Форум по программам и оборудованию > >

Регулярное падение локальной сети, сервер 2008R2

24.05.2018 13:18


[ОТВЕТИТЬ]
13.02.2018 02:20
prim
 
Имеем сервер 2008R2, на котором работает MSSQLSERVER. Из ролей - только Файловый сервер. в локальной сети 5 клиентов ОС -Вин7, 3 шт DIGI SM100 и DIGI SM500, два ФР и два банковских терминала, роутер Линксис Е900. На всех машинах установлена лицензионная Авира.

Проблема: стала падать локальная сеть через не равные промежутки времени, но примерно минут через 30. Клиенты перестают видеть сервер и друг друга. примерно через 2-5 мин работа сети восстанавливается. Изучение логов системы выявило такие ошибки:

"Событие 56, TermDD
Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 213.123.235.17", (таких адресов несколько) и

"Событие 36888, Schannel
Возникло следующее неустранимое предупреждение: 10. Внутреннее состояние ошибки: 1203."

Результатом поиска стало отключение удаленного доступа и отмена правила проброса порта на роутере. Ошибки не появляются, но сеть продолжает падать регулярно.
После дальнейших поисков было предпринято следующее:
- на сервере была заменена сетевая карта на новую, старая была отключена и удалена из устройств.
- был заменен свитч на новый
- поочередное отключение клиентов явной взаимосвязи с падением сети не показало
- на всех клиентах проведен сброс и заново настройка сетевых карт
- с сервера удалена Авира, после чего сеть работала на 15 мин. дольше, но все равно упала.
- на сервер установлен SEP со своим файрволом
- сейчас качаю обновления от МС, но без особого рассчета на успех.
Из мыслей осталась только восстановить систему из образа двухлетней давности и пока всё (

Есть ли идеи по выходу из ситуации, поделитесь пожалуйста? Заранее благодарен.
13.02.2018 07:02
OlegON
 
Перечисленные ошибки к проблеме отношения не имеют, это следствие. Надо бы найти другие. Полагаю, что кто-то лезет в сеть с DHCP или адресом сервера. С этого и надо начать.
Если из того, чтобы пальцем в небо, то можно попробовать следующее:
Обновление может помочь и обновления должны быть регулярными и у всех, т.е. на клиентах тоже.
Из полезного - лучше отключить IPv6 совсем. Особенно, если нет понимания, как оно работает.
https://olegon.ru/showthread.php?t=19689, но лучше - совсем. Я тут, вроде, писал, как это сделать.
SEP очень быстро лучше снести. И до обновлений. Надеюсь, сервер задницей в интернет не торчит? А то ролей у сервера резко прибавится.
На всякий проверить настройки энергосбережения, в том числе на сетевой карте сервера.
Если MSSQL не очень нагруженный, я бы предложил текущую винду засунуть в виртуалку, а файлопомойку поднять на Linux, где параллельно эту виртуалку и крутить.
13.02.2018 07:23
prim
 
спасибо!
IPv6 отключен
с отключения устройства на карте галка снята
установка обновления завершена, посмотрю, не помогло ли (скорее всего нет)
по поводу проникновения в сеть - наблюдаю такие сообщения в журнале:

Не удается найти описание для идентификатора события 18456 из источника MSSQLSERVER. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.

Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.

К событию были добавлены следующие сведения:

sa
Reason: Password did not match that for the login provided.
[CLIENT: 124.67.115.131]
13.02.2018 07:32
OlegON
 
Сервер в инет смотрит?
13.02.2018 08:55
Propil
 
Надо смотреть, в каком он режиме - роутер. Если бридж - то ваш сервак практически открытой попой наружу торчит.
13.02.2018 09:03
OlegON
 
Ну, если за рутером, то предлагаю особо не паранойить и убрать SEP, но подкрутить рабочие станции, чтобы и вирусов там не было, и юзеры не баловали.
Да, Avira я не люблю. Есть утилитка KVRT, регулярный оффлайновый прогон вместе с подкрученными правами и штатным антивирусом Windows вполне себе рабочий вариант. Сейчас предлагаю на всех машинах, включая сервер, прогнать KVRT. Еще раз, про IPv6. ВЕЗДЕ, на всех машинах он должен быть отключен в реестре, а не галочкой на интерфейсе. Рутер заслуживает пристального внимания. 124.67.115.131 - это Китай. Как ему напрямую виден сервер - очень интересный вопрос. Скорее всего, где-то в сети поднят гейт, который и рушит все остальное. Но, если вообще какое-то соединение прошло, то надо смотреть таблицу рутинга на сервере. Сервер тоже видит этот адрес напрямую.
Код:
route print
tracert 124.67.115.131
должны показать что-то интересное. И журналы винды, системы, приложения и безопасности. И винду срочно обновить!
13.02.2018 09:04
OlegON
 
Я как-то и не подумал, действительно, рутер-то бриджем поднят чтоль? И необновленная винда... Жди, Петя тебя уже нашел, наверное...
13.02.2018 10:40
prim
 
Microsoft Windows [Version 6.1.7600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

C:\Users\adminus>route print tracert 124.67.115.131
===========================================================================
Список интерфейсов
16...00 1e 67 02 a8 27 ......Intel(R) 82578DM Gigabit Network Connection
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Отсутствует
Постоянные маршруты:
Отсутствует
13.02.2018 11:22
OlegON
 
Караул :)
Это две команды
Код:
route print
[Enter]
Код:
tracert 124.67.115.131
Только ты не соскакивай, в каком режиме рутер и что сказал KVRT?
13.02.2018 13:45
prim
 
в режиме роутера, не бридж. пока на двух машинах запустил, жду
13.02.2018 15:05
prim
 
Microsoft Windows [Version 6.1.7600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

C:\Users\adminus>tracert 124.67.115.131

Трассировка маршрута к 124.67.115.131 с максимальным числом прыжков 30

1 * 2 ms 1 ms 10.0.0.5
2 2 ms 2 ms 1 ms 10.29.1.253
3 8 ms 8 ms 8 ms 77.222.144.129
4 14 ms 14 ms 14 ms ae21-454.s31.kiev.datagroup.ua [80.91.163.125]
5 41 ms 41 ms 41 ms tr1-v454.de-fra.datagroup.ua [80.91.160.206]
6 45 ms 46 ms 45 ms ffm-b1-link.telia.net [62.115.60.169]
7 45 ms 46 ms 45 ms ffm-bb3-link.telia.net [62.115.141.236]
8 46 ms 45 ms 45 ms ffm-b2-link.telia.net [62.115.138.85]
9 266 ms 266 ms 266 ms 219.158.33.193
10 265 ms 267 ms 267 ms 219.158.102.217
11 294 ms 295 ms 295 ms 219.158.3.29
12 275 ms 271 ms 271 ms 219.158.18.69
13 305 ms 305 ms 305 ms 219.158.108.18
14 * * * Превышен интервал ожидания для запроса.
15 294 ms 293 ms 291 ms 1.28.124.86
16 319 ms 319 ms 320 ms 124.67.115.131

Трассировка завершена.
13.02.2018 15:06
prim
 
Microsoft Windows [Version 6.1.7600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

C:\Users\adminus>route print
===========================================================================
Список интерфейсов
17...00 1e 67 02 a8 26 ......TEAM : TeamSH3-100Mb
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.0.0.5 10.0.0.1 276
10.0.0.0 255.255.255.0 On-link 10.0.0.1 276
10.0.0.1 255.255.255.255 On-link 10.0.0.1 276
10.0.0.255 255.255.255.255 On-link 10.0.0.1 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.0.0.1 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.0.0.1 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 10.0.0.5 По умолчанию
0.0.0.0 0.0.0.0 10.0.0.5 По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
17 28 fdf1:2297:15ad::/64 On-link
17 276 fdf1:2297:15ad:0:34dd:2dee:d0b6:301e/128
On-link
17 276 fe80::/64 On-link
17 276 fe80::34dd:2dee:d0b6:301e/128
On-link
1 306 ff00::/8 On-link
17 276 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует



касперский угроз не обнаружил
13.02.2018 15:37
OlegON
 
Цитата:
prim Адаптер Microsoft ISATAP
Убираем
Цитата:
prim IPv6 таблица маршрута
Обсудили уже, IPv6 вырубаем в системе, похоже, что какая-то софтина непонятной легальности пытается крутить IPv6.

Рутер со сложным паролем всегда был? Внутри трояна нет? Можно попробовать перепрошить.
13.02.2018 19:02
prim
 
роутер перепрошить - идея, спасибо. всё отключил на сервере в настройках сетевой - не помогло. сейчас по одной машине включаю - жду рецидива
13.02.2018 21:33
OlegON
 
Цитата:
prim в настройках сетевой
не надо в сетевой, в реестре вообще IPv6 убей, я писал тут где-то, нет сил сейчас искать.
14.02.2018 01:09
prim
 
спасибо за ответы, понемногу отметаются неверные версии. роутер отпадает - перепрошил, потом вообще от свитча отключил - без него тоже самое. с IPv6 тоже поборолся, как выше Олег световал - выдохнул было, но не намного. все таки похоже, что смотреть именно в эту сторону.
14.02.2018 06:45
OlegON
 
Журналы еще раз перелистал? Wi-Fi есть? Попробуй на сервере в цикле route print и arp -a выводить в файл со временем. И посмотри, не появляется ли там в момент пропадания сервера что-то новое.
Как вариант - еще добавить какой-нибудь пинг с самого сервера в инет.
Можешь топологию сети нарисовать, чтобы понимать, что именно пропадает в момент, когда клиенты перестают видеть сервер. Может, они не при чем, а действительно, посередине кто-то холодильник включает.
14.02.2018 12:08
prim
 
Цитата:
OlegON Может, они не при чем, а действительно, посередине кто-то холодильник включает.
Утром оформилась такая же мысль, как оказалась, вполне удачная: свитч запитан через ИБП, между ИБП и розеткой еще и стабилизатор напряжения. Притащил заряженный ИБП, воткнул в него свитч, не подключая ИБП к розетке - пока хватило ресурса аккумулятора, пинг нормализовался. Походу просел стабилизатор. Сейчас наблюдаю не частые (раз минут в 15-20) потери одиночных пакетов и по одному подключаю клиентов, чтобы проверить вариант троянов и т.п.
14.02.2018 15:42
CTAXAHOB
 
По названию сетевого адаптера на сервере похоже, что поднят NIC teaming. Проблемы в одной из карт тиминга
15.02.2018 10:55
prim
 
смотрел в эту сторону, разваливал ТИМ, пробовал отдельно каждую подключать - не помогло, дело не в этом - проблема решилась заменой стабилизатора (описал сообщением выше)
Опции темы


Часовой пояс GMT +3, время: 13:18.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.