» Флейм для сисадминов (часть III)
Дарова, коллеги! ) не думал что найти подходящий syslog анализатор под web трафик - затруднительная идея... эх! ) пользуете отдельный syslog server в своей сети?
Друзья нужен совет.
Не знаю в чем проблема. Может у кого-то было такое.
Сеть - доменная. Есть терминальный сервер, на нем пару расшаренных папок, которые подключается как сетевые диски.
Последние дни происходит такое:
Сетевые диски становятся не доступные + пользователи не могут запускать Remote Desktop. В это время локально можно работат на сервере (но в некоторых ситуациях на сервере тоже ничего не возможно делать ~20%, просто кнопочка рестарт помогает), помогает только перезагрузка. Потом опять работает, и так в день 1-2 раза.
Ковырялся в логах на терминале, в момент X на сервере куча таких логов:
Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1110
Date: 21.07.2009
Time: 17:49:20
User: NT AUTHORITY\SYSTEM
Computer: __________
Description:
Attempt to determine whether user and machine accounts are in the same forest failed (There are currently no logon servers available to service the logon request. ).
Прогуглил, говорят что из-за kerberos'a. Смотрел логи DC- там тоже такие эрроры:
Event Type: Error
Event Source: Kerberos
Event Category: None
Event ID: 4
Date: 21.07.2009
Time: 13:39:44
User: N/A
Computer: DC
Description:
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/pc_name.domain. The target name used was cifs/pc_name2.domain. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (domain), and the client realm. Please contact your system administrator.
Думаю ошибка не вире. Так это из-за kerberos'a или в терминале что-то не так настроено....или я совсем в другую сторону смотрю
З.Ы. На другом серваке есть другие расшаренные папки, но эти сервера работают как "файл-сервер" и без проблем.
Не знаю в чем проблема. Может у кого-то было такое.
Сеть - доменная. Есть терминальный сервер, на нем пару расшаренных папок, которые подключается как сетевые диски.
Последние дни происходит такое:
Сетевые диски становятся не доступные + пользователи не могут запускать Remote Desktop. В это время локально можно работат на сервере (но в некоторых ситуациях на сервере тоже ничего не возможно делать ~20%, просто кнопочка рестарт помогает), помогает только перезагрузка. Потом опять работает, и так в день 1-2 раза.
Ковырялся в логах на терминале, в момент X на сервере куча таких логов:
Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1110
Date: 21.07.2009
Time: 17:49:20
User: NT AUTHORITY\SYSTEM
Computer: __________
Description:
Attempt to determine whether user and machine accounts are in the same forest failed (There are currently no logon servers available to service the logon request. ).
Прогуглил, говорят что из-за kerberos'a. Смотрел логи DC- там тоже такие эрроры:
Event Type: Error
Event Source: Kerberos
Event Category: None
Event ID: 4
Date: 21.07.2009
Time: 13:39:44
User: N/A
Computer: DC
Description:
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/pc_name.domain. The target name used was cifs/pc_name2.domain. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (domain), and the client realm. Please contact your system administrator.
Думаю ошибка не вире. Так это из-за kerberos'a или в терминале что-то не так настроено....или я совсем в другую сторону смотрю
З.Ы. На другом серваке есть другие расшаренные папки, но эти сервера работают как "файл-сервер" и без проблем.
rkhodjaev
на сколько это мне знаком - это kido. Он пытаеться авторизоваться (подбором пароля) и потом зависает сервер авторизации (контроллер домена).
Притом, Kido может сидеть не только на
Цитата:
to ALL
Вчера мне удивил одна рабочая станция. Ее принесли для ремонта (замена БП). Комп простоял 2 дня в тех.отделе, а потом меняли БП, включил для проверки и вижу требует пароль на вход в домен. я ввел пароль (думая, что полюбому пошлет) и... зашел в систему ! (он физически отключен был от сети)
Может подскажете в чем прикол, я на сколько знаю - если DC не доступен, то не должны авторизоваться рабочие станции. А если даже скажем локально кешируется пароль, то сколько он храниться, что 2 дня без DC, компьютер проходит авторизацию ?
Мне кажется , что это совсем не безопасно. Как можно исправить эту "лазейку" ?
на сколько это мне знаком - это kido. Он пытаеться авторизоваться (подбором пароля) и потом зависает сервер авторизации (контроллер домена).
Притом, Kido может сидеть не только на
Цитата:
Computer: __________, а еще и на других компах. сканируйте CureIT! все компьютеры, если возможно.
to ALL
Вчера мне удивил одна рабочая станция. Ее принесли для ремонта (замена БП). Комп простоял 2 дня в тех.отделе, а потом меняли БП, включил для проверки и вижу требует пароль на вход в домен. я ввел пароль (думая, что полюбому пошлет) и... зашел в систему ! (он физически отключен был от сети)
Может подскажете в чем прикол, я на сколько знаю - если DC не доступен, то не должны авторизоваться рабочие станции. А если даже скажем локально кешируется пароль, то сколько он храниться, что 2 дня без DC, компьютер проходит авторизацию ?
Мне кажется , что это совсем не безопасно. Как можно исправить эту "лазейку" ?
contrafack
По-моему три раза можно зайти без DC, независимо от проведенного времени простоя. Поправьте, если неправ.
По-моему три раза можно зайти без DC, независимо от проведенного времени простоя. Поправьте, если неправ.
eap
Спасибо за совет, но такие устройства не совсем то что нужно. Дело в том, что сервак не полностью зависает, а подглючивают ряд служб. Поэтому нужно устроуство которое по сигналу из инета сбрасывало питание. Такая умная розетка есть, но стоит от 300$
contrafack
Пароль для входа в домен кэшируется на локальной машине. У меня был глюк что машина подцепленная в сетке заходила под старым паролем. Вылечил следующим образом: гр. Пол-ки домена: кон-я пк\адм. Шаблоны\система\вход в систему\ всегда ожидать инициализации сети при загрузке
при этом все компы чуть дольше загружаются потому, что жду настроек сетки, зато безопасно
Добавлено:
Всем привет, и заранее спасибо за помощь.
Столкнулся с проблемой:
на флешке вместо имен папок и файлов не понятные кракозябры. Пробовал восстанавливать R-Studio но безуспешно. Как всегда бекапа нет
Спасибо за совет, но такие устройства не совсем то что нужно. Дело в том, что сервак не полностью зависает, а подглючивают ряд служб. Поэтому нужно устроуство которое по сигналу из инета сбрасывало питание. Такая умная розетка есть, но стоит от 300$
contrafack
Пароль для входа в домен кэшируется на локальной машине. У меня был глюк что машина подцепленная в сетке заходила под старым паролем. Вылечил следующим образом: гр. Пол-ки домена: кон-я пк\адм. Шаблоны\система\вход в систему\ всегда ожидать инициализации сети при загрузке
при этом все компы чуть дольше загружаются потому, что жду настроек сетки, зато безопасно
Добавлено:
Всем привет, и заранее спасибо за помощь.
Столкнулся с проблемой:
на флешке вместо имен папок и файлов не понятные кракозябры. Пробовал восстанавливать R-Studio но безуспешно. Как всегда бекапа нет
contrafack
Цитата:
Не думаю что вирус. В свое время лечился от Confickera и поставил патчи на машины. Зависает не DC, а TS. логини не блокируется. Я сказал же, что подозрению на Conficker не вижу.
Цитата:
на сколько это мне знаком - это kido. Он пытаеться авторизоваться (подбором пароля) и потом зависает сервер авторизации (контроллер домена).
Притом, Kido может сидеть не только на
Цитата:Computer: __________
, а еще и на других компах. сканируйте CureIT! все компьютеры, если возможно.
Не думаю что вирус. В свое время лечился от Confickera и поставил патчи на машины. Зависает не DC, а TS. логини не блокируется. Я сказал же, что подозрению на Conficker не вижу.
turbov1
Цитата:
USB Flash Drive. Технические вопросы и ремонт
Цитата:
Столкнулся с проблемой:USB Flash Drive. Общие вопросы
USB Flash Drive. Технические вопросы и ремонт
contrafack
Цитата:
он же не в домен зашол, просто у вас по политикам разрешенно доменной учётке работать локально
Цитата:
Вчера мне удивил одна рабочая станция. Ее принесли для ремонта (замена БП). Комп простоял 2 дня в тех.отделе, а потом меняли БП, включил для проверки и вижу требует пароль на вход в домен. я ввел пароль (думая, что полюбому пошлет) и... зашел в систему ! (он физически отключен был от сети)
он же не в домен зашол, просто у вас по политикам разрешенно доменной учётке работать локально
Akam1
Спасибо, но поиском я пользоваться умею.
Спасибо, но поиском я пользоваться умею.
lovec123
а как это? ведь уч.запись (логин и пароль) должен храниться в AD ? че то не очень правильно такая политика...
а как это? ведь уч.запись (логин и пароль) должен храниться в AD ? че то не очень правильно такая политика...
contrafack
Цитата:
а пароль и логин сравнивается с тем что в кеше компьютера оттуда его можнео и расшифровать при желании
Цитата:
че то не очень правильно такая политика...так это ваша палитика однако
а пароль и логин сравнивается с тем что в кеше компьютера оттуда его можнео и расшифровать при желании lovec123
Цитата:
А можно подробнее, как то интересно стало
Цитата:
оттуда его можнео и расшифровать при желании
А можно подробнее, как то интересно стало
rkhodjaev
http://forum.nov.ru/index.php?showtopic=31256 экскурс, 5 пост, а так инфы много и на руборде как брутфорсить пароли под учётки
http://forum.nov.ru/index.php?showtopic=31256 экскурс, 5 пост, а так инфы много и на руборде как брутфорсить пароли под учётки
Что делать?Пос тети бегает вирус салити 32.Заражает все егзешники.На сервере постоянно вылазит ошибка генерик ност процесс.После загрузки вылазит окошко симантека(антивирь)что мол найден вирус и удален из папки систем32... с расширениями пм и всякме всякие,А еще множественное подключение к серверу по протоколу керберос.Что мне делать?Уже и АВЗ проверил.Все компы отключать от сети и проверять на каждом в безопасном режиме фиксом?
lovec123
Цитата:
то, что вы имеете ввиду - это вообше не то. там речь идет SAM файлов. а в SAM хранится локальные хеши паролей, а не доменовые.
Так что имеет смысл на самом деле искать верный ответ. Если найдете нормальные темы или статьи по делу - скиньте сюда.
Цитата:
http://forum.nov.ru/index.php?showtopic=31256 экскурс, 5 пост, а так инфы много и на руборде как брутфорсить пароли под учётки
то, что вы имеете ввиду - это вообше не то. там речь идет SAM файлов. а в SAM хранится локальные хеши паролей, а не доменовые.
Так что имеет смысл на самом деле искать верный ответ. Если найдете нормальные темы или статьи по делу - скиньте сюда.
contrafack
Если компьютер с Windows NT/2000/ХР входит в домен, то по умолчанию имена и хешированные пароли последних десяти пользователей, регистрировавшихся на этом компьютере, сохраняются (кэшируются) в его локальном системном реестре (в разделе SECURITY\Policy\Secrets раздела HKEY_LOCAL_MACHINE). Источник.
Если компьютер с Windows NT/2000/ХР входит в домен, то по умолчанию имена и хешированные пароли последних десяти пользователей, регистрировавшихся на этом компьютере, сохраняются (кэшируются) в его локальном системном реестре (в разделе SECURITY\Policy\Secrets раздела HKEY_LOCAL_MACHINE). Источник.
contrafack
lovec123
все правильно, на днях с тем же столкнулся, выключил локальную работу и все норм.
lovec123
все правильно, на днях с тем же столкнулся, выключил локальную работу и все норм.
contrafack
Цитата:
лучше всётаки не сюда, аналогичные вопросы в андеграунде
Добавлено:
dimpase
блин семантик пока заразу не вычестите по одному компьютеру либо есть бесплатная утилита от касперского какраз для вин32салити либо загружаясь испод ливсд от доктора веба сеть должна быть отключенна физически, просто куреит вроде не поможет потому что в безопасный режим нельзя войти, если компов много тогда вообще гемор оставаться наночь 2-3 админа и все компы проверять ну и пива можно попить у нас каспер админ кит стоит поэтому таких праблем давноу же небыло, иногда начальству нагло врём что всё пипец надо посидеть поотлавливать хитрый вирус в ночь а сами пиво пьём
Цитата:
Если найдете нормальные темы или статьи по делу - скиньте сюда.
лучше всётаки не сюда, аналогичные вопросы в андеграунде
Добавлено:
dimpase
блин семантик
пока заразу не вычестите по одному компьютеру либо есть бесплатная утилита от касперского какраз для вин32салити либо загружаясь испод ливсд от доктора веба сеть должна быть отключенна физически, просто куреит вроде не поможет потому что в безопасный режим нельзя войти, если компов много тогда вообще гемор оставаться наночь 2-3 админа и все компы проверять ну и пива можно попить у нас каспер админ кит стоит поэтому таких праблем давноу же небыло, иногда начальству нагло врём что всё пипец надо посидеть поотлавливать хитрый вирус в ночь а сами пиво пьём contrafack
в доменной политике может быть указано сколько можно оффлайно заходить в кэшированный доменный профиль. у нас стоит число 50 например.
в доменной политике может быть указано сколько можно оффлайно заходить в кэшированный доменный профиль. у нас стоит число 50 например.
народ подскажите у мне сервак один попался intel SR1500 1U , ну вот на нем никак не могу понять как включить консольку сзади есть дырка RJ45 рядом значек IOIOI , шнур вставляю не реагирует, на свиче линк не поднимается. В биосе настроек нету относительно этого. Прочитал что это аналог HP ILO , называется RMM, на HP всё просто, а тут как? есть еще какая то EFI SHELL там посмотрел тоже не нашел ничего подобного чтобы включить консоль.
Помоему нужен бубен. подскажите куда танцевать дальше?
Помоему нужен бубен. подскажите куда танцевать дальше?
подскажите плз каким софтом можно протестировать сегменты сети на предмет возникновения ошибок
коллеги, подскажите как лучше ограничить доступ к локалке ?
дела в том, что есть удаленный сотрудник, который с другого города через RDP подключается к компьютеру COMP1, который находится в локальном сети компании (ОС - windows XP pro SP2). Стоит задача: чтоб этот удаленный работник не имел доступ к сети. Т.е. чтоб он только смог подключится к COMP1 и там работать со своим PROG1 (программой) и не смог пользоваться "сетевым окружением" и расшаренными ресурсами других рабочих станций.
дела в том, что есть удаленный сотрудник, который с другого города через RDP подключается к компьютеру COMP1, который находится в локальном сети компании (ОС - windows XP pro SP2). Стоит задача: чтоб этот удаленный работник не имел доступ к сети. Т.е. чтоб он только смог подключится к COMP1 и там работать со своим PROG1 (программой) и не смог пользоваться "сетевым окружением" и расшаренными ресурсами других рабочих станций.
Уважаемые ,вопрос :если если сдох SCSI винт на рейд контроллере , рейд 1 уровня, обязательно ли покупать именной такой же винт , или можно купить другого прозводителя, других характеристик и что будет ,если новый винт подрубить к рейду 1 уровня, он сам зазеркалит то, что на выжившем винте?
OOD, всё зависит от контроллера, но даже самый простейший - по своему опыту - примет в зеркало любой рабочий винт, просто конфиг массива будет строиться по минимальному значению. Т.е. если спаривать винты по примерной схеме объёма "80Gb + 320Gb" - в зеркале будет 80Gb, и ни байтом больше, остальное пространство будет либо тупо неразмеченным, либо размеченным, но - недоступным ни тебе, ни контроллеру, что по сути один фиг. Насчёт брендов точно можешь забить, если контроллер к маркам не капризный. По поводу несовпадения в скорости - смотри мануал, 10k и 15k спаривать по определению не стоит, хотя бы исходя из вопроса будущей надёжности такого зеркала.
Насчёт восстановления инфы - тут тоже пляши от модели контроллера, есть и лентяи (пока не пнёшь - не полетит), есть и самостоятельные. Вот Marvell'овские (с ними работал чаще всего) после ребута и проверки начинают restore без дополнительных пинков, но только под загруженной виндой, с помощью своего родного манагера. Мне бы, конечно, в идеале хотелось проводить restore до загрузки о/с (ну, мало ли какие траблы случились с железом), но выбирать не приходится.
Насчёт восстановления инфы - тут тоже пляши от модели контроллера, есть и лентяи (пока не пнёшь - не полетит), есть и самостоятельные. Вот Marvell'овские (с ними работал чаще всего) после ребута и проверки начинают restore без дополнительных пинков, но только под загруженной виндой, с помощью своего родного манагера. Мне бы, конечно, в идеале хотелось проводить restore до загрузки о/с (ну, мало ли какие траблы случились с железом), но выбирать не приходится.
Подскажите что можно сделать и где посмотреть. Проблема такая есть два провайдера использую их интернет скоростью 5 мбит и внешний ip. Есть ноутбук с мобильным интернетом с него я прекрасно работаю по rdp подключаясь к своему компьютеру через внешний ip первого провайдера все очень стабильно, идеально. Через внешний ip второго провайдера подключаясь к второму своему компьютеру здесь беда просто постоянный реконект жуткие тормоза. Там где стоит второй компьютер другого провайдера к сожалению нет. Привозил
первый компьютер на место второго та же беда. Звонил провайдеру дают советы типа отключите антивирус и фаервол либо, что нотебуком с мобильным интернетом невозможно работать по rdp, на любые вопросы отвечают у нас все в порядке. В этой ситуации думаю, что виноват второй провайдер. Что можно сделать чтобы провайдер улучшил качество своих услуг или может нужна какая-то тонкая настройка на этого провайдера, посоветуйте, как лучше поступить.
первый компьютер на место второго та же беда. Звонил провайдеру дают советы типа отключите антивирус и фаервол либо, что нотебуком с мобильным интернетом невозможно работать по rdp, на любые вопросы отвечают у нас все в порядке. В этой ситуации думаю, что виноват второй провайдер. Что можно сделать чтобы провайдер улучшил качество своих услуг или может нужна какая-то тонкая настройка на этого провайдера, посоветуйте, как лучше поступить.
niko7
Вы запятые из принципа не ставите? Все, что Вы написали, не несет полезной информации для ответа на Ваш вопрос.
1. Провайдеры? GSM, CDMA, ... (коннет по GPRS, EDGE, 3G)?
2. Подключение через VPN( если - да, то какой VPN? мобильные операторы часто блокируют GRE протокол) или напрямую по RDP?
3. Время отклика? (пинг, его стабильность, при разной длине пакета)
4. Уровень приема в точке с проблемным компом?
5. Значение MTU?
Вы запятые из принципа не ставите?
Все, что Вы написали, не несет полезной информации для ответа на Ваш вопрос. 1. Провайдеры? GSM, CDMA, ... (коннет по GPRS, EDGE, 3G)?
2. Подключение через VPN( если - да, то какой VPN? мобильные операторы часто блокируют GRE протокол
) или напрямую по RDP? 3. Время отклика? (пинг, его стабильность, при разной длине пакета)
4. Уровень приема в точке с проблемным компом?
5. Значение MTU?
contrafack
Цитата:
Маленькую прогу сделал, после подключения c remote desktop'ом, у него запускается мой софт, а там только иконка его проги. Запускает свою прогу, поработает и закрывает(после закрытие проги, RD коннекшен тоже отрубается).
З.Ы.
Он в домене или нет? Он у меня не в домене, так что к сетевым ресурсам е него нет доступа.
Цитата:
чтоб он только смог подключится к COMP1 и там работать со своим PROG1 (программой)
Маленькую прогу сделал, после подключения c remote desktop'ом, у него запускается мой софт, а там только иконка его проги. Запускает свою прогу, поработает и закрывает(после закрытие проги, RD коннекшен тоже отрубается).
З.Ы.
Он в домене или нет? Он у меня не в домене, так что к сетевым ресурсам е него нет доступа.
А прикольно смотрится сообщение поверх виндового скринсейвера
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267
Предыдущая тема: Настройка Apache PHP Oracle
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.