DNS Probe Finished Bad Config

Merhaba,

istemciler de DNS ip adresi DC olarak tanımlı değil mi?

Bu Event ID için kaynak ve açıklama nedir?

Merhaba Hakan Bey,

Evet belirttiğiniz gibi DC Server tanımlı.

İlave bir bilgi sorun yaşayan Clientde Domain Kimlik Doğrulama Hatası almaktayız

Diğer bilgiler ise şu şekilde;

Client tarafında :

Kaynak  :Schannel

Event ID: 36888

Şu önemli uyarı oluşturuldu: 10. İç hata durumu: 10.

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

DC Server tarafında:

Kaynak: Kerberos-Key-Distribution-Center

Event ID:29

The Key Distribution Center (KDC) cannot find a suitable certificate to use for smart card logons, or the KDC certificate could not be verified. Smart card logon may not function correctly if this problem is not resolved. To correct this problem, either verify the existing KDC certificate using certutil.exe or enroll for a new KDC certificate.

Kaynak: ActiveDirectory_DomainService

Event ID: 2887

During the previous 24 hour period, some clients attempted to perform LDAP binds that were either:
(1) A SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP bind that did not request signing (integrity validation), or
(2) A LDAP simple bind that was performed on a cleartext (non-SSL/TLS-encrypted) connection

This directory server is not currently configured to reject such binds. The security of this directory server can be significantly enhanced by configuring the server to reject such binds. For more details and information on how to make this configuration change to the server, please see http://go.microsoft.com/fwlink/?LinkID=87923.

Summary information on the number of these binds received within the past 24 hours is below.

You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher.

Number of simple binds performed without SSL/TLS: 25
Number of Negotiate/Kerberos/NTLM/Digest binds performed without signing: 3

Selamlar,

Önce system state yedeği alın. Sonrasında dnsteki zoneu silip netdiag /fix komutu ile zonun oluşmasını sağlayın.

Tekrar Merhaba,

Sorunla ilgili bir kaç farklı ayrıntıyı yakaladım. Gerçekten ciddi bir sorun olduğunu düşünüyorum. Tüm detayları burada ayrıntıları ile vereceğim. Yardımcı olabilecek arkadaşlara şimdiden teşekkür ederim.

Öncelikle X Domainine bağlı olan Clientlerden WIN7 64 bit olanlarda bu sorun yaşanıyor. Şöyle ki sorunu yaşayan client ile Domain Control Server arasında belli bir zamana bağlı kalmaksızın günün herhangi bir anında max.10 sn lik bir kesinti oluyor. Bu aşamada ağ bağlantısında kopma olmuyor. Ancak Clientin DC Server ile olan bağlantısı kopuyor. Dolayısı ile DNS Server ilede erişimi kesilmesi nedeniyle "DNS BAD CONFIG" hatasını alıyoruz. Tabi doğal olarak sisteme bağlı olan ERP programıda çalışmıyor.

Not: Bu aşamada Eset Nod32 V.6 kurulumu gerçekleştirildi, daha sonra Eset kurulum aşamasında yaşanılan sorunlardan ötürü V.5 kuruldu. Acaba Antivirüs programı birşeyleri engelliyor olabilir düşüncesi ile sistem üzerinde DC ve sorun olan clientlerdeki Antivirüs yazılımları kaldırıldı.

Sorunla ilgili olarak DC Server üzerinde aldığım olaylar;

**ActiveDirectory_DomainService - 2887

**Net Logon - 5781

Client tarafında ise sorun yaşanması esnasıda aldığım hata iletileri;

1.Client Üzerinde;

DNS Client Event - 1014

GroupPolicy - 1055

NETLOGON - 5719

2.Client Üzerinde;

GroupPolicy - 1055

NETLOGON- 5719

3.Client Üzerinde;

 GroupPolicy - 1054

 GroupPolicy - 1058

 LsaSrv - 40961

*** GroupPolicy - 1030

Merhaba,

Öncelikle şirket içine bir tane CA server kurun ve bundan sonra DC leri bir kere restart edin, bu sertifika sorununu düzeltecektir. Secure Channel sorunu ise istemci ile DC arasında güvenli bir bağlantı olmadığını gösteriyor.

nltest aracını kullanarak aşağıdaki komutu istemcide çalıştırın

nltest /sc_verify:cozumpark

burada cozumpark domain ismi olup sonucu bizim ile paylaşabilirsiniz, ek olarak netlogon hatalarını daha detalı görmek için

Nltest /DBFlag:2080FFFF
net stop netlogon
net start netlogon

Nltest /DBFlag:0x0

https://support.microsoft.com/tr-tr/kb/109626

Merhaba Hakan Bey,

nltest /sc_verify:Domain test sonucunu aşağıda veriyorum.Ancak şuanda bu sorun istemci üzerinde mevcut değil Üst yazıda da belirttiğim gibi bu durum aralıklar halinde oluyor. Ayrıca "DC ler" gibi bir ifadeniz vardı. Sistemde bir DC mevcut. 

Öte yandan belirttiğim sorunu yaşayan clientler sanki domainden düşüp,tekrar domaine giriyor gibi bir durum oluyor.İstemci üzerindeki log kayıtlarını incelediğimde sorunun yaşanmadığı anda hiçbir GPO kaydına rastlamadım.Ancak sorun olduğu esnada sorunu yaşayan diğer clientlerde de bir çok GPO hatasını alıyorum.DC sanki belli aralıklarda GPO gönderiyor. Ve diğer Clientlerde bu GPO uygulamadığı zaman DC den kopuyor gibi bir tezim var. Haklı olabilir miyim ?

Bayraklar: b0 HAS_IP HAS_TIMESERV
Güvenilen DC Adı \\DOMAIN_ISMI
Güvenilen DC Bağlantı Durumu Status = 0 0x0 NERR_Success
Güven Doğrulaması Status = 0 0x0 NERR_Success
Komut başarıyla tamamlandı

Hakan Bey ayrıca DC tarafında yapmış olduğumuz testlerde şu noktalarda hata ile karşılaştım.Acaba bu yaşadığımız sorun bunlarlada bir ilgisi olabilir mi?

***Starting test: DFSREvent

                 The DFS Replication Event Log.

                 There are warning or error events within the last 24 hours after the

                SYSVOL has been shared.  Failing SYSVOL replication problems may cause

                Group Policy problems.

                A warning event occurred.  EventID: 0x800008A4

                Time Generated: 10/30/2015   15:31:19

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

*** Summary of DNS test results:

                                            Auth Basc Forw Del  Dyn  RReg Ext

            _________________________________________________________________

            Domain: XXX.grp

               XXXdc1                   PASS PASS PASS FAIL PASS PASS PASS

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Merhaba,

Komutu istemci makinede çalıştırdınız ve sonuç bu ise bu durumda makine domainde demektir, yani arada bağlantı sorunu oluşturacak AV, Firewall ve benzeri bir programa bakın.

Eğer tek DC var ise paylaştığınız hata normal olup görmezden gelebilirsiniz.

Hakan Bey,

Sorun şu şekilde gelişiyor, Domaine üye clientler (sadece Win7) aralıklar halinde DC Serverden kopup daha sonra yeniden bağlanıyor.Bu aşamada DNS sunucusu ve aradaki güvenli bağlantı kayıp olduğu için diğer sistem üzerindeki işlemlerde duruyor. Bu esnada client tarafında verdiği hatalar üst iletilerdeki gibi.

Sonuç olarak sorun hala devam ediyor ve destek aldığım firmada  DC Serveri yeniden kurmaktaktan başka çözüm getiremiyor.

Yeniden kurmak çok dogru olmaz, temiz bir ADC kurun, sonra rolleri tasiyin ve eskisini kaldirin.

Bu konuda [email protected] den de destek isteyebilirsiniz. Madem ücretli bir süreç var bizim teknik ekipte çok kolay bir sekilde çözebilir.

Hakan Bey,

Belirttiğiniz gibi Additional DC Server kurulumu gerçekleştirdik ve nihayetinde sorun çözüldü. Ancak hala DC Server networkünü etkileyen sebebi bulamadık. 

Bu şekilde bir hata ile karşılaşan arkadaşlar için sebebi araştırarak vakit kaybetmesinler direkt ADD DC server kurarak sorun çözüme kavuşmaktadır.

Geçmiş olsun