Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 След.
RSS
server 2003 sp2 + isa 2004 sp3 падает., udp флуд или что то похожее.
 
2 Andrey
Так мы про domain (53/tcp, 53/udp) или про netbios-ns (137/tcp, 137/udp) до сих пор говорили? Трафик, который Вы показали, напоминает вирусные бродкасты.
 
Мы говорим о симптомах - которые я описал в первом посте - ничего нового.
Проблема в сети есть - точно она в клиентских ПК. Симптомы её я уже описал как мог красноречиво. В последнее время - где то к обеду в районе 14-15 часов бывают моменты когда перформанс монитор ISA немного зашкаливает на количество UDP подключениях. В последние пару дней - за день не было отказов таких что бы шлюз вообще не пинговался или днс запросы не разрешал, но ситуация явно никуда не делась.
Комплексно решать проблему не потяно как - руки одни сейчас а машин клиентских около 80 постоянно работающих.
Вопрос на что конкретно обратить внимание при прослушки трафика на шлюзе что бы попытаться локализовать зловреные машины.
Поставил aps от лаборатории касперского - проработал он весь день - ничего не поймал.
 
Цитата
Andrey пишет:
Вопрос на что конкретно обратить внимание при прослушки трафика на шлюзе что бы попытаться локализовать зловреные машины.
1. На аномально высокий трафик с конкретных узлов. Кто больше флудит, с тем и разбираться. Если флудит доменный контроллер, то опять же с ним разбираться, флудит сам или флудят через него клиенты.
2. Как я и говорил выше, отсечь легитимный трафик и разбираться с левым, как в 1-м пнкте. Искать, кто флудит и разбираться.
Ничего более определенного сказать не могу без картины сетевой активности. Хотя могу предположить еще одну проблему, а не глючит ли сам шлюз, медленно отвечая на запросы, в следствии чего они накапливаются:
Цитата
в районе 14-15 часов бывают моменты когда перформанс монитор ISA немного зашкаливает на количество UDP подключениях
 
мне это похоже на NBNS(netbios) бродкаст шторм. Проверьте, не используют ли клиенты несуществующий WINS сервер. Скорее всего во время переноса серверов на новое железо, вы его просто не подняли.
 
С винзами щас посмотрю что твориться - но наврядли - на шлюзе винз сервера отродясь не бывало. А больше не просиходило особоых изменений кроме шлюза.

Если к вопросу о том что шлюзовая машина сама по себе глючит и не справляется с запросами и умирает - какие счётчики поставить на мониторинг?
Что бы это выявить. Не исключаю такой возможности.
 
Цитата
Andrey пишет:
какие счётчики поставить на мониторинг?
Я в windoze разбираюсь слабо. Может windoze-ные гуру подскажут?
 
Andrey,
Цитата
Структура сети плоская. 1 маршрутизатор - он же шлюз, 3 контроллера домена.
Давай побережем время, наше и ваше. Можно развить мысль в продолжении к той цитате, что я привел?! С описание модели маршрутизатора (шлюза), сабнетов и DNS конфигурации.
 
1 сеть 192.168.1.0 никаких подсетей
 
Цитата
Andrey пишет:
1 сеть 192.168.1.0 никаких подсетей
а что вы называете шлюзом, это аппаратный маршрутизатор или w2k3 сервер с ISA(если да, то ISA - это кэширующий прокси сервер, а винду тем более сложно назвать маршрутизатором)? Хорошо, у вас один сабнетворк 192.168.1.0/24, а сколько DNS серверов поднято? - один, праймари, будет к месту(имхо).В настройках всех рабочих станций и на оставшихся DC ставим реальный IP единственного DNS сервера(локального). В рутхинтс(root hints), проследите, чтобы были только root-сервера. Посмотрите этушпаргалку... По умолчанию, вынь 2003 использует b-node для определения имен. Настройте WINS, это спасет вас от бродкаста. Не забудьте обнулить все записи в LMHOSTS, затем обновите серверные данные.   После того как вы приведете сеть к этому знаменателю, либо наконец уточните структуру, тогда установите microsoft network monitor на том сервере, где адреса резолвятся, либо wireshark, это спасет при любых "странностях" с сетью. NetMon кстати очень полезен для проблем с netbios.
 
Вроде бы конфигурацию я уже описывал.
Первый сервер: кеширующий прокси ISA с 2 интерфейсами. Первый реальные адреса - второй 192.168.1.1
Там поднят днс сервер на 2 зоны 1 реальная зона и это примари днс сервер для внешних обращений, держит почтовую доменную зону и остальные ссылки на внешнедоступные ресурсы. 2 зона это секандари зона стянутая с контроллеров домена - доменная локальная.
Второе - 3 контроллера домена. На них подняты сответственно днс сервера с доменной зоной - и настроен форвард на ISA сервер.
Два из этих контроллеров являются WINs серверами с настроеной репликацией.

Пользователи настроены - слегка поразному, есть самоуправство с их стороны некоторое. Но по стандарту указаны днс сервера - ISA сервер и один из контроллеров домена. И Винз сервера указаны.
 
Цитата
Andrey пишет:
Вроде бы конфигурацию я уже описывал.
,
описывал, да не полно и не точно, но да и не суть... Советую все-таки поднять WINS на шлюзе. Есть такое правило в винде: если используется netbios в любых применениях, поднимайте WINS для уменьшения траффика по бродкасту. Если сеть не ориентированна на броузинг (netbios), то запретите его. Active Directory использует DNS.  Вроде все легко и просто.
 
ещё мысли?
 
Поставил вместо 2004 ISA 2006ую. Интернет побежал очень шустро и казалось бы проблема ушла. Поставил sp1 все патчи которые нашёл. Пару дней всё без проблем.
Сегодня утром картина маслом.
1000+ подключений(Перфоманс монитор изменился у ИСЫ - теперь просто пишет общее количество подключений и есть счётчик на количество подключений в секунду) И всё висит. DNS шлюза не доступен - пинги не проходят. В общем картина совершенно такая же как и была с 2004 исой...
Через 20 минут отвисла - количество подключений упало до 500-600 - интернет заработал.

Снова в панике.
 
Ищем, что в сети вызывает такой трафик. Если Вам недосуг этим заниматься, подождите - я завтра дурман-травы пыхну, потом косячок забью - соединюсь с астралом и сделаю это все за Вас.
 
Ничего конкретного в сети не вызывает такой трафик.
сейчас 500-600 подключений показывет перформанс монитор ИСЫ.
Всё работает.

Мне посоветовали убрать галочку в Flood Mitigation
Log ftaffic blocked by flood mitigation setting

пока живёт
 
Цитата
Andrey пишет:
Ничего конкретного в сети не вызывает такой трафик.

Ну как же не вызывает? Вы же сами говорили.

Цитата
Andrey пишет:
1000+ подключений(Перфоманс монитор изменился у ИСЫ - теперь просто пишет общее количество подключений и есть счётчик на количество подключений в секунду) И всё висит. DNS шлюза не доступен - пинги не проходят. В общем картина совершенно такая же как и была с 2004 исой...

Мой многолетний опыт работы позволяет мне усомниться в верности тезиса "Оно само". Не верю я в чудеса и барабашек. Надо фиксировать такие моменты и пытаться найти источник флуда. Возможно, удастся найти закономерность. К сожалению, без детальной работы в своей сети Вы вряд ли решите проблему.
 
Итак постарался неорывно следить за ситуацией. Запустил на сервере aps от касперского - флуда он не засёк - за два дня. Запустил TCPView вместе с перформарнс монитором. Итак 14.15 время количество подключений начинает рости. От стандартных 500-600 по 100-200 в секунду начинает добираться до 1000-1400. В этот момент именно на росте числа подключений включаю tcpview он видит 100 соединений клозе вейт 30 - ЕндПоинтс 2000. Куча подключений вернее ендпоинтов от процесса dns.exe. Если убрать Ендпоинты то будет даже весьма приличная картина. В этот момент на росте количества соедининений отваливается днс. Тоесть изнутри локалки на сервер nslookup не пускает за запросы не отвечает. Прошла минута и число соединений начало падать. где то в середине этого падения днс запросы начали обрабатываться... на уровне 900-800 уже более ли менее всё работало. Вернулось на свои 500-600.
15.45 картина повторилась но прекращения работы не было просто подскок до 1200 подключений и сразу же падение до 400 - днс продолжал работать.

Сейчас 15.55 - перформанс показывает 350 подключений активных.
TCPview показывает ендпоинтсов - 2880, Установленых соедининени 32, таймвейт 28, клозвейт 52
 
Источник надо ловить такого всплеска, Андрей. Это ведь очевидно. Вы сейчас описали развитие ситуации. Неужели в голову не приходило, что надо найти её источник? Атак да - классно расписано.  :)
 
Цитата
SOLDIER пишет:
А так да - классно расписано.
- согласен!
вот и мне показалось, что вы, Andrey - автор эпистолярного жанра. Сидите, смотрите, удивляетесь. А где оперативная работа с сетью? Думаете, что найдется "крутой спец", который скажет: а вот поставьте галочку там и сям и все исправится?! - мой опыт подсказывает, что чудес не бывает. Вам подсказали кучу путей поиска еще на первой странице, это общие слова, но вы же и не следовали подсказкам, чтобы можно было развить тему. Хорошо, это не бродкаст - вычеркнули, ДНС - тут с самого начала видна проблема. Я бы никогда не засунул три домейн контроллера в один сабнет! Это неверно, почитайте опять же "best practice"на technet.microsoft.com. Если проблемы с эндпойтс , то почему я ничего не услышал про Ntdsutil, Dcdiag,  Netdiag и иже с ними. И потом, вам писали, что днс-ы не должны форвардится на ISA. С учетом того, что про ваши правила мы ничего не знаем, посмотрите http://www.isaserver.org/articles/2004perimeterdomain.html.
Практически: "отцепляйте" логические сегменты сети и смотрите за изменениями. Ru_Lids писал:
Цитата
Кто больше флудит, с тем и разбираться. Если флудит доменный контроллер, то опять же с ним разбираться, флудит сам или флудят через него клиенты.
.

Неужели недостаточно сказано!!!
 
Так что получается то что при 2000 подключениях ИСА умирает? Или это от мощьности моей машины зависит - хотя что то не вериться.
Иэто корпоративный брендмауэр???

Вот из реальных предложений я пока услышал только то что днс в этой сети настроен не правильно. 7 лет жила сеть не тужила и не страдала никогда такими проблемами а тут на тебе не правильно.
Ваши предложения как должно быть правильно?
есть внешняя зона - она исторически лежала на шлюзе всегда и реплицировалась на 2 днс сервера провайдера вот уже 7-8лет.
есть внурення зона днс от внутреннего домена.
есть 3 контрллера домена - да есть вопросы на счёт необходимости их, хотя где то читал что микросовт реккомендует по контроллеру на каждые 10 пользователей.
На всех контрллерах настроен форвард днс запросов которые они не могут разрешить на шлюз. На шлюзе на провайдера.
На 100+ пользовательских машинах прописаны днс1 - шлюз, днс2 какой то из контроллеров.
Слушаю предложения.
Страницы: Пред. 1 2 3 След.
Читают тему