Постоянно падает компьютер, выполняющий роль прокси
 

Здравствуйте!

Уже несколько дней как возникла проблема.
Доменная сеть под управлением win server 2003. К ней подключен комп, с win xp в качестве прокси (usergate). Доступ к ним в основном осуществляется по RDP.
Ни с того ни с сего стал падать комп с проксёй. Железо всё впорядке, проверил вплоть до бесперебойника. Падает буквально каждые пол часа. Если я в этот момент был подключен к нему по RDP, то мой пользователь сразу блокируется в АД.

В журнал событий полезли следующие ошибки:
Приложения:
* Не удалось определить имя пользователя или компьютера. (Сервер RPC недоступен. ). Обработка групповой политики прекращена.
* Не удалось определить имя пользователя или компьютера. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.
* Автоматическая подача заявки на сертификат Локальная система: не удалось связаться с каталогом Active Directory (0x8007003a). Указанный сервер не может выполнить требуемую операцию.
Подача заявки выполнена не будет.

Система:
* Для домена <имя домена> нет доступного контроллера домена. Ошибка:
Сервер RPC недоступен. .
Убедитесь в том, что компьютер подключен к сети и повторите попытку. Если ошибка повторяется, обратитесь к сетевому администратору.

На DC в событиях:
DNS-сервер:
* На DNS-сервере обнаружен некорректный пакет от <ip падающего компа>. Обработка пакета продолжается вне границ, определенных его длиной. В данных события содержится пакет DNS.

Кроме этих ошибок в журналах событий всё впорядке...
Службы все работают. Уже даже и не знаю на что подумать...подскажите пожалуйста выход из ситуации...

- убрать DNS провайдера с внешнего интерфейса.
- убедиться что вас никто не брутит (логи tcp 3389 inbound в юзергейте).
- переименовать свою учётку.
- установить все обвноления на ОС.

На самом деле брутят...Обновы сделаны, днс убрал...
Что с брутерами делать?

В журнале безопасности, в отказах нет моей учётки, брутят по другим, не существующим именам...

укажите с каких именно IP адресов можно подключаться по RDP и всё.

Проблема в том, что подключаются некоторые работники из дома, там динамические ip...

upd: вбил диапазон всего необходимого провайдера, так как брутфорсят с иностранных ip... посмотрим, как будет вести себя комп...

Пока полёт нормальный, видимо дело действительно было в брутфорсе...Спасибо большое за помощь!)

Смените порт RDP (это оч. просто) и/или примените IPSec для защиты порта (задача посложнее, но на порядок безопаснее, ибо Server 2003 открыт для атаки Man-In-The-Middle, атакующий может получить пароли пользователей в считанные секунды).

Через 3 часа нормальной работы он всё же снова упал...
брутфорс отпал.

Осталась ошибка:
Не удалось определить имя пользователя или компьютера. (Сервер RPC недоступен. ). Обработка групповой политики прекращена.

Последнее перед ребутом предупреждение:
Система безопасности обнаружила попытку атаки для понижения роли сервера cifs/<имя DC>. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
(0xc000005e)".

Правда оно минут за 10 до него.

Сетевую которая смотрит в локальную сеть пробЫвали менять?

Нет, сетевую менять не пробовал.

Сделал анализ минидампа. Краш происходит по вине двух процессов, hal.dll и ntoskrnl.exe... я так полагаю мне теперь в тему по восстановлению ядра?