Форум по программам и оборудованию > >

Регулярное падение локальной сети, сервер 2008R2

19.08.2018 3:23


[ОТВЕТИТЬ]
13.02.2018 02:20
prim
 
Имеем сервер 2008R2, на котором работает MSSQLSERVER. Из ролей - только Файловый сервер. в локальной сети 5 клиентов ОС -Вин7, 3 шт DIGI SM100 и DIGI SM500, два ФР и два банковских терминала, роутер Линксис Е900. На всех машинах установлена лицензионная Авира.

Проблема: стала падать локальная сеть через не равные промежутки времени, но примерно минут через 30. Клиенты перестают видеть сервер и друг друга. примерно через 2-5 мин работа сети восстанавливается. Изучение логов системы выявило такие ошибки:

"Событие 56, TermDD
Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 213.123.235.17", (таких адресов несколько) и

"Событие 36888, Schannel
Возникло следующее неустранимое предупреждение: 10. Внутреннее состояние ошибки: 1203."

Результатом поиска стало отключение удаленного доступа и отмена правила проброса порта на роутере. Ошибки не появляются, но сеть продолжает падать регулярно.
После дальнейших поисков было предпринято следующее:
- на сервере была заменена сетевая карта на новую, старая была отключена и удалена из устройств.
- был заменен свитч на новый
- поочередное отключение клиентов явной взаимосвязи с падением сети не показало
- на всех клиентах проведен сброс и заново настройка сетевых карт
- с сервера удалена Авира, после чего сеть работала на 15 мин. дольше, но все равно упала.
- на сервер установлен SEP со своим файрволом
- сейчас качаю обновления от МС, но без особого рассчета на успех.
Из мыслей осталась только восстановить систему из образа двухлетней давности и пока всё (

Есть ли идеи по выходу из ситуации, поделитесь пожалуйста? Заранее благодарен.
13.02.2018 07:02
OlegON
 
Перечисленные ошибки к проблеме отношения не имеют, это следствие. Надо бы найти другие. Полагаю, что кто-то лезет в сеть с DHCP или адресом сервера. С этого и надо начать.
Если из того, чтобы пальцем в небо, то можно попробовать следующее:
Обновление может помочь и обновления должны быть регулярными и у всех, т.е. на клиентах тоже.
Из полезного - лучше отключить IPv6 совсем. Особенно, если нет понимания, как оно работает.
https://olegon.ru/showthread.php?t=19689, но лучше - совсем. Я тут, вроде, писал, как это сделать.
SEP очень быстро лучше снести. И до обновлений. Надеюсь, сервер задницей в интернет не торчит? А то ролей у сервера резко прибавится.
На всякий проверить настройки энергосбережения, в том числе на сетевой карте сервера.
Если MSSQL не очень нагруженный, я бы предложил текущую винду засунуть в виртуалку, а файлопомойку поднять на Linux, где параллельно эту виртуалку и крутить.
13.02.2018 07:23
prim
 
спасибо!
IPv6 отключен
с отключения устройства на карте галка снята
установка обновления завершена, посмотрю, не помогло ли (скорее всего нет)
по поводу проникновения в сеть - наблюдаю такие сообщения в журнале:

Не удается найти описание для идентификатора события 18456 из источника MSSQLSERVER. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.

Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.

К событию были добавлены следующие сведения:

sa
Reason: Password did not match that for the login provided.
[CLIENT: 124.67.115.131]
13.02.2018 07:32
OlegON
 
Сервер в инет смотрит?
13.02.2018 08:55
Propil
 
Надо смотреть, в каком он режиме - роутер. Если бридж - то ваш сервак практически открытой попой наружу торчит.
13.02.2018 09:03
OlegON
 
Ну, если за рутером, то предлагаю особо не паранойить и убрать SEP, но подкрутить рабочие станции, чтобы и вирусов там не было, и юзеры не баловали.
Да, Avira я не люблю. Есть утилитка KVRT, регулярный оффлайновый прогон вместе с подкрученными правами и штатным антивирусом Windows вполне себе рабочий вариант. Сейчас предлагаю на всех машинах, включая сервер, прогнать KVRT. Еще раз, про IPv6. ВЕЗДЕ, на всех машинах он должен быть отключен в реестре, а не галочкой на интерфейсе. Рутер заслуживает пристального внимания. 124.67.115.131 - это Китай. Как ему напрямую виден сервер - очень интересный вопрос. Скорее всего, где-то в сети поднят гейт, который и рушит все остальное. Но, если вообще какое-то соединение прошло, то надо смотреть таблицу рутинга на сервере. Сервер тоже видит этот адрес напрямую.
Код:
route print
tracert 124.67.115.131
должны показать что-то интересное. И журналы винды, системы, приложения и безопасности. И винду срочно обновить!
13.02.2018 09:04
OlegON
 
Я как-то и не подумал, действительно, рутер-то бриджем поднят чтоль? И необновленная винда... Жди, Петя тебя уже нашел, наверное...
13.02.2018 10:40
prim
 
Microsoft Windows [Version 6.1.7600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

C:\Users\adminus>route print tracert 124.67.115.131
===========================================================================
Список интерфейсов
16...00 1e 67 02 a8 27 ......Intel(R) 82578DM Gigabit Network Connection
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Отсутствует
Постоянные маршруты:
Отсутствует
13.02.2018 11:22
OlegON
 
Караул :)
Это две команды
Код:
route print
[Enter]
Код:
tracert 124.67.115.131
Только ты не соскакивай, в каком режиме рутер и что сказал KVRT?


Опции темы


Часовой пояс GMT +3, время: 03:23.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.