Форум 3DNews
Вернуться   Форум 3DNews > Софт > Операционные системы Microsoft Windows

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 22.07.2021, 16:41   [включить плавающее окно]   #1
Freerider
Мужской Опытный
Автор темы
 
Аватар для Freerider
 
Регистрация: 16.09.2004
Связь на серверах перестает работать до перезагрузки

Имеется организация с несколькими десятками разных серверов (Server 2012 R2) большая часть из которых виртуальные, и 3 контроллера домена.
В среднем раз в неделю, контроллеры домена и остальные сервера (File Server....) перестают отвечать на запросы, и сеть переходить в нерабочее состояние, расшареные папки не работают, имя пользователей перестают резолвится. На контроллерах домена ошибки DNS сервиса, оснастка ADUC не открывается жалуясь на глючный DNS. Случается это не одновременно, а на каждом сервере в разное время\дни. Решается простой перезагрузкой, и работает очередную неделю.

Все начинается с того что в журнале какого нибудь сервера (не DC) видно ошибку 1054
"The processing of Group Policy failed. Windows could not obtain the name of a domain controller. This could be caused by
a name resolution failure. Verify your Domain Name System (DNS) is configured and working correctly.
Computer policy could not be updated successfully. The following errors were encountered:
"


Из ошибки видно что жалоба на DNS сервера, с которыми вроде бы всё в порядке так как внутренние и внешние имена резолвятся (не из кеша) и до DNS серверов удается достучатся.
Но объекты из Active Directory на проблемном сервере не резолвятся, тоесть при попытке добавить в локальную группу пользователя из AD , то он говорит "объект не найден" и отказыется искать что то в AD. В журнале видны ошибки "System.Net.Sockets.SocketException (0x80004005)"

На самих контроллерах домена в журнале жалобы на DNS и ошибки репликации 13577, опять же, после перезагрузки всё работает прекрасно.

Ситуация очень похожа на port exhaustion, когда не остается свободных портов для связи.
Event Viewer на все серверах говорит о том же, лезут ивенты 5781, 4227, 4231 и тому подобное.

Местный админ утверждает что это началось с тех пор как организацию внедрили систему Sccm
Netstat -naob до перезагрузки (в то время как вся связь висит) и после (когда все работает) особой разницы не показал, открыто около 1000 портов DNS (я так понял это в пределах нормы).

Куда копать ?

Заранее спасибо
Freerider вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 22.07.2021, 17:10   [включить плавающее окно]   #2
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Freerider) »
Netstat -naob
А что говорит DCDIAG?
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 22.07.2021, 17:48   [включить плавающее окно]   #3
Freerider
Мужской Опытный
Автор темы
 
Аватар для Freerider
 
Регистрация: 16.09.2004
Doing primary tests


Testing server: Default-First-Site-Name\DC1

Starting test: Advertising

......................... DC1 passed test Advertising

Starting test: FrsEvent

......................... DC1 passed test FrsEvent

Starting test: DFSREvent

......................... DC1 passed test DFSREvent

Starting test: SysVolCheck

......................... DC1 passed test SysVolCheck

Starting test: KccEvent

......................... DC1 passed test KccEvent

Starting test: KnowsOfRoleHolders

......................... DC1 passed test KnowsOfRoleHolders

Starting test: MachineAccount

......................... DC1 passed test MachineAccount

Starting test: NCSecDesc

......................... DC1 passed test NCSecDesc

Starting test: NetLogons

[DC1] User credentials does not have permission to perform this

operation.

The account used for this test must have network logon privileges

for this machine's domain.

......................... DC1 failed test NetLogons

Starting test: ObjectsReplicated

......................... DC1 passed test ObjectsReplicated

Starting test: Replications

[Replications Check,DC1] DsReplicaGetInfo(PENDING_OPS, NULL) failed,

error 0x2105 "Replication access was denied."

......................... DC1 failed test Replications

Starting test: RidManager

......................... DC1 passed test RidManager

Starting test: Services

Could not open NTDS Service on DC1, error 0x5 "Access is denied."

......................... DC1 failed test Services

Starting test: SystemLog

A warning event occurred. EventID: 0x00000010

Time Generated: 07/22/2021 17:10:45

Event String:

Unable to Connect: Windows is unable to connect to the automatic updates service and therefore cannot download and install updates according to the set schedule. Windows will continue to try to establish a connection.


Всё остальное (далее в этом же логе) Passed

Добавлено через 6 минут

Стоп, стормозил, если запустить команд лайн с правами администратора, единственная ошибка это:

Starting test: SystemLog

A warning event occurred. EventID: 0x00000010

Time Generated: 07/22/2021 17:10:45

Event String:

Unable to Connect: Windows is unable to connect to the automatic updates service and therefore cannot download and install updates according to the set schedule. Windows will continue to try to establish a connection.

Но это можно понять так как групповая политика посылает всех скачивать апдейты с неработоющего Wsus (требует отдельного решения)
Freerider вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 22.07.2021, 18:26   [включить плавающее окно]   #4
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Freerider) »
посылает всех скачивать апдейты с неработоющего Wsus (требует отдельного решения)
3(три) контроллера домена там умудрились поднять, а вот 1(один) WSUS - "ни шмогла"?..
Цитата (Freerider) »
если запустить команд лайн с правами администратора
Ты что, без команд/ключей просто тупо dcdiag запускал?...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.07.2021, 19:53   [включить плавающее окно]   #5
Freerider
Мужской Опытный
Автор темы
 
Аватар для Freerider
 
Регистрация: 16.09.2004
Цитата (Smirnoff) »
3(три) контроллера домена там умудрились поднять, а вот 1(один) WSUS - "ни шмогла"?..
Ты что, без команд/ключей просто тупо dcdiag запускал?...
1) Wsus - Сейчас исправляем
2) Да, какие ключи пожелаете ?

Вот что выдет контроллер домена впавшый в безумство (Port Exhaustion)

Ldap search capability attribute search failed on server DC3, return value
= 81


На "исправном" контроллере домена Dcdiag с ключем /a (проверяющий все контроллеры)
Выдет что все контроллеры домена проверки прошли кроме DC3

В добавок все сервера провалили тест KnowsOfRoleHolders


Directory Server Diagnosis


Performing initial setup:

Trying to find home server...

Home Server = DC1

* Identified AD Forest.
Ldap search capability attribute search failed on server DC3, return value

= 81
Got error while checking if the DC is using FRS or DFSR. Error:

Win32 Error 81The VerifyReferences, FrsEvent and DfsrEvent tests might fail

because of this error.

Done gathering initial info.
------------------------------------
Testing server: Default-First-Site-Name\DC3

Starting test: Connectivity

Got error while checking LDAP and RPC connectivity. Please check your

firewall settings.

......................... DC3 failed test Connectivity
-------------------------------------------


Starting test: KnowsOfRoleHolders

[DC3] DsBindWithSpnEx() failed with error 1722,

The RPC server is unavailable..
Warning: DC3 is the Infrastructure Update Owner, but is not

responding to DS RPC Bind.

Warning: DC3 is the Infrastructure Update Owner, but is not

responding to LDAP Bind.

......................... DC2 failed test KnowsOfRoleHolders
Starting test: MachineAccount

......................... DC2 passed test MachineAccount
------------------------------------------
Testing server: Default-First-Site-Name\DC3

Skipping all tests, because server DC3 is not responding to directory

service requests.


Вроде это все ошибки


Добавлено через 24 минуты

Вот что выдает контроллер домена DC3 после перезагрузки, который кстати является единственный физический контроллер домена (хотя некоторые ошибки он взял с журнала еще до перезагрузки). Другой ворос, можгут ли эти ошибки повлиять на все остальные сервера в домене (и те которые не являются контроллерами домена)

Starting test: SystemLog

An error event occurred. EventID: 0x0000041E

Time Generated: 07/24/2021 19:05:47

Event String:

The processing of Group Policy failed. Windows could not obtain the name of a domain controller. This could be caused by a name resolution failure. Verify your Domain Name System (DNS) is configured and working correctly.

An error event occurred. EventID: 0x0000041E

Time Generated: 07/24/2021 19:09:40

Event String:

The processing of Group Policy failed. Windows could not obtain the name of a domain controller. This could be caused by a name resolution failure. Verify your Domain Name System (DNS) is configured and working correctly.

An error event occurred. EventID: 0x0000041E

Time Generated: 07/24/2021 19:14:40

Event String:

The processing of Group Policy failed. Windows could not obtain the name of a domain controller. This could be caused by a name resolution failure. Verify your Domain Name System (DNS) is configured and working correctly.

An error event occurred. EventID: 0x0000041E

Time Generated: 07/24/2021 19:19:40

Event String:

The processing of Group Policy failed. Windows could not obtain the name of a domain controller. This could be caused by a name resolution failure. Verify your Domain Name System (DNS) is configured and working correctly.

An error event occurred. EventID: 0x0000041E

Time Generated: 07/24/2021 19:24:40

Event String:

The processing of Group Policy failed. Windows could not obtain the name of a domain controller. This could be caused by a name resolution failure. Verify your Domain Name System (DNS) is configured and working correctly.

An error event occurred. EventID: 0x0000041E

Time Generated: 07/24/2021 19:29:40

Event String:

The processing of Group Policy failed. Windows could not obtain the name of a domain controller. This could be caused by a name resolution failure. Verify your Domain Name System (DNS) is configured and working correctly.

A warning event occurred. EventID: 0x80001083

Time Generated: 07/24/2021 19:30:30

Event String:

TCP/IP failed to establish an outgoing connection because the selected local endpoint was recently used to connect to the same remote endpoint. This error typically occurs when outgoing connections are opened and closed at a high rate, causing all available local ports to be used and forcing TCP/IP to reuse a local port for an outgoing connection. To minimize the risk of data corruption, the TCP/IP standard requires a minimum time period to elapse between successive connections from a given local endpoint to a given remote endpoint.

An error event occurred. EventID: 0x0000041E

Time Generated: 07/24/2021 19:34:40

Event String:

The processing of Group Policy failed. Windows could not obtain the name of a domain controller. This could be caused by a name resolution failure. Verify your Domain Name System (DNS) is configured and working correctly.

A warning event occurred. EventID: 0x80050004

Time Generated: 07/24/2021 19:39:28

Event String:

Network Controller #36: The network link is down. Check to make sure the network cable is properly connected.

A warning event occurred. EventID: 0x000727AA

Time Generated: 07/24/2021 19:40:48

Event String:

The WinRM service failed to create the following SPNs: WSMAN/DC3.Domain.local; WSMAN/DC3.


A warning event occurred. EventID: 0x00000853

Time Generated: 07/24/2021 19:41:24

Event String:

The current firmware version **** is older than the required firmware version **** for a controller of model ****: Controller 0 (PERC */i Adapter)

An error event occurred. EventID: 0x00000612

Time Generated: 07/24/2021 19:41:41

Event String: Log size is full


An error event occurred. EventID: 0xC0001B6E

Time Generated: 07/24/2021 19:45:18

Event String:

The Diagnostic Policy Service service hung on starting.

A warning event occurred. EventID: 0x000000DB

Time Generated: 07/24/2021 19:47:58

Event String:

The driver \Driver\WudfRd failed to load for the device SWD\WPDBUSENUM\_??_USBSTOR#Disk&Ven_iDRAC&Prod_SECUPD&Rev_*****}.

An error event occurred. EventID: 0xC004000B

Time Generated: 07/24/2021 19:48:00

Event String:

The driver detected a controller error on \Device\Harddisk1\DR1.

An error event occurred. EventID: 0xC004000B

Time Generated: 07/24/2021 19:48:00

Event String:

The driver detected a controller error on \Device\Harddisk1\DR1.

An error event occurred. EventID: 0xC004000B

Time Generated: 07/24/2021 19:48:01

Event String:

The driver detected a controller error on \Device\Harddisk1\DR1.

An error event occurred. EventID: 0xC004000B

Time Generated: 07/24/2021 19:48:01

Event String:

The driver detected a controller error on \Device\Harddisk1\DR1.

A warning event occurred. EventID: 0x00001796

Time Generated: 07/24/2021 19:48:37


......................... DC3 failed test SystemLog

Последний раз редактировалось Freerider; 24.07.2021 в 20:19.
Freerider вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.07.2021, 08:02   [включить плавающее окно]   #6
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Freerider) »
На самих контроллерах домена в журнале жалобы на DNS
Цитата (Freerider) »
Из ошибки видно что жалоба на DNS сервера, с которыми вроде бы всё в порядке так как внутренние и внешние имена резолвятся (не из кеша) и до DNS серверов удается достучатся.
Вот эти места, кстати, я вообще недопонял... Коль скоро там AD - не должно быть никаких-таких DNS-серверов кроме самих DC. И это обязано быть в настройках всех серверов и рабочих станций, вхзодящих в AD...
Цитата (Freerider) »
The driver detected a controller error on \Device\Harddisk1\DR1
Очень мне эти ошибки не нравятся...

Добавлено через 1 минуту

Цитата (Freerider) »
и 3 контроллера домена.
Задоно подумай: так ли там необходимы именно 3(три) DC - может, двумя как-нить можно обойтись?

Добавлено через 4 минуты

Цитата (Freerider) »
какие ключи пожелаете ?
Мне лично - ваще никаких не надо...
Но, чтобы всё работало правильно - ни с какими ключами никаких ошибок быть не должно. В конфигурации с 2(двумя) DC я такого добивался, 3(три) DC ни разу не было потребности поднимать...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.07.2021, 10:49   [включить плавающее окно]   #7
Freerider
Мужской Опытный
Автор темы
 
Аватар для Freerider
 
Регистрация: 16.09.2004
Цитата (Smirnoff) »
Задоно подумай: так ли там необходимы именно 3(три) DC - может, двумя как-нить можно обойтись?
Можно, без проблем. Встречный вопрос, оба могут быть виртуальными, или желательно один из них физический ?


Цитата (Smirnoff) »
Вот эти места, кстати, я вообще недопонял... Коль скоро там AD - не должно быть никаких-таких DNS-серверов кроме самих DC.
Извеняюсь, не правильно объяснился наверное, все локальные DNS только на DC, отдельных нет.

Но что то мне подсказывает что всё кроется вот в этой ошибке
Миниатюры
Нажмите на изображение для увеличения
Название: 1.jpg
Просмотров: 18
Размер:	43.1 Кб
ID:	59440  
Freerider вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.07.2021, 11:34   [включить плавающее окно]   #8
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Freerider) »
оба могут быть виртуальными, или желательно один из них физический ?
Мне, если честно, вообще виртуальные не нравятся; так что разумнее было бы хоть один иметь физический.
Цитата (Freerider) »
всё кроется вот в этой ошибке
Возможно. Это ошибка на физическом, или на виртуальном сервере?

Добавлено через 1 минуту

BTW: Там на DC (или на хостах) нет-ли каких антивирусов? А то был у меня прецедент...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 07:08. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey