Непонятные ошибки у клиентов домена в ЛВС.
 

Доброго времени Уважаемые форумчане!
Есть сеть с 1 сервером (Windows 2003 R2 SP2) выполняющим след. роли: AD, DHCP, DNS, File-server, WSUS, так стоит прокси сервер UserGate (раздает пользователям инет).
На сервере 2 сетевые одна (192.168.1.2) смотри в инет через DSL модем, вторая сетевая 192.168.0.254 смотрит в локалку.

Есть 10 компьютеров клиентов (Windows XP Prof SP3).
У клиентов сети групповой политикой настроена замена стандартного шела (explorer.exe) на (xx.exe) все работало нормально до вчерашнего дня, пока на одном из компьютеров после перезагрузки не запустился шелл вместо него на экране остался курсор мыши и фоновая картинка. Такой глюк наблюдался на всех компьютерах сети, иногда избавится от него помогала перезагрузка компьютера клиента.

Так же у клиентов начали появлятся след. ошибки при загрузке компьютера файлы с логами прикрепил (SystemLog.txt; AppLog.txt)
На сервере никаких ошибок нету.

Далее выкладываю настройки сетевых на компьютерах:
ipconfig /all сервера:
ipconfig /all одного из клиентов (у остальных меняется только IP-адрес в диапазоне 192.168.0.1-192.168.0.10 и имя компьютера)


Также выкладываю логи сервера netdiag /v (файл: NetDiaglog.zip) dcdiag /v (файл: dcdiaglog.txt).
Пинги с клиентов на сервер и по DNS имени и по NetBios имени проходят нормально.

Прошу помощи в решении такой проблемы, а то моих знаний никак не хватает.

В логах DNS КД ничего криминального?

Да есть ошибки повторяющиеся (файл с логом прикрепил), подскажите что проверить, а то я дальше не знаю что с ним еще можно проверить.

А что выдает с раб станции nslookup avatar ?

Попробуйте сделать так:
1. Create a .(root) zone file
2. Right click the .(root) name and select Properties
3. Change the zone into a primary zone instead of the integrated AD zone type
4. Delete the .(root) zone

C:\WINDOWS\system32>nslookup avatar
*** Can't find server name for address 192.168.0.254: Non-existent domain

*** Default servers are not available

Server: UnKnown
Address: 192.168.0.254

Name: avatar.avatar.local
Addresses: 192.168.0.254, 192.168.1.2

А не могли бы подсказать как это сделать, я так понял что это нужно делать в настройках днс сервера, а вот как что то не могу найти?

Этот IP с клиентов доступен (пингуется)?
В консоли DNS создаете зону с именем (.) точка - ну и далее по тексту

Да, ответы есть.

Не знаю правильно ли я делаю, но делал следующее









Удалить получилось

Надо было сделать с точностью наоборот - сначала сделать зону AD-интегрированной - затем преобразовать в основную - потом удалить

В смысле в основную, я же ее создавал как основную интегрированную в АД или имелось ввиду удалить интеграцию из АД?
Если я правильно понял то после всей процедуры в логах ДНС появилось одно предупреждение и 2 уведомления (лог привожу в файле DnsLog2.txt)

попробуйте теперь перезагрузить сервер - ошибки в DNS логе остаются?
И как ситуация с проблемой на клиентах после этого?

появилось только одно уведомление о том что сервер ДНС запущен.
Пока не проявлялась, но она не постоянно раньше появлялась так что жду.
Спасибо за помощь.

Заодно посмотрите в консоли DNS в свойствах сервера на вкладке "интерфейсы" - слушает ли DNS сервер свой порт по IP 192.168.0.254 и 192.168.1.2

Стоит прослушивать любой интерфейс.
К стати с клиентами опять те же траблы, при это запустил телнет на комп. клиента и проверил пинги как по имени ДНС так и по имени Нетбиос, так и по айпи адресам сервера, ответы приходят.
В логах компа теже ошибки что и были раньше. Файлы прикрепил. К стати такие же ошибки и у остальных клиентов.
Так же на одном компе появились два отличных от других компов "Предупреждения":
1) Достигнут предел безопасности для TCP/IP, налагаемый на количество попыток одновременных TCP-подключений.
2)Обозреватель сети не смог загрузить список серверов с основного обозревателя \\AVATAR сети \Device\NetBT_Tcpip_{8FB2D90C-941C-4364-B4C6-C692AD378AB9}. Данными является код ошибки.

Так же на всех компах вылазит след. "Предупреждение":
Системе безопасности не удалось установить безопасное подключение к серверу DNS/prisoner.iana.org. Отсутствуют доступные протоколы проверки подлинности.

Что за сервер prisoner.iana.org вообще не пойму, откуда он такую запись берет, такого сервера у нас ни когда не было.

На сервере есть только 2 "Предупреждения" в разделе Система:
1)Служба DHCP обнаружила, что она запущена на контроллере домена (DC) и не имеет учетных данных, настроенных для использования с динамическими DNS-регистрациями, производимыми службой DHCP. Подобная конфигурация безопасности не рекомендуется. Учетные данные динамических DNS-регистраций можно настроить с помощью утилиты командной строки "netsh dhcp server set dnscredentials" или с помощью программы администрирования DHCP.

Но DHCP через 3 сек. вернула что все нормально и запустилась

2)Дата 26.02.2010 Время 11:26:59 Категория SPNEGO (согласователь) Источник LSASRV Система безопасности обнаружила ошибку проверки подлинности сервера LDAP/AVATAR. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
(0xc000005e)".

Поробуйте изменить этот параметр в реестре на клиенте
http://support.microsoft.com/kb/239924

Теперь немного лучше стало.
Исчезли все ошибки кроме одной в разделе "Системный" "Предупреждение":
Системе безопасности не удалось установить безопасное подключение к серверу DNS/prisoner.iana.org. Отсутствуют доступные протоколы проверки подлинности.

но сторонний шелл на некоторых компах не запускается
Причем до внесения изменений в реестр шел не запускался только на одном компе, а после внесения еще на 2-х компах не запустился.
П.С. а свитч может быть виной этому?

Теоретически, даже плохо обжатый кабель
Попробуйте на проблемной машине (только одной - не надо сразу на всех) через gpedit.msc включить параметр "Always wait for the network at computer startup and logon Group Policy"
Computer Configuration\Administrative Templates\System\Logon

Проверил, помогло. По пробовал еще на двух компах, тоже помогло.

Появилась новая ошибка на одном компьютере:
Тип Предупреждение Источник DnsApi
Не удалось обновить и удалить записи ресурсов (RR) узлов (A)
для сетевого адаптера с параметрами:

Имя адаптера: {8FB2D90C-941C-4364-B4C6-C692AD378AB9}
Имя узла: avatar-02
Суффикс основного домена: avatar.local
Список DNS-серверов:
192.168.0.254
Отправка обновления на сервер: 192.1.1.1
IP-адрес (адреса):
192.168.0.2

Не удалось удалить эти записи A RR из-за системной ошибки. Код конкретной ошибки содержится в отображаемых ниже данных.

Теперь непонятно что за адрес сервера такой непонятный, в настройках DHCP такой адрес в качестве ДНС сервера не указывался точно.

Но эта ошибка вылазила во время замены свича (к стати замена не помогла). Больше эта ошибка не повторялась.

Теперь на четырех компьютерах клиентов начала вылазить ошибка со след. содержанием:
Достигнут предел безопасности для TCP/IP, налагаемый на количество попыток одновременных TCP-подключений.

Может кто знает с чем это может быть связано и куда копать для решения этой проблемы?