Forum

DNS Probe Finished ...
 
Bildirimler
Hepsini Temizle

DNS Probe Finished Bad Config

12 Yazılar
3 Üyeler
0 Reactions
2,312 Görüntüleme
(@ErcanOZYANAR)
Gönderiler: 18
Eminent Member
Konu başlatıcı
 

Son zamanlarda sıklıkla domaine bağlı clientlerde “DNS Probe Finished Bad Config” şeklinde hata iletisi alıyoruz. Bazı bilgisayarlarda internete çıkamıyor bu nedenle. DC Server üzerinde yaptığım kontrollerde aşağıdaki eventleri almışım ama bunların bu olayla ilgisi olacağını sanmıyorum. DNS le ilgili bir sorun gibi. DNS de Cyberoam 35i üzerinden TTelekom üzerinden kullanıyoruz.

 

Sorun ne olabilir acaba?

 

Event ID: 29 ve 2887

 
Gönderildi : 29/09/2015 18:58

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba,

istemciler de DNS ip adresi DC olarak tanımlı değil mi?

Bu Event ID için kaynak ve açıklama nedir?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 01/10/2015 15:15

(@ErcanOZYANAR)
Gönderiler: 18
Eminent Member
Konu başlatıcı
 

Merhaba Hakan Bey,

 

Evet belirttiğiniz gibi DC Server tanımlı.

İlave bir bilgi sorun yaşayan Clientde Domain Kimlik Doğrulama Hatası almaktayız

Diğer bilgiler ise şu şekilde;

 

Client tarafında :

Kaynak  :Schannel

Event ID: 36888

Şu önemli uyarı oluşturuldu: 10. İç hata durumu: 10.

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

DC Server tarafında:

Kaynak: Kerberos-Key-Distribution-Center

Event ID:29

The Key Distribution Center (KDC) cannot find a suitable certificate to use for smart card logons, or the KDC certificate could not be verified. Smart card logon may not function correctly if this problem is not resolved. To correct this problem, either verify the existing KDC certificate using certutil.exe or enroll for a new KDC certificate.

 

Kaynak: ActiveDirectory_DomainService

Event ID: 2887

During the previous 24 hour period, some clients attempted to perform LDAP binds that were either:
(1) A SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP bind that did not request signing (integrity validation), or
(2) A LDAP simple bind that was performed on a cleartext (non-SSL/TLS-encrypted) connection

This directory server is not currently configured to reject such binds. The security of this directory server can be significantly enhanced by configuring the server to reject such binds. For more details and information on how to make this configuration change to the server, please see http://go.microsoft.com/fwlink/?LinkID=87923.

Summary information on the number of these binds received within the past 24 hours is below.

You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher.

Number of simple binds performed without SSL/TLS: 25
Number of Negotiate/Kerberos/NTLM/Digest binds performed without signing: 3

 
Gönderildi : 02/10/2015 13:57

(@ugurdemir)
Gönderiler: 9886
Illustrious Member
 

Selamlar,

Önce system state yedeği alın. Sonrasında dnsteki zoneu silip netdiag /fix komutu ile zonun oluşmasını sağlayın.

 
Gönderildi : 08/10/2015 01:43

(@ErcanOZYANAR)
Gönderiler: 18
Eminent Member
Konu başlatıcı
 

Tekrar Merhaba,

 

Sorunla ilgili bir kaç farklı ayrıntıyı yakaladım. Gerçekten ciddi bir sorun olduğunu düşünüyorum. Tüm detayları burada ayrıntıları ile vereceğim. Yardımcı olabilecek arkadaşlara şimdiden teşekkür ederim.

 

Öncelikle X Domainine bağlı olan Clientlerden WIN7 64 bit olanlarda bu sorun yaşanıyor. Şöyle ki sorunu yaşayan client ile Domain Control Server arasında belli bir zamana bağlı kalmaksızın günün herhangi bir anında max.10 sn lik bir kesinti oluyor. Bu aşamada ağ bağlantısında kopma olmuyor. Ancak Clientin DC Server ile olan bağlantısı kopuyor. Dolayısı ile DNS Server ilede erişimi kesilmesi nedeniyle "DNS BAD CONFIG" hatasını alıyoruz. Tabi doğal olarak sisteme bağlı olan ERP programıda çalışmıyor.

Not: Bu aşamada Eset Nod32 V.6 kurulumu gerçekleştirildi, daha sonra Eset kurulum aşamasında yaşanılan sorunlardan ötürü V.5 kuruldu. Acaba Antivirüs programı birşeyleri engelliyor olabilir düşüncesi ile sistem üzerinde DC ve sorun olan clientlerdeki Antivirüs yazılımları kaldırıldı.

Sorunla ilgili olarak DC Server üzerinde aldığım olaylar;

**ActiveDirectory_DomainService - 2887

**Net Logon - 5781

 

Client tarafında ise sorun yaşanması esnasıda aldığım hata iletileri;

 

1.Client Üzerinde;

DNS Client Event - 1014

GroupPolicy - 1055

NETLOGON - 5719

2.Client Üzerinde;

GroupPolicy - 1055

NETLOGON- 5719

3.Client Üzerinde;

 GroupPolicy - 1054

 GroupPolicy - 1058

 LsaSrv - 40961

*** GroupPolicy - 1030

 

 

 
Gönderildi : 03/11/2015 14:21

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba,

Öncelikle şirket içine bir tane CA server kurun ve bundan sonra DC leri bir kere restart edin, bu sertifika sorununu düzeltecektir. Secure Channel sorunu ise istemci ile DC arasında güvenli bir bağlantı olmadığını gösteriyor.

nltest aracını kullanarak aşağıdaki komutu istemcide çalıştırın

nltest /sc_verify:cozumpark

burada cozumpark domain ismi olup sonucu bizim ile paylaşabilirsiniz, ek olarak netlogon hatalarını daha detalı görmek için

Nltest /DBFlag:2080FFFF
net stop netlogon
net start netlogon

Nltest /DBFlag:0x0

https://support.microsoft.com/tr-tr/kb/109626

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 04/11/2015 05:10

(@ErcanOZYANAR)
Gönderiler: 18
Eminent Member
Konu başlatıcı
 

Merhaba Hakan Bey,

nltest /sc_verify:Domain test sonucunu aşağıda veriyorum.Ancak şuanda bu sorun istemci üzerinde mevcut değil Üst yazıda da belirttiğim gibi bu durum aralıklar halinde oluyor. Ayrıca "DC ler" gibi bir ifadeniz vardı. Sistemde bir DC mevcut. 

Öte yandan belirttiğim sorunu yaşayan clientler sanki domainden düşüp,tekrar domaine giriyor gibi bir durum oluyor.İstemci üzerindeki log kayıtlarını incelediğimde sorunun yaşanmadığı anda hiçbir GPO kaydına rastlamadım.Ancak sorun olduğu esnada sorunu yaşayan diğer clientlerde de bir çok GPO hatasını alıyorum.DC sanki belli aralıklarda GPO gönderiyor. Ve diğer Clientlerde bu GPO uygulamadığı zaman DC den kopuyor gibi bir tezim var. Haklı olabilir miyim ?

Bayraklar: b0 HAS_IP HAS_TIMESERV
Güvenilen DC Adı \\DOMAIN_ISMI
Güvenilen DC Bağlantı Durumu Status = 0 0x0 NERR_Success
Güven Doğrulaması Status = 0 0x0 NERR_Success
Komut başarıyla tamamlandı

 

Hakan Bey ayrıca DC tarafında yapmış olduğumuz testlerde şu noktalarda hata ile karşılaştım.Acaba bu yaşadığımız sorun bunlarlada bir ilgisi olabilir mi?

 

 

***Starting test: DFSREvent

 

                 The DFS Replication Event Log.

                 There are warning or error events within the last 24 hours after the

 

                SYSVOL has been shared.  Failing SYSVOL replication problems may cause

 

                Group Policy problems.

                A warning event occurred.  EventID: 0x800008A4

 

                Time Generated: 10/30/2015   15:31:19

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

*** Summary of DNS test results:

 

        

                                            Auth Basc Forw Del  Dyn  RReg Ext

            _________________________________________________________________

            Domain: XXX.grp

 

               XXXdc1                   PASS PASS PASS FAIL PASS PASS PASS

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 
Gönderildi : 04/11/2015 14:11

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba,

Komutu istemci makinede çalıştırdınız ve sonuç bu ise bu durumda makine domainde demektir, yani arada bağlantı sorunu oluşturacak AV, Firewall ve benzeri bir programa bakın.

Eğer tek DC var ise paylaştığınız hata normal olup görmezden gelebilirsiniz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 08/11/2015 12:31

(@ErcanOZYANAR)
Gönderiler: 18
Eminent Member
Konu başlatıcı
 

Hakan Bey,

Sorun şu şekilde gelişiyor, Domaine üye clientler (sadece Win7) aralıklar halinde DC Serverden kopup daha sonra yeniden bağlanıyor.Bu aşamada DNS sunucusu ve aradaki güvenli bağlantı kayıp olduğu için diğer sistem üzerindeki işlemlerde duruyor. Bu esnada client tarafında verdiği hatalar üst iletilerdeki gibi.

 

Sonuç olarak sorun hala devam ediyor ve destek aldığım firmada  DC Serveri yeniden kurmaktaktan başka çözüm getiremiyor.

 
Gönderildi : 10/11/2015 00:39

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Yeniden kurmak çok dogru olmaz, temiz bir ADC kurun, sonra rolleri tasiyin ve eskisini kaldirin.

Bu konuda [email protected] den de destek isteyebilirsiniz. Madem ücretli bir süreç var bizim teknik ekipte çok kolay bir sekilde çözebilir.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 10/11/2015 14:32

(@ErcanOZYANAR)
Gönderiler: 18
Eminent Member
Konu başlatıcı
 

Hakan Bey,

 

Belirttiğiniz gibi Additional DC Server kurulumu gerçekleştirdik ve nihayetinde sorun çözüldü. Ancak hala DC Server networkünü etkileyen sebebi bulamadık. 

Bu şekilde bir hata ile karşılaşan arkadaşlar için sebebi araştırarak vakit kaybetmesinler direkt ADD DC server kurarak sorun çözüme kavuşmaktadır.

 
Gönderildi : 13/11/2015 14:09

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Geçmiş olsun

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 15/11/2015 19:59

Paylaş: