Что происходит с доменом?

Question

[MaxxDamage]

Прошу помощи с ещё одной проблемой. Что-то случилось с сервером домена (он же DNS сервер, он же DHCP сервер). Какие-то глюки с ним буквально - сыпятся ошибки входа в сетевые шары, попробовал убрать одну машину из домена, при добавлении обратно получаю ошибку - не найден сетевой путь. Подскажите, что в первую очередь проверять? Желательно детально.

UPD
Оказалось что КД был заражен какой-то дрянью. После пролечивания Cureit-ом, лучше не стало, но вдобавок пропала возможность подключения к нему по RDP. Схожая картина и на других заражённых той же дрянью компьютерах. Куда теперь копать и что чинить - вопрос открытый...

Comments

[ettaluni]

Нужно больше информации, и как можно конкретнее. Вот есть компьютер Писюк1, и есть шара по пути \\Шуарма1

[MaxxDamage]

ettaluni, есть сеть, все машины в домене. Домен net.local. Есть контроллер домена, он же DHCP сервер, и т.д.
Есть сетевые шары на самбе. В самбе тоже включена авторизация через домен. Так вот началось всё с того что все сетевые шары поотваливались. При попытке войти в них получал ошибку "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть". У части пользователей ошибка доверительных отношений с доменом. После выведения из домена - обратно не добавляется, не найден сетевой путь. Какие ещё данные нужны?

[ettaluni]

MaxxDamage, Вот!!! А почему контролеру перестали доверять? Что ты с ним делал до этого. Также к ответу прикладывай конфиг самбы. Конфиг настроек кербероса на самбе

[ettaluni]

MaxxDamage, Не найден сетевой путь может говорить о неврных настройках ДНС, также приложи ipconfig /all машины которую пытаешься ввести в домен. А также ipconfig /all контроллера домена

[MaxxDamage]

ettaluni, если бы не были другие, более явные проблемы с доменом, я бы на самбу грешил, а так нет, дело не в ней. Она просто сигнализирует, что с доменом хрень какая-то.
То что домен "нужно проверять" догадываюсь, вопрос что именно? На самом контроллере вроде как всё в порядке. Где ковырять?
ipconfig /all КД:

spoiler

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : netserver
Основной DNS-суффикс . . . . . . : net.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : net.local

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) PRO/1
Физический адрес. . . . . . . . . : FA-0E-C8-DE-1D-84
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.254(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.1
DNS-серверы. . . . . . . . . . . : 127.0.0.1
8.8.8.8
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер Подключение по локальной сети* 4:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{8DB5C5D1-5556-4966-A304-6DCE16613504}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

ipconfig /all ну допустим той машины, которую пытаюсь вернуть в домен:

spoiler

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : squid
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : E0-3F-49-A6-76-0C
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.219(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.1
DNS-серверы. . . . . . . . . . . : 192.168.0.254
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{D9146710-0B63-45B5-A66C-B42778C2FF18}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

[ettaluni]

MaxxDamage, nslookup net.loca? ping net.local. Я бы еще попробовал ipv6 отключить

[MaxxDamage]

ettaluni, nslookup:

spoiler

C:\Users\Администратор>nslookup net.local
╤хЁтхЁ: UnKnown
Address: 192.168.0.254

╚ь : net.local
Address: 192.168.0.254

пинг net.local идёт, до 192.168.0.254
IPv6 отключён

[ettaluni]

\\net.local\NETLOGON и \\net.local\SYSVOL
\\netserver\NETLOGON и \\netserver\SYSVOL
\\192.168.0.254\NETLOGON и \\192.168.0.254\SYSVOL
Должен работать вход или вход по паролю.
В логах контроллера то ничего нет, в настройках сервера у роли DNS\AD нет ошибок?
И что ты прописываешь при подключении к домену? net.local?

[MaxxDamage]

ettaluni, по всем адресам зашло нормально
В логах ничего критичного, кроме служб сертификации AD - там сначала выдаёт ошибку "Не удается подключиться к Active Directory. Новая попытка будет предпринята службами сертификации, когда снова потребуется подключиться к Active Directory.", но следом, через несколько секунд - "Службы сертификации Active Directory для net-NETSERVER-CA запущены. DC=netserver.net.local"
Ну и у DHCP периодически показывает предупреждение - "Этому компьютеру назначен по крайней мере один динамический IPv6-адрес. Для надежной работы DHCPv6-сервера следует использовать только статические IPv6-адреса.", но оно всегда было
Прописываю net.local, как и всегда до этого

[ettaluni]

MaxxDamage, Пробовал зайти в домен со сменой имени компьютера? Удалить сначала учетную запись компьютера из АД?

[MaxxDamage]

ettaluni, ни то, ни другое не помогает. Причём он даже пароль от домена спрашивает, ну, от учётной записи имеющей право на ввод в домен. После успешного ввода логина/пароля - выдаёт ошибку "не найден сетевой путь"

[ettaluni]

MaxxDamage, Собственно это все что пришло на ум, остались тока системные утилиты проверки контроллера
dcdiag, netdiag и.т.п

[MaxxDamage]

ettaluni, dcdiag выдала только два косяка:

spoiler

Запуск проверки: DFSREvent
За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при
репликации SYSVOL могут стать причиной проблем групповой политики.

и

spoiler

Запуск проверки: SystemLog
......................... NETSERVER - не пройдена проверка SystemLog

netdiag-а почему то нет, не запускается

Я уже всё перепробовал, не понимаю почему не работает. И помочь никто не может. Какая-то совсем дурная ошибка

[ettaluni]

MaxxDamage, Я могу еще предложить, прописать ip и имя домена в host на машине которая в домен не хочет. Помниться криво косо, но это работало и даже в домен не с первого раза но вводилось. Но это так временное решение чтобы юзеры могли поработать

Answer 1

[Дмитрий]

Журналы Windows (Система, Безопасность)

Comments

[MaxxDamage]

Да, предположительную причину нашёл. Вопрос теперь, что делать с последствиями

Answer 2

[Максим Гришин]

Куда копать и что чинить - я бы просто пересоздал домен, ввел всё ещё незараженные машины в новый домен, а старый КД выключил и стер, если он ВМ. И на новом КД как минимум поставил бы политику, запрещающую SMB1 для сервера, особенно если это 2008R2 - скорее всего, прилез червяк по SMB1. Если нет такой возможности - развернуть ещё КД, ввести в домен, dcpromo, перекинуть роли, потом остановить сломанный КД и проверить, работает ли домен. Если да, ОК, иначе чинить репликацию и потом всё равно прибить поеденный вирусом инстанс.

Comments

[MaxxDamage]

Пока решил разбираться с рабочими машинами, там тоже зловред был, и блокирует на них много чего. Они даже сетевое окружение не видят, так что возможно потому и не идут в домен. Создал тред на safezone, пробую восстанавливать