Внимание, важное сообщение: Дорогие Друзья!
В ноябре далекого 2001 года мы решили создать сайт и форум, которые смогут помочь как начинающим, так и продвинутым пользователям разобраться в операционных системах. В 2004-2006г наш проект был одним из самых крупных ИТ ресурсов в рунете, на пике нас посещало более 300 000 человек в день! Наша документация по службам Windows и автоматической установке помогла огромному количеству пользователей и сисадминов. Мы с уверенностью можем сказать, что внесли большой вклад в развитие ИТ сообщества рунета.
Но... время меняются, приоритеты тоже. И, к сожалению, пришло время сказать До встречи! После долгих дискуссий было принято решение закрыть наш проект. 1 августа форум переводится в режим Только чтение, а в начале сентября мы переведем рубильник в положение Выключен
Огромное спасибо за эти 24 года, это было незабываемое приключение. Сказать спасибо и поделиться своей историей можно в данной теме.
Доброе время суток. Имеется сеть топологии "звезда", соединенная несколькими свитчами:
1. Имеется основной свитч, к которому подключены 3 дополнительных свитча, серверы, и часть клиентских компьютеров
2. К 3-м дополнительным свитчам подключены клиентские компьютеры.
. Имеется интернет-сервер, выступающий в роли шлюза, на сервере 2 сетевухи, 1 подключена к локальной сети, вторая подключена к интернету.
Имеется странная плавающая проблема: временами на всех компьютерах офиса отсутствует доступ к ресурсам по шифрованному протоколу, а именно:
1. Имеется корпоративный почтовый сервер, расположенный вне офиса, к нему пользователи получают доступ через веб-обозреватель по https - доступа нет: Internet Explorer не может отобразить страницу
2. Имеется сервер, на котором хранятся некоторые данные организации, к которым пользователи получают доступ через FTP-клиента, трафик шифруется с помощью FTP через TLS (неявный) - доступа так же нет, при подключении происходит обрыв на "Соединение установлено, инициализация TLS"
3. В офисе широко используется TeamViewer, он так же не работает - "Разрешены подключения только по локальной сети". При этом, в момент проблемы:
1. Сервера на которых расположены почта и FTP-сервер, доступны - идет пинг, могу зайти по удаленному рабочему столу, более того, к ним можно подключиться без шифрованного протокола: к почтовому серверу по http, к FTP-серверу по простому протоколу FTP
2. С самого интернет-сервера возможно подключиться ко всем 3-м вышеуказанным службам, с использованием шифрованного протокола
3. Другие ресурсы, так же использующие шифрованные протоколы, доступны (mail.ru, google.com)
4. Перезагрузка модема Интернет-провайдера не решает проблему, так же пробовал в момент проблемы отключать интернет-сервер от локальной сети, подключать вместо него простой шлюз TP-Link, подключал шлюз к модему провайдера, сетевухе шлюза локальной сети назначал адрес интернет-сервера локальной сети - проблемы не было, подключаю интернет-сервер в локальную сеть обратно - проблема восстанавливается (т.е. проблема не в модеме)
5. Перезагрузка интернет-сервера так же не решает проблему, проблему решает отключение сервера, и подключение его в сеть не сразу, а минут через 10.
Что делал для решения проблемы:
1. В момент проблемы, с одного из компьютеров пробовал удалить антивирус - проблема осталась, т.е. причина не в нем
2. В момент проблемы, пробовал последовательно отключать отключать от основного свитча 3 дополнительных, затем от основного свитча последовательно отключал компьютеры, после каждого отключения ждал 3 минуты. Т.е. подозревал глючное устройство в сети, котором может создавать проблему. Конечный результат был: к основному свитчу были подключены только интернет-сервер, сервер-КД, и еще 1 сервер БД, с которого проверял осталась ли проблема - проблема осталась... Т.е. вариант с глючным устройством, которое таким "элегантным" способом ложит сеть, пока не рассматриваю
3. Заменил интернет-сервер - взял другой сервер, установил на него чистую ОС Windows Server 2008R2, все обновления, антивирус пока не ставил для чистоты эксперимента, службы маршрутизации, некоторые рабочие программы (прокси сервер, который счас используется только для перенаправления портов из интернета в локальную сеть, FTP server Filezilla, Kaspersky Security Center)
- После все этого сегодня проблема повторилась.... Что сделал сейчас
1. Заменил основной свитч
2. На сетевой карте интернет-сервера отключил параметры:
IPv4: загрузка большой отправки… (дальше не получается прочесть, окно заканчивается)
IPv4: разгрузка контрольной суммы
Блин, мозги кипят, почему-то у меня такое подозрение что последние мои действия не решат проблему (хочу конечно надеяться на обратное, но интуиция подсказывает иначе).
Огромная просьба: подскажите в чем может быть столь экзотичная и сложная проблема, уже не знаю в какую сторону копать.
2. DNS-сервер слушает и на внешней карточке запросы? »
Да, он ведь является первичным ДНС-сервером для нашей зоны
Цитата IT Shepherd:
Некий внешний IP -> Внешняя карта шлюза: DNS запрос на разрешение имени apwrwnsrwvct. www. 9azz.com »
- Просто к нему отправили запрос, он разрешает его через ДНС Гугла, т.к. в своей БД ДНС даных по запросу нет. Отключить ДНС для внешней сети не могу, т.к. перестанет работать нормально наша ДНС-зона. Но по-моему запросов к ДНС'у на разрешение подобного рода адресов очень мало. В смысле не думаю что из-за этого проблема. И кстати, какой адрес? - 188.40.77.142, если да, то тогда все норм.
-------
"Нет" - войне.
Последний раз редактировалось __sa__nya, 12-07-2015 в 09:42.
Да нет, не просто. Было бы все нормально, если бы к вашему ДНС отправлялись запросы извне на разрешение имен в доменной зоне, за которую он отвечает. А так, это вопрос к специалистам по компьютерной безопасности, с какой целью разрешать такие странные имена и получать по ним ошибку разрешения.
Смотрите прикрепленный файл. А вот с тем, что запрос уходит с внешней карточки не все так однозначно. Я возможно и ошибся в этом из-за того что смотрел бегло, поэтому данной информации по пакетам во вложенном файле нет. Когда найду достаточно времени для анализа, разберусь окончательно.
Сегодня 14.07.15 проблема повторилась.
Но в 1 момент не было доступа к почте и с сервера. Позже я выяснил что с сервера 14.07.15 так же не было доступа к почте, FTP.
Просто я всегда раньше проверял 1 раз. А сегодня – попробовал подключиться несколько раз подряд – и с сервера так же не смог подключиться к ресурсам.
Помогло отключение модема, не перезагрузка, а именно отключение на 5 мин, затем включение – и все восстановилось….
Получается, возможно проблема в модеме, или на стороне провайдера?
- Попробовать дождаться проблему еще раз, и еще раз проверить решится ли она выключением модема, и будет ли проблема так же на интернет-сервере, при неоднократном подключении к ресурсам?
Логи сетевого монитора выложу позже.
IT Shepherd, - Что думаете насчет этого?
Модем провайдерский - Alcatel Lucent I-240W-A - 1-я буква может быть L, не совсем понятно.
До настроек модема пока не добрался, но провайдер говорил что я ничего настраивать не смогу, т.к. управлять модемом удаленно могут только они. Никогда подобного не слышал...
Цитата IT Shepherd:
Да нет, не просто. Было бы все нормально, если бы к вашему ДНС отправлялись запросы извне на разрешение имен в доменной зоне, за которую он отвечает »
IT_Shepherd, попутно вопрос - возможно ли в ДНС-сервере, который идет в с 2008R2 STD Виндой, настроить так чтобы извне он разрешал запросы, связанные только со своей зоной? - В настройках бегло глянул, не нашел.
Вчера 16.07.15 проблема повторилась опять. Но на этот раз доступ к ресурсам с интернет-сервера был...
Пробую озадачить провайдера по этой проблеме...
Может у кого появились какие-нибудь мысли?
Попробовать дождаться проблему еще раз, и еще раз проверить решится ли она выключением модема, и будет ли проблема так же на интернет-сервере, при неоднократном подключении к ресурсам? »
Как насчет выключения модема? Опять помогло или нет?
Цитата __sa__nya:
провайдер говорил что я ничего настраивать не смогу, т.к. управлять модемом удаленно могут только они. Никогда подобного не слышал... »
Есть такая практика у провайдеров
Цитата __sa__nya:
возможно ли в ДНС-сервере, который идет в с 2008R2 STD Виндой, настроить так чтобы извне он разрешал запросы, связанные только со своей зоной? »
Только извне, насколько я знаю, невозможно. Ну а в целом, отключить форвардинг и рекурсию, только это коснется и клиентов локальной сети. Для них можно настроить отдельный ДНС-сервер.
От предыдущих постов прошло почти 2 месяца... Думаю, проблема решилась заменой модема.
Зачем пишу? Для других...
И у меня тоже были аналогичные проблемы в офисной сети, построенной на многочисленных свичах, - вдруг терялись отдельные ПК, никакие (пере)настройки не помогали... Оказалось, барахлил один свич. Далеко не центральный. Мучался долго... пока этот грёбаный свич не заменил. И стоит отметить, что терялся коннект между ПК, которые через этот свич данных не передавали! Собственно, по этой причине решал проблему долго... И ещё. "грёбаный " свич не умер - все порты работали... Через пол-года я его поставил в другую сеть из 2 ПК+инет-модем. И никаких проблем уже года два!
Еще периодически у меня возникает проблема "пропал общий инет". Стоит цепочка: инет-сервер с Керио - роутер - ДСЛ-модем. Методом тыка выяснил, что иногда виноват Сервер с Керио, иногда роутер, иногда ДСЛ-модем. "необходимо и достаточно" просто перезагрузить это "виноватое" устройство. Но чтобы не гадать - теперь перезагружаю (или OFF-ON) всё сразу. Если инет не восстановился - то звоню Провайдеру... Это редкий случай, в 90% глючит моё железо.
