mprimius
26-06-2012, 13:41
Buongiorno a tutti,
è il mio primo post che scrivo ma sono solito ritrovarmi a spulciare il vostro forum che è un ottima fonte di ispirazione per la soluzione di problemi.
Questa volta però ho il problema è più complicato del normale.
Ambiente windows con 2 DC 2003 per dominio.
2 domini che chiameremo MSDOM1 e MSDOM2
Il problema è che i due DC che fanno anche da DNS del MSDOM1 effettuano traffico anomalo sul server cluster (e solo su quelle macchine) del MSDOM2.
Sulla protezione del registro degli eventi del cluster del dominio MSDOM2 compaiono accessi negati provenienti dai 2 DC del dominio MSDOM1
Gli eventi sono : Security id 680 e 529 e si ripetono circa 4/5 al secondo.
La prima cosa che viene in mente è Blaster. Ma le patch sono installate e la rete è protetta da questo worm.
Con WireShark 1.6.7 ho sniffato uno dei DC da cui proviene il traffico.
di seguito il risultato dei pacchetti che non vanno a buon fine.
230 5.812566 192.168.2.3 192.168.2.12 EPM 254 Map request
231 5.812901 192.168.2.9 192.168.2.3 DCERPC 250 Response: seq:168272 opnum: 0 len: 128 NULL V0
232 5.813412 192.168.2.3 192.168.2.12 DCERPC 122 Ack: seq: 168272 [req: #230]
233 5.813809 192.168.2.3 192.168.2.12 DCERPC 142 Request: seq: 1 opnum: 3 len: 0 b97db8b2-4c63-11cf-bff6-08002be23f2f V2
234 3.658454 192.168.2.9 192.168.2.3 UDP 434 Source port: warmspotMgmt Destination port: directv-soft
235 3.659110 192.168.2.3 192.168.2.12 UDP 370 Source port: directv-soft Destination port: warmspotMgmt
236 3.660942 192.168.2.9 192.168.2.3 DCERPC 122 Ack: seq: 103
237 3.661091 192.168.2.9 192.168.2.3 DCERPC 126 Reject: seq: 0: status: nca_s_fault_access_denied
dove il 192.168.2.3 è il DC del dominio MSDOM1
e 192.168.2.12 è il cluster del dominio MSDOM2
L'idea che mi sono fatto è che i DC del dominio MSDOM1 provano a chiedere un map request utilizzando l'utente amministratore di dominio.
A sua volta il cluster facendo parte dell'organizzazione del MSDOM2 non accetta la richiesta in quanto le password dei due domini sono diverse.
Come potrei risolvere questo problema?
Purtroppo tutto questo traffico mi rallenta molto la rete e vorrei risolvere in una qualche maniere.
Qualcuno saprebbe indicarmi?
Grazie.
è il mio primo post che scrivo ma sono solito ritrovarmi a spulciare il vostro forum che è un ottima fonte di ispirazione per la soluzione di problemi.
Questa volta però ho il problema è più complicato del normale.
Ambiente windows con 2 DC 2003 per dominio.
2 domini che chiameremo MSDOM1 e MSDOM2
Il problema è che i due DC che fanno anche da DNS del MSDOM1 effettuano traffico anomalo sul server cluster (e solo su quelle macchine) del MSDOM2.
Sulla protezione del registro degli eventi del cluster del dominio MSDOM2 compaiono accessi negati provenienti dai 2 DC del dominio MSDOM1
Gli eventi sono : Security id 680 e 529 e si ripetono circa 4/5 al secondo.
La prima cosa che viene in mente è Blaster. Ma le patch sono installate e la rete è protetta da questo worm.
Con WireShark 1.6.7 ho sniffato uno dei DC da cui proviene il traffico.
di seguito il risultato dei pacchetti che non vanno a buon fine.
230 5.812566 192.168.2.3 192.168.2.12 EPM 254 Map request
231 5.812901 192.168.2.9 192.168.2.3 DCERPC 250 Response: seq:168272 opnum: 0 len: 128 NULL V0
232 5.813412 192.168.2.3 192.168.2.12 DCERPC 122 Ack: seq: 168272 [req: #230]
233 5.813809 192.168.2.3 192.168.2.12 DCERPC 142 Request: seq: 1 opnum: 3 len: 0 b97db8b2-4c63-11cf-bff6-08002be23f2f V2
234 3.658454 192.168.2.9 192.168.2.3 UDP 434 Source port: warmspotMgmt Destination port: directv-soft
235 3.659110 192.168.2.3 192.168.2.12 UDP 370 Source port: directv-soft Destination port: warmspotMgmt
236 3.660942 192.168.2.9 192.168.2.3 DCERPC 122 Ack: seq: 103
237 3.661091 192.168.2.9 192.168.2.3 DCERPC 126 Reject: seq: 0: status: nca_s_fault_access_denied
dove il 192.168.2.3 è il DC del dominio MSDOM1
e 192.168.2.12 è il cluster del dominio MSDOM2
L'idea che mi sono fatto è che i DC del dominio MSDOM1 provano a chiedere un map request utilizzando l'utente amministratore di dominio.
A sua volta il cluster facendo parte dell'organizzazione del MSDOM2 non accetta la richiesta in quanto le password dei due domini sono diverse.
Come potrei risolvere questo problema?
Purtroppo tutto questo traffico mi rallenta molto la rete e vorrei risolvere in una qualche maniere.
Qualcuno saprebbe indicarmi?
Grazie.