Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Постоянно падает компьютер, выполняющий роль прокси (http://forum.oszone.net/showthread.php?t=242437)

wiZZy 11-09-2012 15:02 1986692

Постоянно падает компьютер, выполняющий роль прокси
 
Здравствуйте!

Уже несколько дней как возникла проблема.
Доменная сеть под управлением win server 2003. К ней подключен комп, с win xp в качестве прокси (usergate). Доступ к ним в основном осуществляется по RDP.
Ни с того ни с сего стал падать комп с проксёй. Железо всё впорядке, проверил вплоть до бесперебойника. Падает буквально каждые пол часа. Если я в этот момент был подключен к нему по RDP, то мой пользователь сразу блокируется в АД.

В журнал событий полезли следующие ошибки:
Приложения:
* Не удалось определить имя пользователя или компьютера. (Сервер RPC недоступен. ). Обработка групповой политики прекращена.
* Не удалось определить имя пользователя или компьютера. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.
* Автоматическая подача заявки на сертификат Локальная система: не удалось связаться с каталогом Active Directory (0x8007003a). Указанный сервер не может выполнить требуемую операцию.
Подача заявки выполнена не будет.

Система:
* Для домена <имя домена> нет доступного контроллера домена. Ошибка:
Сервер RPC недоступен. .
Убедитесь в том, что компьютер подключен к сети и повторите попытку. Если ошибка повторяется, обратитесь к сетевому администратору.

На DC в событиях:
DNS-сервер:
* На DNS-сервере обнаружен некорректный пакет от <ip падающего компа>. Обработка пакета продолжается вне границ, определенных его длиной. В данных события содержится пакет DNS.

Кроме этих ошибок в журналах событий всё впорядке...
Службы все работают. Уже даже и не знаю на что подумать...подскажите пожалуйста выход из ситуации...

cameron 11-09-2012 15:31 1986709

- убрать DNS провайдера с внешнего интерфейса.
- убедиться что вас никто не брутит (логи tcp 3389 inbound в юзергейте).
- переименовать свою учётку.
- установить все обвноления на ОС.

wiZZy 11-09-2012 16:22 1986746

На самом деле брутят...Обновы сделаны, днс убрал...
Что с брутерами делать?

cameron 11-09-2012 16:24 1986748

Цитата:

Цитата wiZZy
Что с брутерами делать? »

Цитата:

Цитата cameron
- переименовать свою учётку. »


wiZZy 11-09-2012 16:34 1986757

В журнале безопасности, в отказах нет моей учётки, брутят по другим, не существующим именам...

cameron 11-09-2012 21:33 1986949

Цитата:

Цитата wiZZy
брутят по другим, не существующим именам... »

укажите с каких именно IP адресов можно подключаться по RDP и всё.

wiZZy 12-09-2012 07:40 1987126

Проблема в том, что подключаются некоторые работники из дома, там динамические ip...

upd: вбил диапазон всего необходимого провайдера, так как брутфорсят с иностранных ip... посмотрим, как будет вести себя комп...

wiZZy 12-09-2012 12:44 1987298

Пока полёт нормальный, видимо дело действительно было в брутфорсе...Спасибо большое за помощь!)

WindowsNT 12-09-2012 13:22 1987323

Смените порт RDP (это оч. просто) и/или примените IPSec для защиты порта (задача посложнее, но на порядок безопаснее, ибо Server 2003 открыт для атаки Man-In-The-Middle, атакующий может получить пароли пользователей в считанные секунды).

wiZZy 12-09-2012 13:42 1987335

Через 3 часа нормальной работы он всё же снова упал...
брутфорс отпал.

Осталась ошибка:
Не удалось определить имя пользователя или компьютера. (Сервер RPC недоступен. ). Обработка групповой политики прекращена.

Последнее перед ребутом предупреждение:
Система безопасности обнаружила попытку атаки для понижения роли сервера cifs/<имя DC>. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
(0xc000005e)".

Правда оно минут за 10 до него.

Telepuzik 12-09-2012 14:26 1987356

Цитата:

Цитата wiZZy
Железо всё впорядке, проверил вплоть до бесперебойника. »

Сетевую которая смотрит в локальную сеть пробЫвали менять?

wiZZy 13-09-2012 15:26 1987993

Нет, сетевую менять не пробовал.

Сделал анализ минидампа. Краш происходит по вине двух процессов, hal.dll и ntoskrnl.exe... я так полагаю мне теперь в тему по восстановлению ядра?


Время: 17:54.

Время: 17:54.
© OSzone.net 2001-