Не работает dns kaspersky
Спасибо за быстрый ответ.
Так же скрин ipconfig.
Сейчас попробую перезагрузить DNS и посмотреть, будет ошибка или нет.
Сервер DNS перезагружал, данная ошибка не появляется.
Она появляется только после перезагрузки сервера.
Зато появилась еще одна ошибка.
Не удалось установить связь DCOM с компьютером 195.54.192.39 через какой-либо из настроенных протоколов; запрос от PID 1bf8 (C:\Windows\system32\dcdiag.exe).
Не уверен есть связь или нет?
А в зонах прямого просмотра зона _msdcs.имядомена.local есть? в ней dc, далее _tcp - там есть записи о ваших контроллерах?
Сервер DNS перезагружал, данная ошибка не появляется.
Она появляется только после перезагрузки сервера.
Зато появилась еще одна ошибка.
Не удалось установить связь DCOM с компьютером 195.54.192.39 через какой-либо из настроенных протоколов; запрос от PID 1bf8 (C:\Windows\system32\dcdiag.exe).
Не уверен есть связь или нет?
Спасибо.
Значит, ошибка у вас возникает вследствие каких-то временных сбоев при перезагрузке (к примеру, коммутатор Ethernet (управляемый физический или виртуальный), если на его порту не отключен STP, будет блокировать трафик 50 секунд после запуска драйвера сетевой карты). Если сервер DNS сам восстанавливает работоспособность по прошествии некоторого времени после перезагрузки (а на моей практике так бывало всегда в случае подобных ошибок, хотя и не сразу - с задержкой до получаса), то можно считать эту ошибку некритичной.
В противном случае (кроме, естественно, нахождения и устранения источника проблемы) можно, например, добавить задание, запускаемое при старте системы, которое после задержки перезапускает службу сервера DNS. Или же - изменить тип запуска службы сервера DNS на "Автоматически (отложенный запуск)".
Ошибка DCOM - это результат работы команды dcdiag /test:DNS: в процессе тестов она попыталась обратиться к некоему стороннему серверу (например, серверу пересылки) по RPC в предположении, что он - сервер, работающий под управлением MS Windows. Игнорируйте её.
Первый шаг к безопасному путешествию по бескрайним просторам всевозможных сетей это конечно же установка надежного средства защиты. Одним из немногих таких средств является комплексный продукт Kaspersky Internet Security.
Первый шаг к безопасному путешествию по бескрайним просторам всевозможных сетей это конечно же установка надежного средства защиты. Одним из немногих таких средств является комплексный продукт Kaspersky Internet Security. Несмотря на то, что KIS продукт достаточно сложный, он сразу после установки готов выполнять все возложенные на него обязанности. Необходимость в дополнительных настойках возникает крайне редко, и это очень большой плюс разработчикам. Но необходимо понимать, что эта возможность базируется на острой грани компромиссных решений. В чем они заключаются рассмотрим на примере сетевого экрана.
Настройки сетевого экрана состоят из двух частей: правила для программ и пакетные правила. При помощи правил программ можно разрешать или запрещать определенным программам или группам программ посылать или принимать пакеты или устанавливать сетевые соединения. При помощи пакетных правил разрешается или запрещается устанавливать входящие или исходящие соединения, и передача или прием пакетов.
Посмотрим, что представляют собой правила для программ.
Все программы имеется четыре категории:
- Доверенные – им разрешено все без исключения.
- Слабые ограничения – установлено правило “запрос действия”, позволяющее пользователю по самостоятельно принимать решение о целесообразности сетевого общения программ этой группы.
- Сильные ограничения – в части разрешения работы с сетью, то же, что и слабые.
- Не доверенные – по умолчанию этим программам запрещено любое сетевое общение (по человечески очень жаль их).
В группу “доверенные” по умолчанию помещены все программы от Микрософт, собственно сам KIS и другие программы известных производителей. Для настроек по умолчанию выбор хороший, но лично я не стал бы всем программам, пусть даже и именитых производителей, так безраздельно доверять.
Как же попадают программы в ту или иную группу? Здесь все не так просто. Решение о помещении конкретной программы в одну из четырех групп принимается на основе нескольких критериев:
- Наличие сведений о программе в KSN (Kaspersky Security Network).
- Наличие у программы цифровой подписи (уже проходили).
- Эвристический анализ для неизвестных программ (что то типа гадания).
- Автоматически помещать программу в заранее выбранную пользователем группу.
Все эти опции находится в настройках “Контроль программ”. По умолчанию установлены первые три опции, использование которых и приводит к большому количеству “доверенных” программ. Четвертую опцию можно выбрать самостоятельно как альтернативу первым трем.
Проведем эксперимент. Поместим какую либо программу (например, браузер “Opera”) в список программ со слабыми ограничениями и посмотрим как работает правило “запрос действия”. Для вступления правил программ в действие нужно закрыть и снова открыть программу, правила для которой были изменены. Если теперь попробовать зайти на любой сайт, то никакого запроса действия не произойдет, а программа спокойно установит сетевое соединение. Как оказалось, правило “запрос действия” работает только если в основных параметрах защиты снят флажок с опции “Выбирать действие автоматически”.
Еще один сюрприз ожидает пользователей сетевых утилит типа ping, tracert (если правило “запрос действия” распространить на доверенные программы), putty (ssh клиент) и, возможно, им подобных. Для них KIS упорно не хочет выводить экран запроса действия. Здесь выход может быть только один – устанавливать разрешения для конкретной программы вручную.
Прежде, чем перейти к пакетным правилам, позволю себе один совет: создавайте для каждой группы программ свои подгруппы. Например: “Сетевые утилиты”, “Офисные программы”, “Программы для Интернета”, и т.д. Во первых, всегда можно будет быстро найти нужную программу, и, во вторых, можно будет устанавливать правила на определенные группы, вместо установки правил для отдельных программ.
В пакетных правилах определяются отдельные признаки пакетов: протокол, направление, локальный или удаленный порт, сетевой адрес. Пакетные правила могут действовать как “разрешающие”, “запрещающие” и “по правилам программ”. Правила просматриваются сверху вниз пока не будет найдено разрешающее или запрещающее правило по совокупности признаков. Если правило для пакета не найдено, то применяется правило по умолчанию (последнее). Обычно в сетевых экранах последним правилом устанавливают запрет на прием и передачу любых пакетов, но для KIS это правило разрешающее.
Область действия правил охватывает определенную область: “любой адрес” (все адреса), “адрес подсети” – здесь можно выбрать тип подсети “доверенные”, “локальные” или “публичные”, и “адреса из списка” – указать IP адреса или доменные имена вручную. Отношение конкретной подсети к “доверенной”, “локальной” или “публичной” устанавливается в общих нстройках сетевого экрана.
Пакетные правила KIS, в отличие от большинства сетевых экранов, перегружены большим числом направлений: “входящее”, “входящее (поток)”, “исходящее”, “исходящее (поток)”, и “входящее/исходящее”. Причем, правила с некоторыми сочетаниями протокола и направления не работают. Например, правило запрета ICMP в сочетании с потоковыми направлениями работать не будет, т.е. запрещенные пакеты будут проходить. К UDP пакетам почему то применяются потоковые направления, хотя UDP протокол по своей природе как такового “потока” не создает, в отличии от TCP.
Еще один, не совсем приятный момент заключается в том, что в пакетных правилах отсутствует возможность указать реакцию на запрет входящего пакета: запретить прием пакета с уведомлением отправившей его стороны или просто отбросить пакет. Это так называемый режим “невидимости”, который раньше в сетевом экране присутствовал.
Теперь обратимся к собственно правилам.
1 и 2 правила разрешают по правилам программ отправлять DNS запросы по протоколам TCP и UDP. Безусловно, оба правила полезны, но в основном такие сетевые программы как почтовые и браузеры запрашивают адреса сайтов через системную службу DNS, за работу которой отвечает системная программа “svchost.exe”. В свою очередь, сама служба использует вполне конкретные адреса DNS серверов, указываемые вручную или через DHCP. Адреса DNS серверов меняются редко, так что вполне хватило бы разрешения отправки DNS запросов для системной службы “svchost.exe” на фиксированные сервера доменных имен.
3 правило разрешает программам отправку электронной почты по протоколу TCP. Здесь также, как и для первых двух правил, достаточно было бы создать правило для конкретной программы работы с электронной почтой указав на какой порт и сервер производить отправку.
4 правило разрешает любую сетевую активность для доверенных сетей. Будьте очень внимательны при включении этого правила, не перепутайте случайно тип сети. Это правило фактически отключает функции сетевого экрана в доверенных сетях.
5 правило разрешает любую сетевую активность по правилам программ для локальных сетей. Это правило хоть и не отключает полностью сетевой экран, но в значительной степени ослабляет его контрольные функции. По логике 4 и 5 правила нужно было бы разместить в самом верху, чтобы предотвратить обработку пакетов правилами 1 – 3 при нахождении компьютера в доверенной или локальной сети.
6 правило запрещает удаленное управление компьютером по протоколу RDP. Хотя область действия правила “все адреса”, но фактически оно действует только в “публичных сетях”.
7 и 8 правило запрещает доступ из сети к сетевым службам компьютера по протоколам TCP и UDP. Фактически правило действует только в “публичных сетях”.
9 и 10 правила разрешают всем без исключения подключаться к компьютеру из любых сетей, конечно исключая службы, запрещенные правилами 6 – 8. Действует правило только для программ с разрешенной сетевой активностью. Но будьте очень внимательны, сетевая активность по умолчанию разрешена практически всем программам за исключением не доверенных.
11 – 13 правила разрешают прием входящих ICMP пакетов для всех программ. Смысла в этих правилах не больше, чем в 1 – 3, потому, что ICMP в подавляющем большинстве случаев использует программа ping и tracert.
14 правилом запрещается прием всех типов ICMP пакетов, разумеется за исключением разрешенных правилами 11 – 13.
16 правило запрещает входящий ICMP v6 эхо запрос. ICMP v6 в подавляющем большинстве случаев не нужен. Можно было бы запретить его полностью.
17 правило разрешает все, что явно не разрешено или запрещено предыдущими правилами. Это правило хотя и не отображается на экране, но помнить о его существовании безусловно необходимо.
Настройки сетевого экрана KIS по умолчанию безусловно хороши и подходят большинству пользователей домашних компьютеров, на которых, собственно, и ориентирован этот продукт. Но гибкость и нетребовательность к дополнительным настройкам, о которой упоминалось в начале статьи, к сожалению достигается за счет безопасности самих же пользователей, делая эту самую безопасность очень сильно зависимой от человеческого фактора: знаний и безошибочных действий самого пользователя.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Бок в чем - слишком часто аутпост кричит что обнаружен неверный ДНС запрос.
Причем я смотрю идет запрос с моего ИПа (ессесно) на адрес ДНС сервера, при этом порт ДНСа остается одним и тем же, а мой постоянно меняется. Ощущение что идет сканирование, потому что порт повышается с какой-то периодичностью (влом было отслеживать).
Вообщем не слишком ли много кривых ДНС запросов? Может это зависеть от сервака или это у меня какая-то шняга?
Да, эта фигня происходит наплывами, т.е. может неделю не присходить, а потом каждый день задалбывать по нескольку раз.
Просветите плз.
Что значит "неверный ДНС запрос"? Кусочек лога о этому поводу покажите.
Цитата |
---|
Dem пишет: Причем я смотрю идет запрос с моего ИПа (ессесно) на адрес ДНС сервера, при этом порт ДНСа остается одним и тем же, а мой постоянно меняется. Ощущение что идет сканирование, потому что порт повышается с какой-то периодичностью (влом было отслеживать). |
Поведение системы вполне нормальное: нашел на компе свободный порт выше 1024, сформировал пакетик с src IP - свой, src port - найденный свободный порт выше 1024 (при этом временно застолбив в ОС этот порт за собой чтоб получить ответ от сервера), dst IP - IPшник вашего ДНС, dst port - 53; пульнул этот пакет в сеть, а дальше висим на выбранном порту и ждем ответа от ДНС сервера. Соответственно ответ от ДНС сервера прийдет на выбранный порт, а src port будет 53.
Через ДНС сканировать удаленный хост не получится, а вот через ФТП - легко.
12:22:24 Отчет модуля DNS Обнаружен неверный DNS-запрос с IP-адреса: 10.1.2.***, порт:3294 на IP-адрес: 10.1.***.***, порт:53
Вот примерно такая ботва выскакивает уже глаза скоро окосеют. а забить на него рука не поднимается.
Случаем антивирь не Касперский стоит?
PS у блин, какая жопа оказывается бывает, если на этот предмет малость по гуглить. И ведь не догадаешься, что в некоторых случаях этот тупой аутпост надо лечить через одно место, потому что он видите-ли не понимает и подглючивает.
ak_,
Ага. ну теперь более-менее понятно.
Тока все равно, почему аутпост орет на этот запрос - "че за фигня"? Т.е. чем он ему не нравится?
Осмелюсь предположить, что как-то по-особому Каспер возвращает DNS запрос (типа чтоб повторно еще раз не проверять). Хотя я ХЗ - я ж не разработчик Касперского. Можно по этому поводу стукнуться к ним на форум. хотя врят-ли кто-то даст внятный ответ по этому поводу - иначе сразу появится вирус, который легко будет обходить проверки Касперского ДНС запросов.
У Касперского отключи защиту от сетевых атак. Все равно по сравнению с Outpost'ом ее ценность нулевая.
Попробуй посмотреть в журнале, какое приложение эти запросы дает. Если не svchost - выкинь касперского в топку.
Возможно народ забыл старый принцип, но два файрвола в системе - это поиск проблем на свою ж*пу.
Лишнее подтверждение старой истины.
Почему в падлу? Тогда получается, что MS в падлу открыть, например, описание NTFS со всеми фичами.
Сие есть бизнес. Если будет у Касперского в клиентах мега-корпорация, приносящая нехилый доход и кричащая, что ваш Касперский не очень дружит с Аутпостом, то те сначала непрозрачно намекнут, что их продукт по защите от сетевых атак лучше, а если им весомо возразят, то тогда они прогнутся и поправят все как надо под Аутпост. Потому что эта мега-корпорация приносит им большой доход и готова дальше платить им. А в противном случае все так и останется как есть. И пока что нет мега-корпораций, пользующихся аутпостом, и пока никто весомо не докажет, что аутпост лучше продукта Касперского.
Аутпост строго говоря правильно кричит - какого фига вдруг образуются неверные с точки зрения здравого смысла DNS запросы, причем скорее всего запросы идентифицируются с легальным процессом, а не с Касперским? Ровно так же как и некоторые программы кричат на подозрительные следы в NTFS, которые оставляет Касперский после проверки антивирусом (их фирменная технология iStream). Какого фига программа что-то берет и потом возвращает на место, но уже в модифицированном виде, если ее об этом не просили и она об этом ничего не говорит? На самом деле можно еще много примеров приводить с Касперским - уж больно сильно на себя тянут одеяло, что антивирус, что firewall из-за чего можно наблюдать БСОД когда надо реально засунуть глубоко в систему легальный продукт по защите рабочей станции.
ipconfig с сервера Касперского
ipconfig с сервера AD
настройка опроса сети: в техподдержке Касперского советовали оставить только один опрос по ip-диапазону.
ещё забыл добавить, что большинство компьютеров в локальной сети в домен не входят
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
Follow us on Twitter
Тема переведена в разряд обсуждений по причине отсутствия активности
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
Follow us on Twitter
произвел настройку регистрации DNS-записей (A и PTR) через DHCP, результат остался прежним. плюс поставили Kaspersky Security Center на новую машину абсолютно с нуля.
ipconfig с новой машины, на которой крутится сервер касперского:
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : server-kav
Основной DNS-суффикс . . . . . . : dkb.sar
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : dkb.sar
Ethernet adapter Подключение по локальной сети 2:
Ethernet adapter Подключение по локальной сети:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : HP NC362i Integrated DP Gigabit Server Ad
apter
Физический адрес. . . . . . . . . : 9C-8E-99-31-81-3C
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.2.6(Основной)
Маска подсети . . . . . . . . . . : 255.255.254.0
Основной шлюз. . . . . . . . . : 192.168.2.1
DNS-серверы. . . . . . . . . . . : 192.168.2.5
NetBios через TCP/IP. . . . . . . . : Включен
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Teredo Tunneling Pseudo-Interface:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
ipconfig с сервера Касперского
ipconfig с сервера AD
настройка опроса сети: в техподдержке Касперского советовали оставить только один опрос по ip-диапазону.
ещё забыл добавить, что большинство компьютеров в локальной сети в домен не входят
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
Follow us on Twitter
Тема переведена в разряд обсуждений по причине отсутствия активности
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
Follow us on Twitter
произвел настройку регистрации DNS-записей (A и PTR) через DHCP, результат остался прежним. плюс поставили Kaspersky Security Center на новую машину абсолютно с нуля.
ipconfig с новой машины, на которой крутится сервер касперского:
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : server-kav
Основной DNS-суффикс . . . . . . : dkb.sar
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : dkb.sar
Ethernet adapter Подключение по локальной сети 2:
Ethernet adapter Подключение по локальной сети:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : HP NC362i Integrated DP Gigabit Server Ad
apter
Физический адрес. . . . . . . . . : 9C-8E-99-31-81-3C
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.2.6(Основной)
Маска подсети . . . . . . . . . . : 255.255.254.0
Основной шлюз. . . . . . . . . : 192.168.2.1
DNS-серверы. . . . . . . . . . . : 192.168.2.5
NetBios через TCP/IP. . . . . . . . : Включен
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Teredo Tunneling Pseudo-Interface:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Читайте также: