Windows server 2003 сетевые подключения

Обновлено: 04.07.2024

Доброе время суток.
Похожей темы не нашел, просьба сильно не пинать.
Уже почти вторую неделю пытаюсь побороть проблемму - в среднем 2-3 раза в сутки сависает сетевой интерфейс на сервере Сервер Windows 2003. После рестарта сетевого подключения все работает. При зависании пингуется 127,0,0,1 и собственный адрес 192,168,х,х, но на любой другой копмьютер в сети пинг не проходит.
Замена кабеля, свича и подключение к другой сетевой карте не помогли (на сервере их две).

Конфигурация сервера: MB Tyan S5211G2NR Toledo i3210W
CPU Intel Xeon 3210 Quad
Mem DDR2 2048
Raid Areca ARC 1120 5*320
Lan Two Intel i82573 GbE NICs (1*82573V+1*82573L) -две гигабитные карточки, одна из которых выключена.

Так же приведу результаты Netdiag:

Netcard queries test . . . . . . . : Passed

Per interface results:

Adapter : Подключение по локальной сети 1

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : srvr001
IP Address . . . . . . . . : 192.168.х.х
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.х.х
Dns Servers. . . . . . . . : 192.168.х.х

AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.
No remote names have been found.

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.

Domain membership test . . . . . . : Passed

NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_
1 NetBt transport currently configured.

Autonet address test . . . . . . . : Passed

IP loopback ping test. . . . . . . : Passed

Default gateway test . . . . . . . : Passed

NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.

Winsock test . . . . . . . . . . . : Passed

DNS test . . . . . . . . . . . . . : Passeх
PASS - All the DNS entries for DC are registered on DNS server '192.168.х.х' and other DCs also have some of the names registered.

Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_
The browser is bound to 1 NetBt transport.

DC discovery test. . . . . . . . . : Passed

DC list test . . . . . . . . . . . : Passed

Trust relationship test. . . . . . : Skipped

Kerberos test. . . . . . . . . . . : Passed

LDAP test. . . . . . . . . . . . . : Passed

Bindings test. . . . . . . . . . . : Passed

WAN configuration test . . . . . . : Skipped
No active remote access connections.

Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information

The command completed successfully

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\SRVR001
Starting test: Connectivity
. SRVR001 passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SRVR001
Starting test: Replications
. SRVR001 passed test Replications
Starting test: NCSecDesc
. SRVR001 passed test NCSecDesc
Starting test: NetLogons
. SRVR001 passed test NetLogons
Starting test: Advertising
. SRVR001 passed test Advertising
Starting test: KnowsOfRoleHolders
. SRVR001 passed test KnowsOfRoleHolders
Starting test: RidManager
. SRVR001 passed test RidManager
Starting test: MachineAccount
. SRVR001 passed test MachineAccount
Starting test: Services
. SRVR001 passed test Services
Starting test: ObjectsReplicated
. SRVR001 passed test ObjectsReplicated
Starting test: frssysvol
. SRVR001 passed test frssysvol
Starting test: frsevent
. SRVR001 passed test frsevent
Starting test: kccevent
. SRVR001 passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0xC25A001D
Time Generated: 12/10/2008 11:16:52
(Event String could not be retrieved)

. SRVR001 failed test systemlog
Starting test: VerifyReferences
. SRVR001 passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
. ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
. ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
. DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
. DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
. Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
. Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
. Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
. Configuration passed test CheckSDRefDom

Running partition tests on : kliver
Starting test: CrossRefValidation
. kliver passed test CrossRefValidation
Starting test: CheckSDRefDom
. kliver passed test CheckSDRefDom

В этой статье описывается, как устранить недостающие значки сетевых подключений в Windows Server 2003 и Windows XP.

Применяется к: Windows Server 2012 R2, Windows 10 — все выпуски
Исходный номер КБ: 825826

Введение

В этой статье данная статья предоставляет шаги самопомехи для начала до промежуточного пользователя компьютера. Раздел"Расширенные устранениянеполадок" предназначен для продвинутых пользователей компьютера. Для удобства выполнения описанных действий рекомендуется начать с распечатки этой статьи.

Симптомы

При нажатии кнопки Начните, указать на панель управления и нажмите кнопку Панель управления, а затем дважды щелкнуть сетевые подключения или щелкнуть правой кнопкой мыши Мои сетевые места на рабочем столе, а затем нажмите кнопку Свойства , вы не увидите все значки сети. Также могут возникнуть проблемы с окном сетевых подключений.

Чтобы узнать, какой метод следует сначала решить проблему, просмотрите следующие четыре случая, чтобы определить, какие симптомы соответствуют вашей ситуации.

Пример 1. Отсутствуют все или некоторые значки сети

Значок локального High-Speed подключения к Интернету отсутствует.
Отсутствуют значки подключения к диалогу.
Отсутствует значок Мастер нового подключения.
Появляется только значок Мастер нового подключения. Также отображаются одно или несколько подключений.
Если щелкнуть меню Advanced, а затем Параметры advanced Параметры, в списке Подключений появится только запись подключения к удаленному доступу.

Если в этом случае описывается ваша ситуация, сначала следует попробовать метод 1 в разделе "Общие устранения неполадок", чтобы позволить Windows автоматически обнаруживать и устанавливать сетевые адаптеры.

Пример 2. Отсутствуют только значки "Подключение к диалогу"

Если в этом случае описывается ваша ситуация, сначала следует попробовать метод 5 в разделе "Общие методы устранения неполадок", чтобы добавить общий стандартный модем.

Пример 3. Окно сетевых подключений прекращает отвечать (зависает) или закрывается сразу после выбора сетевого подключения, а затем нажмите кнопку "Свойства"

Если в этом случае описана ваша ситуация, попробуйте метод 4 в разделе "Расширенные устранения неполадок", чтобы восстановить запись Config подмосковной сети. Если вам не удобно выполнять расширенные устранения неполадок, может потребоваться обратиться к кому-либо за помощью или обратиться в службу поддержки.

Дело 4. Значок сети исчезает только после вручную подключения к сети

Если это описывает вашу ситуацию, попробуйте метод 3 в разделе "Расширенные устранения неполадок", чтобы использовать средство результатов групповой политики или консоль управления групповой политикой для диагностики и решения проблемы. Если вам не удобно выполнять расширенные устранения неполадок, может потребоваться обратиться к кому-либо за помощью или обратиться в службу поддержки.

Устранение общих неполадок

Метод 1. Windows автоматически обнаруживать и устанавливать сетевые адаптеры

Windows автоматически обнаруживать и устанавливать правильные сетевые адаптеры для вас. Он также исправит все поврежденные записи реестра в сетевом адаптере.

Чтобы Windows автоматически обнаруживать и устанавливать сетевые адаптеры для вас, выполните следующие действия:

Щелкните правой кнопкой мыши "Мой компьютер", а затем нажмите кнопку Свойства.
Щелкните вкладку "Оборудование", а затем нажмите кнопку Device Manager.
Чтобы увидеть список установленных сетевых адаптеров, развяжь сетевой адаптер(ы). Щелкните, чтобы найти сетевой адаптер, а затем нажмите кнопку Uninstall.
Перезапустите компьютер, а затем позвольте системе автоматически обнаруживать и устанавливать драйверы сетевого адаптера.

Проверьте, отображаются ли значки сетевых сетей. Если этот метод работал для вас, вы закончите с этой статьей. Тем не менее, вы можете прочитать раздел"Советыпо профилактике", чтобы узнать, как избежать этой проблемы в будущем.

Если этот метод не работал для вас, попробуйте Метод 2.

Метод 2. Проверка параметров и служб сети

Параметры сети, такие как параметры адаптеров, параметры служб, параметры логотипа, параметры взаимодействия на рабочем столе и параметры сетевых служб, позволяют использовать компьютер для подключения к сети. Если эти параметры некорректны, могут возникать проблемы с подключением к сети.

Чтобы проверить параметры и службы сети, выполните следующие действия:

Эта служба должна быть запущена до того, как другие службы могут вступает в силу.

Эта служба может запускаться только в том случае, если служба RPC активна.

Эта служба может запускаться только в том случае, если служба телефонии активна.

Эта служба может запускаться только при активной службе RPC и службе PnP.

В поле Выполнить введите cmd.exe, а затем нажмите кнопку ОК.

Перезагрузите компьютер. Проверьте, отображаются ли значки сетевых сетей. Если этот метод работал для вас, вы закончите с этой статьей. Однако, чтобы избежать этой проблемы в будущем, вам может потребоваться прочитать раздел"Советыпо профилактике".

Если этот метод не работал для вас, попробуйте Метод 3.

Метод 3. Определите, несовместим ли сторонний драйвер с последними Windows Пакет обновления

Чтобы проверить, доступен ли новый драйвер сетевого адаптера, выполните следующие действия:

Если этот метод не работал для вас, вы можете попробовать Метод 4.

Метод 4. Использование Dcomcnfg.exe для сброса параметра "Уровень обезличения по умолчанию"

В этом параметре компьютеру сообщается, как проверить подлинность, кто может подключиться к сети. Этот метод звучит более пугающе, чем на самом деле. Утилита DCOM Config имеет интерфейс "точка и щелчок", и вам нужно просто следовать шагам, и он будет выполнять "грязную" работу для вас.

Перед началом работы необходимо убедиться, что вы вошли на компьютер с помощью учетной записи администратора. С помощью учетной записи администратора можно внести изменения на компьютер, которые невозможно внести с любой другой учетной записью, например стандартной учетной записью. Если вы используете собственный компьютер, скорее всего, вы вошли в систему с помощью учетной записи администратора.

Если вы не уверены в том, есть ли у вас права административного пользователя, выполните следующие действия. В противном случае перейдите к шагу 1.

У вас нет надлежащего уровня привилегий для изменения системного времени.

Чтобы продолжить эту задачу, необходимо сначала выйти из системы, а затем вернуться к Windows с помощью учетной записи администратора компьютера. Если вы не знаете, как вернуться к Windows с помощью учетной записи администратора компьютера, вам может потребоваться помощь. Если этот компьютер является частью сети на работе, вы можете обратиться за помощью к системного администратора. Однако если вам необходимо выполнить эту задачу на домашнем компьютере, который не является частью сети, необходимо знать пароль для учетной записи администратора на компьютере.

К сожалению, если вы не знаете пароль для любой учетной записи администратора на компьютере, это содержимое не может помочь вам дальше. Возможно, вам нужно обратиться в службу поддержки. Сведения отом,как обращаться в службу поддержки, см. в следующих действиях.

Чтобы запустить утилиту Dcomcnfg.exe для настройки уровня обезличения по умолчанию, выполните следующие действия:

Новый уровень машинного обезличения доступен при следующем запуске программы. Программы, которые в настоящее время запущены, не затронуты, пока не перезапустите их.

Проверьте, отображаются ли значки сетевых сетей. Если этот метод работал для вас, вы закончите с этой статьей.

Если этот метод не работал для вас, вы можете попробовать Метод 5.

Метод 5. Если отсутствуют только значки подключения к диалогу, временно добавьте новый модем

Попробуйте добавить стандартный модем. Часто только при добавлении нового модема значки подключения появляются снова. Чтобы добавить стандартный модем, выполните следующие действия:

Расширенные устранения неполадок

Если вы все еще испытываете проблему отсутствующих значков, вы можете попробовать расширенные методы. Если вам не удобно с расширенным устранением неполадок, может потребоваться связаться с службой поддержки. Сведения о том, как связаться с поддержкой, см. в разделе"Дальнейшие действия".

Рекомендуется использовать следующие расширенные методы устранения неполадок для продвинутых пользователей:

Метод 1. Убедитесь, что Windows защищенные файлы в папке System 32 не повреждены

Проверка системных файлов позволяет администратору сканировать все защищенные файлы для проверки их версий. Если проверка системных файлов обнаруживает, что защищенный файл был перезаписан, он извлекает правильную версию файла из папки кэша (%Systemroot%\System32\Dllcache) или из исходных файлов Windows установки, а затем заменяет неправильный файл. Проверка системных файлов также проверяет и повторно населяет папку кэша. Для запуска system File Checker необходимо войти в систему в качестве администратора или члена группы администраторов.

Чтобы запустить проверку системных файлов, откройте командную подсказку, введите sfc /purgecache и нажмите кнопку ENTER. Начинается проверка файлов окна.

Дополнительные сведения об использовании функции защиты Windows файлов можно найти в следующей статье Microsoft Knowledge Base:
222193 Описание функции защиты Windows файлов

Метод 2. Удаление программного обеспечения управления сторонними сетевыми адаптерами

В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.

Временно удалите любое программное обеспечение для командной группы. Известно, что следующая комбинация несовместима: Dual-Port intel Pro 100+ Server Adapter с программным обеспечением intel Teaming, работающим с компонентом SNMP.

Для обновленной версии агента SNMP Intel (Ilansnmp.dll) и дополнительных сведений свяжитесь с производителем сетевых адаптеров или сторонним поставщиком программного обеспечения.

Метод 3. Используйте средство результатов групповой политики, чтобы узнать, какие объекты групповой политики применяются

Если значок удаляется только после вручную подключения к сети, выполните следующие действия:

Метод 4. Сброс сетевых подключений

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
322756 Создание резервной копии и восстановление реестра Windows

Если окно сетевых подключений начинает открываться, а затем закрывается немедленно или "зависает", выполните следующие действия:

Метод 5. Убедитесь, что ключи реестра не повреждены и исправны

Чтобы убедиться, что ключи реестра не повреждены и правильны, выполните следующие действия:

Найдите и нажмите следующий подкай реестра: HKEY_CLASSES_ROOT\Interface\

Убедитесь, что подкожи NumMethods и ProxyStubClsid32 существуют и что их значения верны. Если эти подкайки реестра не существуют, создайте их.

Метод 6. Проверка на предмет непредставляющих, призрачных или скрытых сетевых адаптеров

Чтобы удалить призрачный сетевой адаптер из реестра, выполните следующие действия:

Метод 7. Удалите все сведения об автообнаружение и автообнаружение (ADAP) из реестра и сбросите состояние каждой библиотеки производительности.

Для этого откройте командную подсказку, введите winmgmt / clearadap и нажмите кнопку ENTER.

Дальнейшие действия

Если вы не смогли выполнить действия в этой статье для восстановления сетевых значков, вам может потребоваться помощь или контактная поддержка.

Чтобы просмотреть параметры поддержки Майкрософт, посетите следующий веб-сайт Microsoft: Свяжитесь с нами

Базовые сетевые понятия и концепции в Windows Server 2003

Первое знакомство с сетевыми подключениями

В настоящее время любая операционная система, ориентированная на корпоративный рынок, должна включать в себя компоненты, обеспечивающие возможность ее функционирования в рамках вычислительной сети. Не является исключением и Windows Server 2003.

Типы сетевых подключений

Управление сетевыми подключениями

Все операции по конфигурированию сетевых средств осуществляются в папке Network Connections (Сетевые подключения) (рис. 12.1). В этой папке создаются все поддерживаемые операционной системой подключения.

Установка дополнительных сетевых компонентов

В процессе развертывания операционной системы администратор может установить базовый набор сетевых компонентов, предоставляющих возможность создания сетевых подключений. В составе Windows Server 2003 поставляется значительное число дополнительных сетевых компонентов, расширяющих функциональность операционной системы (табл. 12.2). | Эти компоненты организованы в три группы:

Сетевые протоколы

Набор соглашений и правил, регламентирующих порядок взаимодействия отдельных компонентов сети, называется протоколом. Протокол представляет собой согласованный способ обмена информацией между хостами.

Обзор доступных транспортных стеков протоколов. Стек протоколов TCP/IP.

В рамках Windows Server 2003 реализована поддержка следующих стеков протоколов: | TCP/IP; | NWLink (IPX/SPX-совместимый стек протоколов); | AppleTalk. | Эти стеки протоколов могут быть использованы для организации взаимодействия Windows Server 2003 с другими компьютерами в сети.

Стек протоколов NWLink

Стек протоколов IPX/SPX (Internetwork Packet Exchange/Sequenced Packet Exchange) представляет собой фирменный стек протоколов, разработанный корпорацией Novell специально для операционной системы NetWare.

Стек протоколов AppleTalk

Специально для поддержки клиентов Apple Macintosh в Windows Server 2003 реализован стек протоколов AppleTalk. Используя стек протоколов AppleTalk, приложения и процессы могут передавать данные и обмениваться информацией, а также совместно использовать ресурсы, например принтеры и файловые серверы.

Обзор протоколов удаленного доступа. Протокол РРР. Протокол SLIP.

Для установки соединения с сервером удаленного доступа клиент должен использовать специальный протокол. Эти протоколы получили название протоколов удаленного доступа. Windows Server 2003 поддерживает два протокола удаленного доступа: | Протокол РРР

Порядок привязки протоколов

Как уже говорилось ранее, интерфейс сетевых драйверов NDIS позволяет использовать несколько сетевых протоколов поверх разнообразных типов сред и сетевых адаптеров. Это становится возможным благодаря механизму "привязки" (binding) протоколов к имеющимся сетевым адаптерам.

Создание сетевых подключений. Подключение к локальной вычислительной сети.

После того как нами были рассмотрены основные поддерживаемые протоколы, мы можем перейти к более подробному разговору о процессе создания различных типов сетевых подключений. | Подключение компьютера к локальной вычислительной сети является стандартным способом организации доступа к ресурсам корпоративной сети для большинства компаний.

Подключения удаленного доступа. Методы удаленного доступа.

Концепция удаленного доступа предоставляет удаленным или мобильным пользователям возможность подключения к корпоративной вычислительной сети с целью получения доступа к ее ресурсам. | Удаленный доступ используется всегда, когда отсутствует возможность соединения двух или более компьютеров через локальную сеть.

Подключение по телефонной линии

Поскольку телефонные линии доступны практически повсеместно, данный способ подключения клиентов к корпоративной вычислительной сети считается одним из наиболее простых и дешевых. Основным недостатком данного способа соединения является крайне низкая пропускная способность коммутируемого телефонного подключения (максимум 56 Кбит/с).

Подключение к Интернету

Отдельно рассмотрим ситуацию с использованием коммутируемого (телефонного) подключение для соединения компьютера с глобальной сетью Интернет. Перед созданием подключения требуется узнать у провайдера (поставщика) услуг Интернета необходимость настройки параметров подключения (таких, как выделенный IP-адрес компьютера, адрес DNS-сервера и др.).

Подключение к ISDN-линии

Технология ISDN (Integrated Services Digital Network) пришла на смену коммутируемым телефонным подключениям. В отличие от коммутируемых подключений, в ISDN для передачи данных используется не аналоговый, а цифровой сигнал.

Подключение к сети Х.25

Протокол Х.25 представляет собой протокол коммутации пакетов, функционирующий на сетевом уровне OSI-модели. Все коммуникации между двумя участниками взаимодействия согласно спецификации Х.25 представляются в виде соединенных друг с другом узлов пересылки пакетов.

Прямое подключение

При наличии физического соединения с другим компьютером через последовательный кабель или кабель прямого параллельного подключения (DirectParallel) можно создать так называемое прямое подключение (direct connection).

Подключение к виртуальной частной сети

Для создания сетевого подключения к частной (private) сети пользователи могут использовать общедоступную (public) сеть. Совокупность подобных подключений принято называть виртуальной частной сетью (Virtual Private Network, VPN).

Компьютер, под управлением Windows Server 2003, может выступать в качестве сервера удаленного доступа. В этом случае все подключения клиентов к серверу удаленного доступа рассматриваются как входящие подключения (incoming connections).

Настройка стека протоколов TCP/IP для входящих подключений

Для настройки протокола откройте окно свойств входящего подключения и перейдите на вкладку Networking (Сеть). Затем, выбрав в списке компонент Internet Protocol (Протокол Интернета), нажмите кнопку Properties (Свойства).

Общий доступ к подключению Интернета (Internet Connection Sharing)

Механизм общего доступа к подключению Интернета (Internet Connection Sharing, ICS) позволяет компьютерам, подключенным к локальной сети, совместно использовать имеющиеся сетевые интернет-соединения.

Настройка механизма ICS. Настройка клиентов для работы с компьютером, имеющим общее интернет-подключение.

При разрешении совместного использования подключения некоторые протоколы, службы, интерфейсы и маршруты будут сконфигурированы автоматически (табл. 12.5). Эти настройки изменить нельзя.

Сетевой мост (Network Bridge)

В Windows Server 2003 непосредственно на уровне операционной системы реализован механизм сетевого моста (network bridge). Наличие этого механизма устраняет необходимость в использовании специального аппаратного обеспечения.

Брандмауэр подключения к Интернету (Internet Connection Firewall)

С целью обеспечения безопасной работы при работе в открытых сетях (такими, например, как Интернет) непосредственно в составе Windows Server 2003 реализован встроенный брандмауэр подключения к Интернету (Internet Connection Firewall, ICF).

Использование диспетчера подключений. Служебные профили.

Использование мастера New Connection Wizard является стандартным способом, создания сетевых подключений в среде Windows Server 2003. В других версиях Windows имеются аналогичные утилиты, позволяющие пользователю создать сетевое подключение в соответствии со стоящими перед ним задачами.

Создание служебных профилей. Установка мастера Connection Manager Administration Kit Wizard и работа с ним.

Для создания служебного профиля используется специальный мастер Connection Manager Administration Kit Wizard. Этот мастер не устанавливается по умолчанию. Если администратор планирует использовать в сети утилиту Connection Manager, он должен самостоятельно установить этот компонент на одном из серверов.

Использование служебных профилей. Требования, предъявляемые к клиентам удаленного доступа. Развертывание профиля.

Профиль создается мастером в папке %SystemRoot%\Pmgram Files\CMAK\ Profiles. По окончании процедуры создания профиля администратор должен принять решение о том, каким образом профили будут доставляться пользователям.

Интеграция с сетями Novell NetWare

В Windows Server 2003 реализованы службы, позволяющие компьютерам под управлением Windows сосуществовать и функционировать совместно с сетями и серверами на базе Novell NetWare. | Для этого в состав Windows Server 2003 включены следующие средства:

Сетевой монитор. Краткий обзор возможностей сетевого монитора.

Сетевые администраторы могут использовать утилиту Network Monitor (Сетевой монитор) для перехвата и отображения кадров (также называемых пакетами или фреймами) при обнаружении и решении проблем в локальных сетях.

Сетевой монитор и безопасность. Поддерживаемые парсеры протоколов.

Из соображений безопасности сетевой монитор в Windows Server 2003 перехватывает только те кадры (включая широковещательные кадры и кадры группового вещания), которые посланы с локального компьютера или адресованы ему.

Перехват кадров из сети

Как уже упоминалось, фиксация происходит тогда, когда сетевая плата передает подмножество кадров в сеть, и они одновременно поступают в сетевой монитор. Сетевой монитор сохраняет эти кадры в буфере сбора данных – специально выделяемой области памяти.

Настройка параметров буфера сбора данных. Формирование базы данных адресов.

Перехваченные кадры сохраняются в буфере сбора данных. Когда происходит переполнение буфера сбора данных, каждый новый кадр заменяет самый старый кадр в буфере. На быстроту заполнения буфера, кроме интенсивности сетевого трафика и сложности используемых фильтров, влияют следующие факторы:

Фильтры сбора данных

Функции фильтра сбора данных подобны функциям запросов к базе данных. Их можно использовать для определения типа отслеживаемой информации о сети. Например, чтобы видеть только заданное подмножество компьютеров или протоколов, можно создать базу данных адресов, добавить адреса из базы данных в фильтр, а затем сохранить фильтр в файле. Фильтрация кадров экономит ресурсы буфера сбора данных и время.

Сохранение записанных данных. Просмотр собранных данных.

Перехваченные данные из буфера сбора данных записываются для сохранения в файл перехвата данных (с расширением .cap). | Необходимо сохранять собранные данные в следующих случаях: | перед запуском другого процесса сбора данных (чтобы предотвратить потерю собранных данных);

Статья написана для того чтобы потомки не наступали на грабли на которые наступил я.
Если на вашем сервере/локальном компьютере перестало открываться сетевое окружение с ошибкой «Ни одна из служб доступа к сети не может обработать сетевой путь» добро пожаловать

В общем в один прекрасный день мне позвонил пользователь и сказал что не может по самбе законектиться на основной сервер (естественно он сказал не так, но суть передана) Я попробовал со своего компьютера набрать \\server (имя изменено для удобства понимания) и получил ошибку. хотя сервер прекрасно пинговался и все нужные порты были открыты. После перезагрузки сервера (а это как известно полный ахтунг посреди рабочего дня) сервер проработал около часа и ошибка повторилась. На самом сервере при попытке пойти по сети на любой компьютер \\user получали ошибку «Ни одна из служб доступа к сети не может обработать сетевой путь»

Как было сказано ранее порт 445 был открыт. Ошибка «Ни одна из служб» подтолкнуло на мысль что проблема в службах :)
Итак лезем в службы и на вскидку видим следующее: службы сервер, рабочая станция, обозреватель компьютеров упали. Запускаем — работает, минут через 10-15 снова падает. В логах приложений видим ошибку
«Ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.»
Сразу после которой падают службы

Приходим к однозначному выводу что причиной всему некоторый вирус kido, который атакует компы сети по 445 порту, приводя к ошибке buffer-overflow. Решение — запуск kk.exe на всех компьютерах сети. kk.exe — програмка для лечения вируса kido от касперских. Сам антивирус касперского не переношу на дух, хотя проверку провел — сам касперский угроз не обнаружил, а kk.exe — нашел и по всей видимости полечил.

Пройдя по всем компьютерам сети и запустив kk обнаружили и почистили много этой вирусни. Кроме того дабы обезопасить только что зараженные компьютеры запустили kk в режиме мониторинга «kk -m» и добавили в автозагрузку. После всех этих манипуляций вздохнули свободно, хотели отдохнуть, но не тут то было. Сервисы стали падать не так часто. Но от этого легче не стало! Кстати временное решение проблемы — зайти в свойства одного из сервисов и установить «перезапускать сервер» во всех полях закладки восстановления. Сервисы хоть и падают, но почти сразу восстанавливаются.

Итак стал думать почему сервисы падают пачками. И что объединяет эти сервисы. ответ оказался прост — один из svchost.exe запускал все эти сервисы. Вот полный список:
• Обозреватель компьютеров (!)
• Службы криптографии
• Диспетчер логических дисков
• Служба событий COM+
• Справка и поддержка
• Сервер (!)
• Рабочая станция (!)
• Сетевые подключения (!)
• Служба сетевого расположения
• Планировщик заданий (!)
• Вторичный вход в систему
• Уведомление о системных событиях
• Определение оборудования оболочки
• Клиент отслеживания изменившихся связей
• Инструментарий управления windows
• Автоматическое обновление
• Беспроводная настройка

В общем мысль пошла далее. Раз вирусов на сервере больше нет, значит вирус все еще есть на каких либо компьютерах сети. И он продолжает атаковать сервер. Но почему сервер от этого падает? Значит есть какаято дыра. А если есть дыра — значит должна быть заплатка. С горем пополам нашел такую заплатку для WinXP — KB958644
А уж имея название заплатки для Win2003 нашел заплатку без проблем.

поставил заплатки на сервер и все компьютеры сети. вместо ошибки
«Ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.»
стало появляться предупреждение
«Отчет об ошибке постановки в очередь: ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.»

В принципе проблема решена, можно выписывать. Но (!) Раз атаки продолжаются значит вирус еще где то действует. Вот об этом хотелось бы спросить хабрасообщество — как выявить зараженный в сети компьютер?
Логично предположить что нужно слушать 445 порт — кто лезет, тому и по рогам. Но ведь на сервере пошарено много всего, люди лезутредактируютсоздаютсохранаютсмотрют… Как нормальный траф 445 порта отделить от вредоносного?
В комментариях жду советов, и надеюсь что в будущем моя статья поможет кому либо побыстрее разобраться с этой проблемой.

ЗЫЖ автоматическое обновление стояло, 2003 был обновлен — почему то эта заплатка не качается со всеми вместе.

Читайте также: