Доброго времени Уважаемые форумчане!
Есть сеть с 1 сервером (Windows 2003 R2 SP2) выполняющим след. роли: AD, DHCP, DNS, File-server, WSUS, так стоит прокси сервер UserGate (раздает пользователям инет).
На сервере 2 сетевые одна (192.168.1.2) смотри в инет через DSL модем, вторая сетевая 192.168.0.254 смотрит в локалку.

Есть 10 компьютеров клиентов (Windows XP Prof SP3).
У клиентов сети групповой политикой настроена замена стандартного шела (explorer.exe) на (xx.exe) все работало нормально до вчерашнего дня, пока на одном из компьютеров после перезагрузки не запустился шелл вместо него на экране остался курсор мыши и фоновая картинка. Такой глюк наблюдался на всех компьютерах сети, иногда избавится от него помогала перезагрузка компьютера клиента.

Так же у клиентов начали появлятся след. ошибки при загрузке компьютера файлы с логами прикрепил (SystemLog.txt; AppLog.txt)
На сервере никаких ошибок нету.

Далее выкладываю настройки сетевых на компьютерах:
ipconfig /all сервера:
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : AVATAR
Основной DNS-суффикс . . . . . . : avatar.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : avatar.local

Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-13-8F-ED-7F-1A
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.254
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.0.254

Подключение по локальной сети 2 - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : VIA VT6105 Rhine III Compatible Fast Ethernet совместимый адаптер
Физический адрес. . . . . . . . . : 00-19-5B-86-76-B6
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.1
DNS-серверы . . . . . . . . . . . : 192.168.0.254

ipconfig /all одного из клиентов (у остальных меняется только IP-адрес в диапазоне 192.168.0.1-192.168.0.10 и имя компьютера)

Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : avatar-01
Основной DNS-суффикс . . . . . . : avatar.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : avatar.local
avatar.local

Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . : avatar.local
Описание . . . . . . . . . . . . : Realtek PCIe FE Family Controller
Физический адрес. . . . . . . . . : 90-E6-BA-44-4D-6E
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.254
DHCP-сервер . . . . . . . . . . . : 192.168.0.254
DNS-серверы . . . . . . . . . . . : 192.168.0.254
Аренда получена . . . . . . . . . : 25 лютого 2010 р. 20:02:05
Аренда истекает . . . . . . . . . : 26 лютого 2010 р. 6:12:05


Также выкладываю логи сервера netdiag /v (файл: NetDiaglog.zip) dcdiag /v (файл: dcdiaglog.txt).
Пинги с клиентов на сервер и по DNS имени и по NetBios имени проходят нормально.

Прошу помощи в решении такой проблемы, а то моих знаний никак не хватает.

В логах DNS КД ничего криминального?

Да есть ошибки повторяющиеся (файл с логом прикрепил), подскажите что проверить, а то я дальше не знаю что с ним еще можно проверить.

А что выдает с раб станции nslookup avatar ?

Попробуйте сделать так:
1. Create a .(root) zone file
2. Right click the .(root) name and select Properties
3. Change the zone into a primary zone instead of the integrated AD zone type
4. Delete the .(root) zone

А что выдает с раб станции nslookup avatar ? »

C:\WINDOWS\system32>nslookup avatar
*** Can't find server name for address 192.168.0.254: Non-existent domain

*** Default servers are not available

Server: UnKnown
Address: 192.168.0.254

Name: avatar.avatar.local
Addresses: 192.168.0.254, 192.168.1.2

Попробуйте сделать так:
1. Create a .(root) zone file
2. Right click the .(root) name and select Properties
3. Change the zone into a primary zone instead of the integrated AD zone type
4. Delete the .(root) zone »

А не могли бы подсказать как это сделать, я так понял что это нужно делать в настройках днс сервера, а вот как что то не могу найти?

192.168.1.2 »
Этот IP с клиентов доступен (пингуется)?
А не могли бы подсказать как это сделать, я так понял что это нужно делать в настройках днс сервера, а вот как что то не могу найти? »
В консоли DNS создаете зону с именем (.) точка - ну и далее по тексту

Этот IP с клиентов доступен (пингуется)? »
Да, ответы есть.

Не знаю правильно ли я делаю, но делал следующее
1. Create a .(root) zone file»
http://s48.radikal.ru/i120/1002/3e/4ad4eba5c08ft.jpg (http://radikal.ru/F/s48.radikal.ru/i120/1002/3e/4ad4eba5c08f.jpg.html)
http://s52.radikal.ru/i138/1002/35/a3d9c517d0d9t.jpg (http://radikal.ru/F/s52.radikal.ru/i138/1002/35/a3d9c517d0d9.jpg.html)
http://s004.radikal.ru/i208/1002/18/98b4f0a82453t.jpg (http://radikal.ru/F/s004.radikal.ru/i208/1002/18/98b4f0a82453.jpg.html)
http://s006.radikal.ru/i213/1002/92/f09e71558ee2t.jpg (http://radikal.ru/F/s006.radikal.ru/i213/1002/92/f09e71558ee2.jpg.html)

2. Right click the .(root) name and select Properties
3. Change the zone into a primary zone instead of the integrated AD zone type»
http://s56.radikal.ru/i152/1002/d0/474433767869t.jpg (http://radikal.ru/F/s56.radikal.ru/i152/1002/d0/474433767869.jpg.html)
http://s48.radikal.ru/i119/1002/f1/ba1b8544cb23t.jpg (http://radikal.ru/F/s48.radikal.ru/i119/1002/f1/ba1b8544cb23.jpg.html)
http://s001.radikal.ru/i195/1002/26/1fcaa2698d9bt.jpg (http://radikal.ru/F/s001.radikal.ru/i195/1002/26/1fcaa2698d9b.jpg.html)

4. Delete the .(root) zone »
Удалить получилось

Не знаю правильно ли я делаю, но делал следующее »
Надо было сделать с точностью наоборот - сначала сделать зону AD-интегрированной - затем преобразовать в основную - потом удалить

- затем преобразовать в основную -»
В смысле в основную, я же ее создавал как основную интегрированную в АД или имелось ввиду удалить интеграцию из АД?
Если я правильно понял то после всей процедуры в логах ДНС появилось одно предупреждение и 2 уведомления (лог привожу в файле DnsLog2.txt)

попробуйте теперь перезагрузить сервер - ошибки в DNS логе остаются?
И как ситуация с проблемой на клиентах после этого?

попробуйте теперь перезагрузить сервер - ошибки в DNS логе остаются? »
появилось только одно уведомление о том что сервер ДНС запущен.
И как ситуация с проблемой на клиентах после этого? »
Пока не проявлялась, но она не постоянно раньше появлялась так что жду.
Спасибо за помощь.

Заодно посмотрите в консоли DNS в свойствах сервера на вкладке "интерфейсы" - слушает ли DNS сервер свой порт по IP 192.168.0.254 и 192.168.1.2

Заодно посмотрите в консоли DNS в свойствах сервера на вкладке "интерфейсы" - слушает ли DNS сервер свой порт по IP 192.168.0.254 и 192.168.1.2 »
Стоит прослушивать любой интерфейс.
К стати с клиентами опять те же траблы, при это запустил телнет на комп. клиента и проверил пинги как по имени ДНС так и по имени Нетбиос, так и по айпи адресам сервера, ответы приходят.
В логах компа теже ошибки что и были раньше. Файлы прикрепил. К стати такие же ошибки и у остальных клиентов.
Так же на одном компе появились два отличных от других компов "Предупреждения":
1) Достигнут предел безопасности для TCP/IP, налагаемый на количество попыток одновременных TCP-подключений.
2)Обозреватель сети не смог загрузить список серверов с основного обозревателя \\AVATAR сети \Device\NetBT_Tcpip_{8FB2D90C-941C-4364-B4C6-C692AD378AB9}. Данными является код ошибки.

Так же на всех компах вылазит след. "Предупреждение":
Системе безопасности не удалось установить безопасное подключение к серверу DNS/prisoner.iana.org. Отсутствуют доступные протоколы проверки подлинности.

Что за сервер prisoner.iana.org вообще не пойму, откуда он такую запись берет, такого сервера у нас ни когда не было.

На сервере есть только 2 "Предупреждения" в разделе Система:
1)Служба DHCP обнаружила, что она запущена на контроллере домена (DC) и не имеет учетных данных, настроенных для использования с динамическими DNS-регистрациями, производимыми службой DHCP. Подобная конфигурация безопасности не рекомендуется. Учетные данные динамических DNS-регистраций можно настроить с помощью утилиты командной строки "netsh dhcp server set dnscredentials" или с помощью программы администрирования DHCP.

Но DHCP через 3 сек. вернула что все нормально и запустилась

2)Дата 26.02.2010 Время 11:26:59 Категория SPNEGO (согласователь) Источник LSASRV Система безопасности обнаружила ошибку проверки подлинности сервера LDAP/AVATAR. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
(0xc000005e)".

Поробуйте изменить этот параметр в реестре на клиенте
http://support.microsoft.com/kb/239924

Поробуйте изменить этот параметр в реестре на клиенте
http://support.microsoft.com/kb/239924 »
Теперь немного лучше стало.
Исчезли все ошибки кроме одной в разделе "Системный" "Предупреждение":
Системе безопасности не удалось установить безопасное подключение к серверу DNS/prisoner.iana.org. Отсутствуют доступные протоколы проверки подлинности.

но сторонний шелл на некоторых компах не запускается
Причем до внесения изменений в реестр шел не запускался только на одном компе, а после внесения еще на 2-х компах не запустился.
П.С. а свитч может быть виной этому?

П.С. а свитч может быть виной этому? »
Теоретически, даже плохо обжатый кабель
Причем до внесения изменений в реестр шел не запускался только на одном компе, а после внесения еще на 2-х компах не запустился. »
Попробуйте на проблемной машине (только одной - не надо сразу на всех) через gpedit.msc включить параметр "Always wait for the network at computer startup and logon Group Policy"
Computer Configuration\Administrative Templates\System\Logon

Попробуйте на проблемной машине (только одной - не надо сразу на всех) через gpedit.msc включить параметр "Always wait for the network at computer startup and logon Group Policy"
Computer Configuration\Administrative Templates\System\Logon »
Проверил, помогло. По пробовал еще на двух компах, тоже помогло.

Появилась новая ошибка на одном компьютере:
Тип Предупреждение Источник DnsApi
Не удалось обновить и удалить записи ресурсов (RR) узлов (A)
для сетевого адаптера с параметрами:

Имя адаптера: {8FB2D90C-941C-4364-B4C6-C692AD378AB9}
Имя узла: avatar-02
Суффикс основного домена: avatar.local
Список DNS-серверов:
192.168.0.254
Отправка обновления на сервер: 192.1.1.1
IP-адрес (адреса):
192.168.0.2

Не удалось удалить эти записи A RR из-за системной ошибки. Код конкретной ошибки содержится в отображаемых ниже данных.

Теперь непонятно что за адрес сервера такой непонятный, в настройках DHCP такой адрес в качестве ДНС сервера не указывался точно.

Но эта ошибка вылазила во время замены свича (к стати замена не помогла). Больше эта ошибка не повторялась.

Теперь на четырех компьютерах клиентов начала вылазить ошибка со след. содержанием:
Достигнут предел безопасности для TCP/IP, налагаемый на количество попыток одновременных TCP-подключений.

Может кто знает с чем это может быть связано и куда копать для решения этой проблемы?