Тормозит сервер Windows 2003 при подключенной сети.
 

Сервер Windows 2003 Standart, используется как Контроллер домена и сервер БД и файловый сервер в небольшом офисе на 30 компов.

Переодически начинает тормозить, идет медленное обращение к диску, на котором находится общая шара.
Загрузка проца при этом в норме 5-20 %. Пользователи ничего тяжелого на сервере не ворочают.

При отключении от сети, сервер начинает работать в "полную силу", при подключении в сеть снова начинает тормозить. Помогает только перезагрузка, после неё он какое-то время работает нормально ( от пары часов до пары дней ) затем история повторяется.

На серваке стоит Симантек, ничего подозрительного он не показывает. Также прошелся Dr.Web'ом по серверу и всем компам в локалке - не помогает.
Поставил патчи KB957097 KB958644 KB958687.

Мониторил трафик TCPView тож ничего подозрительного не приметил.

Может кто-нибуль сталкивался с пободной проблемой?

hroost, скорее всего проблема в том, что на нем крутится сетевая база данных и файловая шара - т.е. большая нагрузка на винчестер. Попробуй помониторить нагрузку на винчестеры

В этом может быть дело. Проверьте винчестеры на скорость чтения-записи (например, утилитой hdtune_252.exe). Помониторьте нагрузку на сетевую карту (можно попробовать сменить), также можно поменять порт на свитче.

Michael, Сервер работает больше года и никаких нареканий на его работу не было. Тормозные припадки начались примерно месяц назад.

monkkey, винчестеры проверял, с ними все в порядке. сетевуху менял - не помогает.

Сегодня похоже напал на след недуга. FileMon'отследил что в "припадке торможения" процесс winlogon.exe молотит жесткий диск, записывая в c:\document and settings\UserName\.. информацию. UserName - имена практически всех пользователей моей локалки.

Похоже ЧТО-ТО на локальных машинках берет имена из \document and settings\ и пытается авторизоваться на контроллере домена, перебирая пароли. Отсюда и тормоза. Странно только что в логах нет информации о неудачных попытах авторизоваться.

Завтра буду ловить гада )

hroost, может быть это частный случай вот этого. ;) Проверьте наличие последних обновлений безопасности.

Запрет доступа к локальной сети,для терминальных клиентов
 

Подскажите можно ли как-то отключить доступ к локалке для терминальных пользователей(можно было бы просто отключить netbios, но принтеры нужны).
Делается для защиты базы 1С от копирования по сети.

я бы ограничил доступ к этому серверу на самом сервере. Указал бы в настройках брандмауера "Общий доступ к файлам и принтерам" с диапазоном исключающем IP терминального сервера и других не нужных.

вы видимо не поняли, нужно чтоб клиенты терминальные не могли открыть любую сетевую папку и скинуть туда базу, чтоб потом ее оттуда взять.

Trinux,
1. Запретить доступ на эти сетевые папки для клиентов терминального сервера
2. В свойствах сетевого подключения снять галку с Клиента для сетей Microsoft

вот они и не будут, т.к. брандмауэр будет блокировать доступ с терминального сервера.
Ну а также права NTFS для теминальных пользователей, как сказанно выше.

Angry Demon, если снять галку с сетей майкрософт, принтеры перестанут работать!
и как запретить доступ на эти сетевые папки, если они берут и открывают любую папку на общий доступ у себя на компе и свободно из под терминала заходят на свой же комп в эту папку и кладут туда базу 1с

Сделать пользователей локальными, а не доменными.

Не перестанут, если это отображаемые терминальные принтеры.

Дык, какого хрена у них административные права?! Так можно пачку денег на улице положить (причём, на видном месте), а потом плакать, что кто ни попадя оттуда вежлевенько купюры тяпает...

а если принтер установлен на той машине, где нужно нетбиос отключить?

Купить сетевые принтеры.

хороший выход.

Не понял вопроса, при чём тут NetBIOS и отображаемые клиентские принтеры?

они разве не через нетбиос работают? через tcp/ip?

Trinux, терминальный сервер от MS, насколько мне известно, работает по TCP/IP.

со своего локального компа:
1) Пуск
2) Выполнить
3) mmc
4) добавитть оснастку "Редактор объектов групповой политики"
5) выбрать не "локальный компьютер", а "имя_вашего_терминальника".
6) настроить терминальный сервер так, что ни один пользователь не мог:
а) запусть ничего кроме 1С
б) создовать на терминальнике папки и ярлыки
в) отключить проводник по дискам и вообще
г) отключить диспетчер задач
д) отключить возможность правого клика.
.
.
.
.
.
вообщем сделайте всё, чтобы пользователи "дышать" не смогли на сервере. Я так понял, что они входят на него только для работы с 1С. Вот пусть и работают.

mmc можете сохранить на рабочем столе, и всё время запускать от имени Админа предприятия.

позволяет добавить лишь компьютер. или всех пользователей сразу

вернее из оснасток предлагает только Корень консоли.

и в типе объекта только компьютер просит выбрать

Angry Demon, я понимаю что через него, но а принтеры через netbios, т.е. если отключить его то и папок мы не увидим и принтеры не будут печатать.

Trinux, ещё раз, отображением клиентских принтеров занимается Terminal Services, при чём тут NetBIOS?
В конце концов, попробовать лень?

да отключал я клиента сетей майкрософт, принтер перестает печатать.

Он отображается с клиента?



Пуск - выполнить - gpedit.msc

нажать Добавить

я так понял тут нельзя подключиться к удалённому компу ?

Низя. Это только на самом терминале ворочать.

Позвольте вклиниться. Для того, чтобы не слили базу в локалку на расшаренную папку поможет только отключение службы доступа к файлам и папкам. Хоть как не закрывайте все через групповые политики если не будет отключена выше указанная служба базу все равно можно будет слить. Не спасает даже скрытие дисков у клиента.

Как украсть: заходим на сервер терминалов в 1с нажимаем Файл - Открыть. В поле имя файла вводим \\comp\share, жмем ОТКРЫТЬ и о чудо!!! Плучаем доступ к сетевым ресурсам. Даже если скрыты диски там же макаром вводим C:\папка_баз_1С - эффект тот же. Ну и дальше Ctrl + C, Ctrl + V.

скорее всего не печатают принтеры, которые на сервере установлены. Принтеры, которые мапятся будут печатать нормально.

Есть 2 способа раешения данной задачи:

1. Отключение на терминальном сервере службы доступа к файлам и папкам - это если сервер не в домене.
2. Если в домене: Выносим терминальный сервер и контроллер домена в так называемую DMZ и настраиваем соответствующие разрешения:
Из локалки на сервер терминалов можно ходить только по RDP
Из локалки на контроллер домена kerberos, ldaap, dns и т.д.
Это решение не из дешевых если у вас нету файрвола, а если есть то нужна будет всего одна сетевая карта.

Ну и ко всему выше сказанному хочу добавить. Не забудьте запретить мапить буфер обмена .

Поставил обновления безопасности на сервер и на все пользовательские компы. почистил их cureit! ом. Проблема остается (((

Сейчас вот процесс winlogon на сервере создал и постоянно обращается к папке c:\document and settings\Pupkina\

Отключил комп Пупкиной от сети поставил на антивирусную проверку, винлогон успокоился.
Посадил Пупкину за другой комп - винлогон опять разбушевался. B вместе с ним lsass.exe

Ничего не понимаю.

это можно закрыть.

3) закрыть RDP, а с 1С работать через Citrix.

если отключить сию службу, то принтеры перестанут печатать ((( а они нужны.

ну я писал про стандартные способы.

А можно узнать как? У меня не получилось.

читайте внимательнее мой пост #22

что значит мапятся?

Когда клиент входит на сервер терминалов, с Включенной галочкой подключать принтеры, сервер терминалов ищет у себя подходящие дрова, если находит, то устанваливает клиенту принтер, который настроивается на виртуальнй порт. После чего клиент печатает через протокол RDP а не через Службу доступа к принтера и папкам.

Это в двух словах детальное описание ищите интернете.

а если на компе не установлен принтер? а он есть на другой машинке?

расшариваете его на этой машине, и подключаете к машине, на которой его нет. тоже будет маппиться.

вывод - проблема в пупкиной :). Серьёзно - по ссылке выше ходили? Утилиту для удаления червя скачали/запустили? На всех компах домена, разумеется, да и на сервере не помешало бы. А до этого всех изолировать (выключить все свитчи)

Это закроет доступ к серверу, но не с сервера.

Trinux, вообще, советую почитать. Давно бы уж отпали наивные вопросы "что такое мапятся?" :)

но папку с 1С базой не закроешь - 1С ТРЕБУЕТ ПОЛНОГО ДОСТУПА

я говорил не об NTFS доступе, а вообще о навигации по диску.
идёте админом на сервер, создаёте ярлык на базу 1С, копируете его нужным пользователям - всё. они работают через ярлык с 1С. Права NTFS у каждого есть. Думаете они смогут создать свой ярлык на базу? это можно запретить путём закрытия
"правого клика" мыши + создания новый файлов.
Ещё раз повторю: под запретом будут не права NTFS, а запрет навигации по диску и т.п.
Увы, пока не нашёл как это сделанно.

Вобщем разобрался. Была вирусная на КД Infoslealer.LDPinch. Прибил её, сейчас работает нормально.