Регистрация | Последние сообщения | Персональный список | Поиск | Настройка конференции | Личные данные | Правила конференции | Список участников | Top 64 | Статистика раздела | faq | Что нового v.2.3 | Чат
Skunk Forum - Техника, Наука, Общество » Коммуникации и сетевые технологии »
Если бы врачи лечили сервера (немного юмора на тему Windows Server AutoEnrollement error)

Версия для печати (настроить)

Новая тема | Написать ответ

Подписаться

Автор Тема:   Если бы врачи лечили сервера (немного юмора на тему Windows Server AutoEnrollement error)
jz
Ideology Administrator

Сообщений: 5719
Откуда: SkunksWorks
Регистрация: Сентябрь 2005

написано 17 Февраля 2012 14:43ИнфоПравкаОтветитьIP

Выписной эпикриз
Объект: домен ***
Дата рождения и возраст: 8 лет , д.р. 05.05.2004 г.
Диагноз: Сбой авторизации Kerberos. Двусторонняя частичная утрата функций контроллеров домена. Невозможность выдачи сертификатов агентам безопасности.
Из анамнеза известно: заболел 27.01.2012 года, когда впервые появилась ошибка «Автоматическая подача заявки на сертификат Локальная система: не удалось подать заявку на один сертификат Контроллер домена (0x80070005). Отказано в доступе». С 27.01.2012г. по 14.02.2012г. переболел хронической стадией заболевания.
При поступлении 14.02.2012г. в 17:30: состояние тяжелое с угрозой для жизни, компенсированная дисфункция сквозной авторизации на фоне замещающего протокола NTLM, невозможность нормальной работы служб WSS, IIS и MS SQL на серверах домена. Функции защиты от внешних вторжений и предоставления общего сетевого доступа не нарушены.
Данные диагностирования:
Проведено комплексное тестирование dcdiag / netdiag; анализ логов показал исправность систем DCOM, служб сертификации и сетевого входа. Выявлено, что в процессе установки сертификата безопасности Avast на уровне домена 27.01.2012 в 14:36 были уничтожены корневые сертификаты безопасности обоих домен-контроллеров с нарушением распределения ролей и наступившей вследствие этого блокировкой механизма авторизации Kerberos в домене.
Проведенное лечение:
Ампутация неверного сертификата Avast, удаление роли KDC с рядового сервера домена.
Комплексная замещающая терапия: пересоздание корневых сертификатов безопасности, восстановление ролей и последующий контроль состояния (certutil, dcomcnfg, adsiedit, ntdsutil).
Симптоматическое лечение: восстановление правильности записей DNS для контроллеров домена при утере связи со контроллеров домена с администратором безопасности (dcdiag, netdiag /FIX).
Поддерживающая терапия: перезагрузка, перезапуск центра сертификации и службы сетевого входа, ADinf, ntbackup.
Состояние на момент выписки 15.02.2012 в 11:30: удовлетворительное.
Рекомендовано:
1.Ntbackup – 1-2 раза в месяц по 1 шт. на каждый контроллер домена.
2.Dcdiag / Netdiag – не менее 2 раз в месяц.
3.Обеспечение недопустимости дальнейших попыток самоубийства.

Ваш ответ:

Коды форума
Смайлики


Ник:    Пароль       
Отключить смайлики

Все время MSK

Склеить | Разбить | Закрыть | Переместить | Удалить

Новая тема | Написать ответ
Последние сообщения         
Перейти к:

Свяжитесь с нами | skunksworks.net

Copyright © skunksworks.net, 2000-2018

Разработка и техническая поддержка: skunksworks.net


Рейтинг@Mail.ru Яндекс.Метрика