Forum
Son zamanlarda sıklıkla domaine bağlı clientlerde “DNS Probe Finished Bad Config” şeklinde hata iletisi alıyoruz. Bazı bilgisayarlarda internete çıkamıyor bu nedenle. DC Server üzerinde yaptığım kontrollerde aşağıdaki eventleri almışım ama bunların bu olayla ilgisi olacağını sanmıyorum. DNS le ilgili bir sorun gibi. DNS de Cyberoam 35i üzerinden TTelekom üzerinden kullanıyoruz.
Sorun ne olabilir acaba?
Event ID: 29 ve 2887
Merhaba,
istemciler de DNS ip adresi DC olarak tanımlı değil mi?
Bu Event ID için kaynak ve açıklama nedir?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Merhaba Hakan Bey,
Evet belirttiğiniz gibi DC Server tanımlı.
İlave bir bilgi sorun yaşayan Clientde Domain Kimlik Doğrulama Hatası almaktayız
Diğer bilgiler ise şu şekilde;
Client tarafında :
Kaynak :Schannel
Event ID: 36888
Şu önemli uyarı oluşturuldu: 10. İç hata durumu: 10.
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
DC Server tarafında:
Kaynak: Kerberos-Key-Distribution-Center
Event ID:29
The Key Distribution Center (KDC) cannot find a suitable certificate to use for smart card logons, or the KDC certificate could not be verified. Smart card logon may not function correctly if this problem is not resolved. To correct this problem, either verify the existing KDC certificate using certutil.exe or enroll for a new KDC certificate.
Kaynak: ActiveDirectory_DomainService
Event ID: 2887
During the previous 24 hour period, some clients attempted to perform LDAP binds that were either:
(1) A SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP bind that did not request signing (integrity validation), or
(2) A LDAP simple bind that was performed on a cleartext (non-SSL/TLS-encrypted) connection
This directory server is not currently configured to reject such binds. The security of this directory server can be significantly enhanced by configuring the server to reject such binds. For more details and information on how to make this configuration change to the server, please see http://go.microsoft.com/fwlink/?LinkID=87923.
Summary information on the number of these binds received within the past 24 hours is below.
You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher.
Number of simple binds performed without SSL/TLS: 25
Number of Negotiate/Kerberos/NTLM/Digest binds performed without signing: 3
Selamlar,
Önce system state yedeği alın. Sonrasında dnsteki zoneu silip netdiag /fix komutu ile zonun oluşmasını sağlayın.
Tekrar Merhaba,
Sorunla ilgili bir kaç farklı ayrıntıyı yakaladım. Gerçekten ciddi bir sorun olduğunu düşünüyorum. Tüm detayları burada ayrıntıları ile vereceğim. Yardımcı olabilecek arkadaşlara şimdiden teşekkür ederim.
Öncelikle X Domainine bağlı olan Clientlerden WIN7 64 bit olanlarda bu sorun yaşanıyor. Şöyle ki sorunu yaşayan client ile Domain Control Server arasında belli bir zamana bağlı kalmaksızın günün herhangi bir anında max.10 sn lik bir kesinti oluyor. Bu aşamada ağ bağlantısında kopma olmuyor. Ancak Clientin DC Server ile olan bağlantısı kopuyor. Dolayısı ile DNS Server ilede erişimi kesilmesi nedeniyle "DNS BAD CONFIG" hatasını alıyoruz. Tabi doğal olarak sisteme bağlı olan ERP programıda çalışmıyor.
Not: Bu aşamada Eset Nod32 V.6 kurulumu gerçekleştirildi, daha sonra Eset kurulum aşamasında yaşanılan sorunlardan ötürü V.5 kuruldu. Acaba Antivirüs programı birşeyleri engelliyor olabilir düşüncesi ile sistem üzerinde DC ve sorun olan clientlerdeki Antivirüs yazılımları kaldırıldı.
Sorunla ilgili olarak DC Server üzerinde aldığım olaylar;
**ActiveDirectory_DomainService - 2887
**Net Logon - 5781
Client tarafında ise sorun yaşanması esnasıda aldığım hata iletileri;
1.Client Üzerinde;
DNS Client Event - 1014
GroupPolicy - 1055
NETLOGON - 5719
2.Client Üzerinde;
GroupPolicy - 1055
NETLOGON- 5719
3.Client Üzerinde;
GroupPolicy - 1054
GroupPolicy - 1058
LsaSrv - 40961
*** GroupPolicy - 1030
Merhaba,
Öncelikle şirket içine bir tane CA server kurun ve bundan sonra DC leri bir kere restart edin, bu sertifika sorununu düzeltecektir. Secure Channel sorunu ise istemci ile DC arasında güvenli bir bağlantı olmadığını gösteriyor.
nltest aracını kullanarak aşağıdaki komutu istemcide çalıştırın
nltest /sc_verify:cozumpark
burada cozumpark domain ismi olup sonucu bizim ile paylaşabilirsiniz, ek olarak netlogon hatalarını daha detalı görmek için
Nltest /DBFlag:2080FFFF
net stop netlogon
net start netlogon
Nltest /DBFlag:0x0
https://support.microsoft.com/tr-tr/kb/109626
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Merhaba Hakan Bey,
nltest /sc_verify:Domain test sonucunu aşağıda veriyorum.Ancak şuanda bu sorun istemci üzerinde mevcut değil Üst yazıda da belirttiğim gibi bu durum aralıklar halinde oluyor. Ayrıca "DC ler" gibi bir ifadeniz vardı. Sistemde bir DC mevcut.
Öte yandan belirttiğim sorunu yaşayan clientler sanki domainden düşüp,tekrar domaine giriyor gibi bir durum oluyor.İstemci üzerindeki log kayıtlarını incelediğimde sorunun yaşanmadığı anda hiçbir GPO kaydına rastlamadım.Ancak sorun olduğu esnada sorunu yaşayan diğer clientlerde de bir çok GPO hatasını alıyorum.DC sanki belli aralıklarda GPO gönderiyor. Ve diğer Clientlerde bu GPO uygulamadığı zaman DC den kopuyor gibi bir tezim var. Haklı olabilir miyim ?
Bayraklar: b0 HAS_IP HAS_TIMESERV
Güvenilen DC Adı \\DOMAIN_ISMI
Güvenilen DC Bağlantı Durumu Status = 0 0x0 NERR_Success
Güven Doğrulaması Status = 0 0x0 NERR_Success
Komut başarıyla tamamlandı
Hakan Bey ayrıca DC tarafında yapmış olduğumuz testlerde şu noktalarda hata ile karşılaştım.Acaba bu yaşadığımız sorun bunlarlada bir ilgisi olabilir mi?
***Starting test: DFSREvent
The DFS Replication Event Log.
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
A warning event occurred. EventID: 0x800008A4
Time Generated: 10/30/2015 15:31:19
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
*** Summary of DNS test results:
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Domain: XXX.grp
XXXdc1 PASS PASS PASS FAIL PASS PASS PASS
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Merhaba,
Komutu istemci makinede çalıştırdınız ve sonuç bu ise bu durumda makine domainde demektir, yani arada bağlantı sorunu oluşturacak AV, Firewall ve benzeri bir programa bakın.
Eğer tek DC var ise paylaştığınız hata normal olup görmezden gelebilirsiniz.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Hakan Bey,
Sorun şu şekilde gelişiyor, Domaine üye clientler (sadece Win7) aralıklar halinde DC Serverden kopup daha sonra yeniden bağlanıyor.Bu aşamada DNS sunucusu ve aradaki güvenli bağlantı kayıp olduğu için diğer sistem üzerindeki işlemlerde duruyor. Bu esnada client tarafında verdiği hatalar üst iletilerdeki gibi.
Sonuç olarak sorun hala devam ediyor ve destek aldığım firmada DC Serveri yeniden kurmaktaktan başka çözüm getiremiyor.
Yeniden kurmak çok dogru olmaz, temiz bir ADC kurun, sonra rolleri tasiyin ve eskisini kaldirin.
Bu konuda [email protected] den de destek isteyebilirsiniz. Madem ücretli bir süreç var bizim teknik ekipte çok kolay bir sekilde çözebilir.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Hakan Bey,
Belirttiğiniz gibi Additional DC Server kurulumu gerçekleştirdik ve nihayetinde sorun çözüldü. Ancak hala DC Server networkünü etkileyen sebebi bulamadık.
Bu şekilde bir hata ile karşılaşan arkadaşlar için sebebi araştırarak vakit kaybetmesinler direkt ADD DC server kurarak sorun çözüme kavuşmaktadır.
Geçmiş olsun
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************