Настройка и восстановление Microsoft Windows

Информация

Новые пользователи

Aannuuchka
Moscow
atolonlenia
Mtskheta
AreddieBup
Mount Carey
MixailKL
Верхний Малоярославец
Earnestmi
Москва
endothe
Lianyungang
RolandHet
New York
Anfisa6181
Одесса
Baabnolarf
Москва
WilliamCap
Москва

Счетчики






Проверка тИЦ и PR

Территориально распределенный доменВо время работы территориально рапределенного домена возникает масса сетевых проблем. Они связанны с тем, что каналы связи, объединяющие различные территории с компьтерами домена устроенны гораздо сложнее, чем обычная локальная сеть. Существует масса методов диагностики работы каналов связи и существует масса настроек Windows, облегчающих работу в территориально-рапределенной AD. И в интернете существует большое количество информации по этим настройкам и средствам диагностики. Несмотря на это нередко возникают случаи, когда абсолютно нормально настроенные машины на Windows и абсолютно нормальный канал связи не могут обеспечить корректную работу в домене.

 

 В статье будут рассмотренны именно такие случаи, поскольку рассмотреть все аспекты сетевых проблем рассмотреть в рамках одной статьи не возможно. Здесь будут рассмотрены следующие допущения:

1. Windows корректно работает с доменом, находясь в одной локальной сети с основными серверами (Контроллер домена, Exchange, Файл-сервер), но будучи перемещенной на удаленную территорию испытывае проблемы аутентификации в домене.

2. Канал связи исправен. У него достаточная скорость, он стабилен, диагностика ping-ом не выявляет никаких проблем, копируемые через него файлы не теряют свою целостность и т.д. Однако при попытке работать с доменными серверами возникают проблемы аутентификации. Как постоянные, так и нерегулярно проявляющиеся.

 

Корень зла в таких случаях заключается в фрагментации пакетов. Связь между различными частями домена устанавливается либо через обычный интернет, либо через организованные провайдером каналы связи. Иначе говоря, через недоверенные сети. И проблема туннелирования внутридоменного трафика и обеспечения его конфиденциальности как раз и вызывает проблемы. Дело в том, что и туннелирование и шифрование пакетов локального трафика требует упаковки локального пакета в специальный транспортный пакет, который обладает собственной информацией, содержащейся в его заголовке. Именно необходимость выделения места под заголовок транспорного пакета требует уменьшения размера пакета локального трафика. Для обычного трафика это не составляет проблем. Промежуточное сетевое оборудование само разбивает не умещающиеся пакеты на части, само перерасчитывает контрольные суммы и само собирает их по приходу в сеть назначения. Однако в случае доменной аутентификации используется протокол Kerberos, для работы которого крайне важны контрольные суммы. И вмешательства любого сетевого оборудования в процесс рассчета контрольной суммы пакета приводит к проблемам. В каких же случаях такое вмешательство происходит:

1. Не правильно выставленное значение mtu на компьютерах входящих в домен.

2. Рассчет контрольной суммы сетевой картой, а не компонентами операционной системы.

Вот эти два случая мы и будем рассматривать.

1. Каким должно быть правильное значение mtu (Maximum Transmission Unit)? Оно должно быть меньше, чем каждое значение mtu, присутвующее на любом участке сети ,соединяющей домен в единое целое. Здесь распространеная ошибка заключается в том, что значение mtu администратор домена пытается вычислить теоретически, а не экспериментальными измерениями. Или в том, что однажды полученное значение mtu считается чем-то незыблемым. И это в то время, как канал связи устанавливается при помощи оборудования провайдеров связи неподконтрольно администратору домена. Как же экспериментально определить минимальное значение mtu на канале связи?
Ответ - нужно выполнять команду ping с особыми параметрами.  Например с рабочей станции выполнять пинг  контроллер домена:

ping dc -l 1499 -f и если получена ошибка "Требуется фрагментация пакета, но установлен запрещающий флаг.", то уменьшать значение 1499 до тех пор, пока ошибка не исчезнет. Вот первый же пинг, прошедший без ошибок и надо установить в качестве mtu на удаленной машине.

В команде ping  параметр dc это имя контроллера домена, раположенного на одной площадке с сервером, при обращении к которому возникает проблема, -l 1499 - это длина пакет, отправляемая командой ping, параметр -f запрещает фрагметтацию пакета.

1499 уменьшать на единицу почти всегда будет очень накладно. Найденное значение может быть в районе 1200. Во избежании чересчур долгово определения mtu уменьшать надо сначала на 100, затем когда при следующем уменьшении ошибка пропала, надо вернутся к последнему ошибочному значению и уменьшать его на 10 и т.д. Или воспользоватся методом половинного деления, если кто его помнит.

Так же важно, что бы при измерениях на обоих машинах было установленно MTU по умолчанию - 1500, иначе полученное значение может быть некорректным. Так же некорректно проводить повторное определение этого параметра после уменьшения значения mtu.

Когда значение mtu проверенно на корректность, а ошибка сохраняется, то надо переходить к следующему пункту:

 2. Устраняем вмешательство сетевой карты в рассчет контрольной суммы пакета Kerberos.

В сетевых картах, поддерживающих скорость выше ста мегабит введены так называемые разгрузки. Они призваны освободить центральный процессор компьютера от некоторых операций, выполняемых при формировании сетевого пакета, путем выполнения их на сетевой карте. Нас интересует только разгрузка рассчета контрольной суммы. Это именно параметр драйвера, поэтому называтся он может по разному. Может называтся непосредтвенно "разрузка крнтрольной суммы". Может "TCP checksum offload", может еще как. Параметр бывает единым для ipv4 и ipv6, а может быть свой для каждого протокола. Могут быть еще какие варианты названия, надо смотреть по смыслу.  На некоторых сетевых картах его может не быть, на 100 мегабитных картах его нет всегда. (100 мегабитные карты не поддерживают разгрузки). Находится этот параметр обычно в свойствах адаптера, на закладке дополнительно. Искать его надо именно залогинившись под пользователем с правами администратора. Если у пользователя таких прав нет, то тогда этот параметр может не отображатся. Надо именно логинится, вариант "запуск от имени" не годится. После изменения параметра надо перезагрузится.

Добавить комментарий


Защитный код
Обновить