was

             ......................... NSK-MAIL failed test kccevent
          Starting test: systemlog
             ......................... NSK-MAIL passed test systemlog
          Starting test: VerifyReferences
             ......................... NSK-MAIL passed test VerifyReferences
      
       Running partition tests on : Schema
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom
      
       Running partition tests on : Configuration
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom
      
       Running partition tests on : seas
          Starting test: CrossRefValidation
             ......................... seas passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... seas passed test CheckSDRefDom
      
       Running enterprise tests on : seas.hq.lan
          Starting test: Intersite
             ......................... seas.hq.lan passed test Intersite
          Starting test: FsmoCheck
             ......................... seas.hq.lan passed test FsmoCheck

     

    На местном сервере:

     

    Dcdiag

     

    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests
      
       Testing server: Default-First-Site-Name\SEAS-MAIL
          Starting test: Connectivity
             ......................... SEAS-MAIL passed test Connectivity

    Doing primary tests
      
       Testing server: Default-First-Site-Name\SEAS-MAIL
          Starting test: Replications
             [Replications Check,SEAS-MAIL] A recent replication attempt failed:
                From NSK-MAIL to SEAS-MAIL
                Naming Context: CN=Schema,CN=Configuration,DC=seas,DC=hq,DC=lan
                The replication generated an error (1726):
                Win32 Error 1726
                The failure occurred at 2008-02-05 12:53:44.
                The last success occurred at 2008-01-28 15:51:15.
                64 failures have occurred since the last success.
                The replication RPC call executed for too long at the server and
                was cancelled.
                Check load and resouce usage on NSK-MAIL.
             [Replications Check,SEAS-MAIL] A recent replication attempt failed:
                From NSK-MAIL to SEAS-MAIL
                Naming Context: CN=Configuration,DC=seas,DC=hq,DC=lan
                The replication generated an error (1818):
                Win32 Error 1818
                The failure occurred at 2008-02-05 12:51:20.
                The last success occurred at 2008-01-28 15:51:15.
                64 failures have occurred since the last success.
             [Replications Check,SEAS-MAIL] A recent replication attempt failed:
                From NSK-MAIL to SEAS-MAIL
                Naming Context: DC=seas,DC=hq,DC=lan
                The replication generated an error (1726):
                Win32 Error 1726
                The failure occurred at 2008-02-05 12:56:55.
                The last success occurred at 2008-01-28 12:46:15.
                65 failures have occurred since the last success.
                The replication RPC call executed for too long at the server and
                was cancelled.
                Check load and resouce usage on NSK-MAIL.
             REPLICATION-RECEIVED LATENCY WARNING
             SEAS-MAIL:  Current time is 2008-02-05 14:32:38.
                CN=Schema,CN=Configuration,DC=seas,DC=hq,DC=lan
                   Last replication recieved from NSK-MAIL at 2008-01-28 15:51:15.
                CN=Configuration,DC=seas,DC=hq,DC=lan
                   Last replication recieved from NSK-MAIL at 2008-01-28 15:51:15.
                DC=seas,DC=hq,DC=lan
                   Last replication recieved from NSK-MAIL at 2008-01-28 12:46:14.
             ......................... SEAS-MAIL passed test Replications
          Starting test: NCSecDesc
             ......................... SEAS-MAIL passed test NCSecDesc
          Starting test: NetLogons
             ......................... SEAS-MAIL passed test NetLogons
          Starting test: Advertising
             ......................... SEAS-MAIL passed test Advertising
          Starting test: KnowsOfRoleHolders
             ......................... SEAS-MAIL passed test KnowsOfRoleHolders
          Starting test: RidManager
             ......................... SEAS-MAIL passed test RidManager
          Starting test: MachineAccount
             ......................... SEAS-MAIL passed test MachineAccount
          Starting test: Services
             ......................... SEAS-MAIL passed test Services
          Starting test: ObjectsReplicated
             ......................... SEAS-MAIL passed test ObjectsReplicated
          Starting test: frssysvol
             ......................... SEAS-MAIL passed test frssysvol
          Starting test: frsevent
             There are warning or error events within the last 24 hours after the

             SYSVOL has been shared.  Failing SYSVOL replication problems may cause

             Group Policy problems.
             ......................... SEAS-MAIL failed test frsevent
          Starting test: kccevent
             ......................... SEAS-MAIL passed test kccevent
          Starting test: systemlog
             ......................... SEAS-MAIL passed test systemlog
          Starting test: VerifyReferences
             ......................... SEAS-MAIL passed test VerifyReferences
      
       Running partition tests on : Schema
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom
      
       Running partition tests on : Configuration
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom
      
       Running partition tests on : seas
          Starting test: CrossRefValidation
             ......................... seas passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... seas passed test CheckSDRefDom
      
       Running enterprise tests on : seas.hq.lan
          Starting test: Intersite
             ......................... seas.hq.lan passed test Intersite
          Starting test: FsmoCheck
             ......................... seas.hq.lan passed test FsmoCheck

     

     

    netdiag не запускал на локальном, это минут на 30 - )))

    5 февраля 2008 г. 12:10

Ответы

  •  DoNaSy написано:

     

    Нарушилась репликация между двумя контроллерами домена в разных сайтах, оба контроллера стоят за ISA2006.

    Стал мониторить ISA, указал фильтр CLient IP equals (айпишник удаленного контролера, на который нужно стянуть реплику). Далее, иду на контроллер, жму Replicate Now (строчка под From стоит основной контролер (глобальный каталог, пдс и т.д, на нем все роли), с него необходимо стянуть реплику.

    ISA показывает Initiated Connection по RPC, далее LDAP, а вот потом строка:

     

     

    от сервера1 к серверу2 порт 2219 (порты меняются) Unidentified Ip Traffic / а в графе Rule - пусто, нет ничего. Как можно блокировать трафки по неизвестному правилу непонятно :  -) Я думаю, что именно это - проблема репликации. Проблема появилась после внедрения ISA2006 в удаленном офисе. Наверное, я что-то не так настроил?

     

     

    RPC соединение устанавливается в два этапа: инициирующее обращение на порт RPC и открытие вторичного соединения на произвольной паре портов. Если у вас стоит фильтрация протоколов, и вы создали разрешающее правило для пропуска RPC, то должен быть обязательно включен фильтр RPC в правиле - именно он отслеживает инициирующие соединения и динамически разрешает вторичные соединения RPC.

     

     

     DoNaSy написано:

     

    Подозрения именно на ISA после прочтения http://support.microsoft.com/kb/830746/ru

    Ибо есть две причины, мы не использовали dcpromo и каналы у нас вполне себе.

    Вот еще запустил на серверах:

     

     

    Это все вообще к чему?

    5 февраля 2008 г. 12:44
    Модератор

Все ответы

  •  DoNaSy написано:

     

    Нарушилась репликация между двумя контроллерами домена в разных сайтах, оба контроллера стоят за ISA2006.

    Стал мониторить ISA, указал фильтр CLient IP equals (айпишник удаленного контролера, на который нужно стянуть реплику). Далее, иду на контроллер, жму Replicate Now (строчка под From стоит основной контролер (глобальный каталог, пдс и т.д, на нем все роли), с него необходимо стянуть реплику.

    ISA показывает Initiated Connection по RPC, далее LDAP, а вот потом строка:

     

     

    от сервера1 к серверу2 порт 2219 (порты меняются) Unidentified Ip Traffic / а в графе Rule - пусто, нет ничего. Как можно блокировать трафки по неизвестному правилу непонятно :  -) Я думаю, что именно это - проблема репликации. Проблема появилась после внедрения ISA2006 в удаленном офисе. Наверное, я что-то не так настроил?

     

     

    RPC соединение устанавливается в два этапа: инициирующее обращение на порт RPC и открытие вторичного соединения на произвольной паре портов. Если у вас стоит фильтрация протоколов, и вы создали разрешающее правило для пропуска RPC, то должен быть обязательно включен фильтр RPC в правиле - именно он отслеживает инициирующие соединения и динамически разрешает вторичные соединения RPC.

     

     

     DoNaSy написано:

     

    Подозрения именно на ISA после прочтения http://support.microsoft.com/kb/830746/ru

    Ибо есть две причины, мы не использовали dcpromo и каналы у нас вполне себе.

    Вот еще запустил на серверах:

     

     

    Это все вообще к чему?

    5 февраля 2008 г. 12:44
    Модератор
  •  

    Спаибо, заработало!!! Уррааа!
    5 февраля 2008 г. 14:34
  •  DoNaSy написано:

     

    Спаибо, заработало!!! Уррааа!


    А что было то? Чего сделал?
    15 февраля 2008 г. 10:00