Странные DNS записи. Мог ли Mikrotik быть взломан?

muhamuha, =)) Чем черт не шутит))

Странные DNS записи. Мог ли Mikrotik быть взломан?

Юрий MikroTik, Спасибо за рекомендации.

Странные DNS записи. Мог ли Mikrotik быть взломан?

Пользователя System не было.

Собственно, мои первые действия - отключил дефолтную, отключил все доступы кроме Winbox с заменой дефолтного порта, отключил один незнакомый мне GRE-туннель на какой-то левый зарубежный IP (или, по крайней мере, мне неизвестный зачем он там), обновил прошивку до последней Long-term, всю эту статику в дизаблед.
Юрий MikroTik Какие еще могут быть рекомендации?

Странные DNS записи. Мог ли Mikrotik быть взломан?

Это я понимаю. Их смысл не пойму) Чем старый админ интересно занимался. Ведь, большинства доменов, с намеком на mine, coin, eth...etherium? и тд)

Почему материнка не видит всю память?

Иван -, Вангую, дело в плотности чипов. Обсуждали тут недавно такое же поведение, правда, там еще хуже было, китайская мать на этом же чипсете.

Оцените сборку ПК?

tkcs, А мне вот по приколу сборка. Ничё такая. Еще, уважаю за выбор Kingston. Но, из собственного опыта, бери такую же память, но на 6000МГц (залог на будущее, по ценнику разница не о чем). И ССД этот замени на Kingston KC3000. NV-серия без буфера и лююююто тормозят по мере наполнения.

Почему пропадают учетные данные Windows в диспетчере учетных данных?

Valentin Barbolin,

DnsSecValidation NotRequired

На этот атрибут ругается. Не удается найти позиционный параметр, принимающий аргумент "NotRequired"
Без него, добавляются (проверил с Get-DnsClientNrptPolicy -Effective)

Я использую ZeroTier.

Увы, у меня пока нет возможности. Железо не позволяет.
Попытался настроить запуск VPN соединения до входа в ОС, но, увы, столкнулся с проблемой, что после ввода учетных данных от впн, оно сразу ломится логинится по ним, но падает в отказ, так как домен про них не знает) Да и пользователям подключение в 90% рабочего времени не нужно.

Почему пропадают учетные данные Windows в диспетчере учетных данных?

Valentin Barbolin, Спасибо, попробую и отпишусь.

Между тем, на просторах сети нашел ответ и, возможно, решение, чтобы не пропадала запись из диспетчера - просто прописать ресурс по FQDN имени. Тоесть, заводя учетные данные в credman, я писал ресурс как на скрине FS. А надо FS.mydomain.local, условно. После перезагрузки, перестало удалятся. Проверил на несколько машин.

Но, появился другой момент. Если машина не в корп. сети, то после подключения к впн, ресурсы всёровно не доступны. Тут, не выключая впн, делаешь лог-аут/лог-ин, и все работает штатно. Подозреваю, что при лог-ин с выключенным впн, при недоступности AD, юзер инициирует локально сессию кэшированными учетными данными. После подключения впн, инициируется еще одна сессия, но эти данные не подходят для доступа к ресурсам (подозреваю, винда пытается зайти на ресурсы сети под данными последней сессии). А вот если лог-ин осуществляется при включенным впн, то сессия уже инициируется не по кэшированными данными, а нормально и все ресурсы доступны штатно. Но, это, конечно, тот еще костыль.

Почему пропадают учетные данные Windows в диспетчере учетных данных?

Valentin Barbolin,

Test-ComputerSecureChannel -Verbose
Когда ПК в корп сети - True
Когда ПК не в корп. сети с выкл ВПН - False
Если включать VPN, через несколько минут выдает True

Get-DnsClientNrptPolicy -Effective
Get-DnsClientNrptRule
эти ничего не выдают, по крайней мере, что-то видимого в Шелл.

Так же надо больше подробностей про конфигурацию VPN, какие маршруты и DNS, и при включеном VPN.

Штатный L2TP\IPsec VPN-сервер на микротике, который и шлюз корп.сети.
Клиенты подключаются по белому IP, штатным виндовым клиентом. Из опций, вход по юзер/пароль - заданные на микроте (отличаются от доменных), MSChap2, отключено использование удаленного шлюза.

У клиентов никакие маршруты или DNS не прописываются дополнительно. Только в hosts заданы корп ресурсы. Грубо говоря, если удалю из hosts контроллер домена, то даже не смогу его пингануть по условному имени ping dc01. Когда прописан - все нормально резолвится.

Еще момент, поспросил у пользователей, вроде как говорят запись пропадает именно после перезагрузки ноута (это объясняет почему у всех по времени по разному пропадает, потому как некоторые всегда выключают ноут, другие редко перезагружают, а тупо закрывая крышку, загоняют в сон). Сегодня взял тестовый ноут, повторил несколько раз, действительно, похоже запись удаляется именно после перезагрузки. Но, любопытно, почему другие записи не удаляются при этом.

Почему пропадают учетные данные Windows в диспетчере учетных данных?

Valentin Barbolin, Спасибо за подсказки, при первым же случае попробую собрать эту информацию.

Но, мне интересно другое, почему удаляются учетные данные прописанные вручную в диспетчере учеток винды? Как связь (или отсутствие связи) с контроллером домена может повлиять на удаление этих данных? Вот, например, к другим ресурсам годами живут, а именно к этому файлохранилища - тупо исчезает запись.
Вот отсюда

Почему пропадают учетные данные Windows в диспетчере учетных данных?

Valentin Barbolin, нет, именно по имени. Но, попробую вашу подсказку в следующий раз, обязательно

Почему пропадают учетные данные Windows в диспетчере учетных данных?

Я думал об этом. И даже поднял виртуалку с Win2019 где настроил NPS. Но, в итоге, пришлось отказаться, так как часть пользователей не доменные.

Почему пропадают учетные данные Windows в диспетчере учетных данных?

Alexey Dmitriev, Все может быть, так как пользователи включают впн только когда им нужно что-то выгружать на сервер. Фактически, они входят в систему с кешированными учетными данными AD.

Почему пропадают учетные данные Windows в диспетчере учетных данных?

Valentin Barbolin,

Учетка VPN и AD - это одинаковый логин но разные пароли?

Нет, логины AD и VPN разные.

Связь с доменом при этом есть?

ping точно идет, но таким образом протестирую при следующей возможности.

Компьютер видит обе планки ОЗУ, а работает только одна - как такое возможно и что делать?

SmeliyR, Году в 2006, если не ошибаюсь, покупал ноут Samsung R40 с 2*256МБ памяти на борту. Память DDR2 на 533МГц. Из коробки был на XP Home, но на корпусе гордо красовалась наклейка Vista Upgradable. Естественно, для этого надо было увеличивать объем памяти хотя бы до гигабайта, хотя, ноут поддерживал максимум 4 (2*2ГБ). К тому времени я успел пощупать Висту на стационарнике и вернулся к XP. На ноуте даже в мыслях не было. Но, спустя года, уже в начале 10х (может 11ый, может 12 год), племяшки выцыганили у меня этот ноут. Да и валялся он без дела давно уже. Думаю, дай сделаю доброе дело, поставлю на него семерку. Тут встал вопрос об увеличение памяти. Беру, значит, кит из 2*2ГБ, внимание, на 800МГц. К тому времени DDR3 использовалась повсеместно, DDR2, да еще и SO-DIMM - раритетом. И только на 800МГц, ниже - ничего. Так вот, этот ноут не в какую не хотел стартовать с этой памятью. Решил я поставить 1 планку... думаю, 2ГБ может стартанут, 2ГБ все же лучше чем 512МБ) И ноут так же в отказ. Что я делаю, в первый слот воткнул одну старую плашку 256МБ на 533МГц, во второй слот - 2ГБ на 800МГц. И ноут стартует на изи. В Аиде (тогда по другому называлась) также показывает оба модуля, работающие на 533МГц. Система видела при этом только 2ГБ.

Компьютер видит обе планки ОЗУ, а работает только одна - как такое возможно и что делать?

SmeliyR, Весьма интересно. Ну, смотрите. Хотя формально чипсет 5520 и проц 5670 поддерживают конфигурации с высокой плотностью, есть одно НО. Мать - это бюджетный реплик старых серверных плат. Ее цепи питания памяти и BIOS скорее всего имеют упрощенные и ограниченные реализации.

Ваша конфигурация из 2x8ГБ (dual rank каждый), скорее всего, попадают в один и тот же канал памяти (не забываем, что проц поддерживает трехканальную память и двухканальную - когда используются только 2 слота из шести- и тут сюрприз, у матери всего два слота). Как мне кажется, это дает 4 ранка на канал. И, если допустить что контроллер или BIOS матери поддерживает, то такая конфигурация находится на пределе или превышает предел стабильной работы системы в целом. Система может видеть модули (на этапе POST), но не инициализировать их корректно для работы в ОС из-за слишком высокой электрической нагрузки или невозможности подобрать стабильные тайминги/напряжения.
В случае с двумя модулями 8+4, эта конфига хоть и дает 4 ранка на канал, ключевое отличие - плотность чипов. Плашка на 4ГБ по идее, имеет меньшую плотность чипов. Соответственно, чипы меньшей плотность создают разную и меньшую электрическую нагрузку на канал памяти. Контроллеру и BIOS часто проще "договориться" и найти стабильные настройки для конфигурации в 4 ранка, состоящей из модулей с разными типами чипов, чем для 4 ранка из двух абсолютно одинаковых модулей с чипами высокой плотности. Идентичные модули создают максимально однородную и, следовательно, максимальную нагрузку на канал.

Этим только, пока что, могу объяснить данное поведение. Попробуйте поиграться с напругой на память, задать чуть выше напряжение, если в БИОСе такое предусмотрено. Только не сразу много... шажочками по 0,05В и в пределах не более 1,6В. Или понизьте вручную тайминги. Возможно и взлетят.

Компьютер видит обе планки ОЗУ, а работает только одна - как такое возможно и что делать?

Ох, как вам сказать. Эти матери, то чего я боялся - китайские франкенштейны, смесь серверной и бытовой компоновок. Что они там намудрили, одному Мао Цзэдуну известно. То что говорил я выше, относится к официально документированной продукции. У вас, тут может быть что угодно.

У вас, на комп с i7, чипсет Intel 5520, который официально НЕ поддерживает этот процессор, потому-что это серверный чипсет и искусственно ограничен поддерживать серверные процессоры. Но, это не значит что если взять бытовой проц той же архитектуры, воткнуть его - оно не будет работать. Вероятно будет, но подшаманить с прошивками, снимая ограничения и тд... Мать эта, судя по тому что пишут китайцы у себя на сайте, вообще поддерживает до 32ГБ. Казалось бы. Это же DDR3 16ГБ одной планкой, которые, я видел только серверную. Хотя, если там серверный чипсет, должна работать типа такой https://market.yandex.ru/card/operativnaya-pamyat-.... Обратите внимание, эта четырехранковая память https://semiconductor.samsung.com/dram/module/rdim...

Ограничении процессора и x58 чипсета, скорее искусственные со стороны Intel для домашнего сегмента. Так как энтузиасты разных мастей, неофициально, в трехканальном режиме, запускали конфиги с 3х8ГБ. Да и серверные собраты на этой же архитектуре, умеют в высокоплотную память.

В общем, сложно что-то говорить, подсказать, когда выходим за рамки официально задокументированного. Возвращаясь к первоначальному вопросу, лично мое мнение, комбинация из

1. бытового проца (i7-920)
+
2. серверный чипсет (Intel 5520) который официально этот проц не поддерживает
+
3. бытовая двуранковая высокоплотная память (https://www.kingston.com/datasheets/HX318C10FRK2_16.pdf) которая тоже официально не поддерживается процом, но вполне может поддерживается чипсетом.
+
4. китайская прошивка
=
непредсказуемыми результатами.

Если в первом случае можно объяснить ограничениями проца, ранкость, высокая плотность чипов, то ситуация со вторым пк - полная противоположность. В него пробовали поставить 2*8Гб? Нормально их видит?

Компьютер видит обе планки ОЗУ, а работает только одна - как такое возможно и что делать?

SmeliyR, Чтобы ответить более точно, нужны точная модель и ревизия материнской платы и чипсета, и версия прошивки (BIOS). Также, точное название или партномер память (по тому что показывает Аида не находится).

Подозреваю, основные причины это ограничение по плотности чипов или по ограничению ранков. Если допустить, что там норм мать на x58 чипсете, то точно могу сказать что они не поддерживают модули с высокой плотностью чипов (макс 256MB). Когда модули 8 ГБ для DDR3 используют чипы 4Gb (512MB x 8) или даже 8Gb (1GB x 8), система их тупо не распознает корректно, либо видит половину объема, либо не видит вовсе. Еще, модули 8 ГБ как правило бывают Dual-Rank или даже Quad-Rank. Чипсет X58 поддерживает максимум 2 ранка на канал памяти. Если установить два 8 ГБ модуля Dual-Rank, это создаст 4 ранка на канал (при двухканальной конфигурации), что превышает лимит - вот и показывает только 8.

В общем, нужны уточнения по железу, а то, гадаем.

Какой параметр дисков важнее в RAID: максимальная скорость чтения или минимальное среднее время доступа?

RStarun, Именно. У меня пол мешка этих дисков. В сингл, чтение ~200МБ/с. В R0 - картинка с замером в топике. А вот под ОС и гипервизор, 32ГБ мало, а 50, в самый раз. И не надо переживать о потере данных, делается ежедневный бэкап, развернуть 20ГБ образа - считанные минуты. Простой этой системы, не критичен.

Какой параметр дисков важнее в RAID: максимальная скорость чтения или минимальное среднее время доступа?

Роман Безруков,

лучше форматировать с размером блока 64К

Попробую, спасибо за рекомендацию. Там, какраз, 90%+ операций, чтение.

Про встроенные RAID и их недостатки уже написали, тем более, что ваша MB (и ее компоненты) изначально не рассчитана на работу в режиме 24/7 (хотя может, и какой-то запас прочности имеется).

Вот по этому поводу вообще не переживаю. Может сдохнуть прям сейчас, просто возьму с полки другой такой-же системник и разверну ежедневный бэкап. Делов на полчаса с перекурами)