Ztráta konektivity k internetu – MS ISA a RPC fail

MS ISA někdy přestane ověřovat doménové uživatele a poškození služby RPC (nelze restartovat) způsobí nedostupnost internetu pro tyto uživatele. Některé příčiny, které mi připadají pravděpodobné, jsou uvedeny níže.

Řešení:

K potlačení chybového provozu nastalo:

–          Odmazání starého souboru zóny (%SYSTEMROOT%\System32\dns)

–          Rekreace cache souboru „Dir1.dcat“ a kontrola oprávnění pro uživatele „Everyone“ na složce „Urlcache“, kde se daný soubor nalézá (C: \Urlcache)

–          Vložení parametru „GroupPolicyMinTransferRate” do registru

  •          Odmazání pozůstatků v DNS\PDC\Forward Lookup Zones\doména\_msdcs

–          Odmazání bordelu z domain cache (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DomainCache)

–          Úprava “boot.ini” o přepínač “/usepmtimer”

–          Změna volby pásma z „Auto“ na „100Mb/full duplex“

–          Odmazání lokálních kopií profilů správců

–          Update ovladačů síťové karty (ow! 2006 > 2010)

–          Stažení aktuálních WU

–          Restart stroje

–          Kontrola ping, dns rezoluce, event logu

Související hlášky v aplikačním logu:

Event ID: 1054 – Userenv

Hrubý popis:

Nelze získat doménové jméno sítě.

Vysvětlení:

Problém může způsobovat užívání time-stamp counteru místo PM timeru pro funkci QueryPerformanceCounter u Windows Serveru 2003.

Další příčinou může být nastavení „příliš vysoké“ hodnoty MTU.

Může se také jednat o chybu způsobenou „špínou“v _msdcs, kde jsou pozůstatky informací o již neexistujících DNS serverech.

Někdy se také může stát, že spolu soupeří TCP/IP protokol a ovladač k síťové kartě o to, kdo se dříve přiregistruje k NDIS.

Řešení:

Změnu TSC na PM lze provést zásahem do souboru „boot.ini.“, kde se přidá přepínač „/usepmtimer“. Je možné také snížit hodnotu MTU na hodnotu pod 1500.

Problém s neexistujícím DNS serverem může vyřešit odebrání těchto informací z _msdcs.

Snížení frekvence hlášek lze upravit zásahem do registru:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]

“GroupPolicyMinTransferRate=dword:00000000”

Toto by mělo umožnit korektní update GPO.

Pokud se TCP/IP protokol registruje u NDIS dříve, než síťovka, nelze stáhnout GPO startovací skript.

Underground:

Existují ještě další potenciální underground řešení

–          Odebrat z domény a přidat do domény

–          Zkontrolovat a zkorigovat DNS suffix

–          Zastavit službu Logon, flushnout DNS a znovu zaregistrovat DNS – dva poslední kroky přes CLI příkaz “ipconfig /…”

–          Update ovladače síťové karty

Event ID: 1053 – Userenv

Hrubý popis:

Nelze rozeznat jméno uživatele nebo počítače z důvodů nedostupnosti služby RPC.

Vysvětlení, popis a řešení viz zdroje:

(http://www.eventid.net/display.asp?eventid=1053&eventno=1584&source=Userenv&phase=1)

Event ID: 1219 – Winlogon

Hrubý popis:

Nelze získat konfiguraci terminálového uživatele, protože služba RPC není dostupná.

Vysvětlení, popis a řešení viz zdroje:

http://www.eventid.net/display.asp?eventid=1219&eventno=2848&source=winlogon&phase=1

Event ID: 14176 – Microsoft ISA Server Web proxy

Hrubý popis:

Nedostatečný čas na dokončení všech shutdown operací při posledním shutdownu (hodnota pro čekání se dá změnit v HKLM\System\CurrentControlSet\Control\WaitToKillServiceTimeout) – neinicializovala se disková cache

Vysvětlení:

Může nastat pokud partice, na které je cache umístěna, nemá odpovídající uživatelská práva pro uživatele Everyone. Everyone musí mít plný přístup nebo z důvodu poškození souborů cache. Vzácněji jde skutečně o nedostatečně dimenzovaný časovač, jak se o tom zmiňuje hláška v logu.

Řešení:

Řešením bude kontrola oprávnění, případně obnova souborů cache, které jsou buď poškozené, nebo blokované pro uživatele „Everyone“. Najděte umístění složky „Urlcache“. Pokud existuje soubor „Dir1.cdat“, změňte oprávnění na složce „Urlchache“ pro uživatele „Everyone“ na plná a restartujte služby ISA serveru. Dojde k vytvoření chybějícího souboru. Pokud jde o jedinou destinaci cache na této partici, velikost tohoto souboru bude odpovídat tomu, co jsme nastavili v konzoli ISA Serveru. Pokud je cache rozrpostřena na více particích/discích, logicky bude v každé takové destinaci vytvořena složka „Urlcache“ a soubor „Dir1.cdat“.

Související hlášky v systémovém logu:

  • Event ID: 5719, NETLOGON, nelze navázat bezpečné připojení s doménovým řadičem domény, protože RPC bylo přerušeno (souvislost s nedostupnosti služby RPC)
  • Event ID: 5783, NETLOGON, volání RPC síťovým přihlášením z tohoto počítače k doménovému řadiči bylo přerušeno

Související hlášky v DNS Server logu:

  • Event ID: 6525, DNS, nosič zóny zamezil přenosu sekundární zóny

Zdroje:

http://www.eventid.net/display.asp?eventid=14176&eventno=2602&source=Microsoft%20Web%20Proxy&phase=1

http://www.eventid.net/display.asp?eventid=1054&eventno=1393&source=Userenv&phase=1

http://www.eventid.net/display.asp?eventid=1053&eventno=1584&source=Userenv&phase=1

http://www.eventid.net/display.asp?eventid=1219&eventno=2848&source=winlogon&phase=1