Недоступность AD на ВМ

Speaka

Почетный гость
Доброго дня, коллеги!
Столкнулся впервые с проблемой доступности Active Directory, к сожалению не нашел подходящего решения в просторах интернета, решил обратится к вам.
Общая картина:
1) Простенькая локальная сеть на 30+ машин, большинство клиентов - тонкие.
Поднят Proxmox, на нем крутится ВМ RDP терминал (192.168.0.14), ВМ AD (192.168.0.17) и другие ВМ, которые к делу не относятся.
Так же есть отдельный физический ПК, настроенный под резервный RDP терминал (192.168.0.12).
Все они имеют одну ОС - Windows server standart 2012 R2.
2) Забиты статические IP адреса где необходимо, а именно на терминалах, в т.ч и DNS - один единственный 192.168.0.17.
Естественно, вне пула DHCP (DHCP сервером выступает роутер микротик, 192.168.0.1).
3) Тонкие клиенты по умолчанию подключаются к RDP терминалу (192.168.0.14), напоминаю - это ВМ.

Суть проблемы:
Раз в неделю примерно, перестает быть доступным терминал 192.168.0.14. К нему нельзя подключиться ни через консоль ProxMox, ни по RDP. Выдает ошибку, что нет серверов, которые могли бы обработать данный запрос.
Тонкие клиенты, соответственно, тоже подключиться не могут.
Это практически всегда происходит во внерабочее время, то есть в период с 21 часа до 7-8 утра.
Пинги до терминала - не идут.
Помогает исключительно перезагрузка ВМ терминала.
После перезагрузки все сходу работает.

Журнал показывает следующее:
Код 5719
"Компьютер не может установить безопасный сеанс связи с контроллером домена ZFITS по следующей причине:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. ..."
И.. Больше ничего.

Сначала подумал в сторону AD - проверил доступность другого оборудования, входящего в состав домена - доступно и нормально работает, значит 99% что проблема с самой машинкой.
А дальше ступор - с какой стороны подойти к решению проблемы?
Т.к это ВМ - то могут ли быть проблемы с виртуальной сетевой картой? Если да, то прошу подсказать, как продиагностировать и найти решение?
Или же это может быть сбой внутри самой ВМ - но тогда очень странно, что журнал ничего по этому поводу не показывает.

Если что - я уже создал локального админа на машинке, в след. раз буду подключаться пробовать по нему и смотреть уже изнутри, но хотелось бы понимать, куда смотреть, потому как опыта работы с AD пока еще недостаточно, чтобы оперативно анализировать подобные проблемы.

Так же небольшое дополнение - ранее был установлен Veeam Agent Backup, но не уверен, что он - причина, потому как его работа начинается в 18 часов вечера ежедневно, а отвал происходит раз в неделю примерно.

Спасибо за внимание, уважаемые коллеги и заранее благодарю за оказанную помощь!
 
Последнее редактирование модератором:
Так же небольшое дополнение - ранее был установлен Veeam Agent Backup, но не уверен, что он - причина, потому как его работа начинается в 18 часов вечера ежедневно, а отвал происходит раз в неделю примерно.
Может бэкап забивает линк ?
UPD. Может отвал происходит когда делается FULL бэкап? Достаточно тяжелая операция а инкрементальный пролезает нормально
 
Раз в неделю примерно, перестает быть доступным терминал 192.168.0.14. К нему нельзя подключиться ни через консоль ProxMox, ни по RDP. Выдает ошибку, что нет серверов, которые могли бы обработать данный запрос.
Тонкие клиенты, соответственно, тоже подключиться не могут.
Это практически всегда происходит во внерабочее время, то есть в период с 21 часа до 7-8 утра.
интересно пинги будут проходить до контроллера домена в этот момент ?
 
Может бэкап забивает линк ?
UPD. Может отвал происходит когда делается FULL бэкап? Достаточно тяжелая операция а инкрементальный пролезает нормально
Тоже думал про это, и отключил в принципе FULL бэкап. Теперь там просто инкрементальный + собирает эти кусочки потом в единый vbk. Но не знаю, сильно ли это отличается от полного копирования.

Однако, судя по журналу - с 18 часов он (veeam) начинает работу, все окей. Затем вылезает вышеописанная ошибка часа в 22-23, и тут же veeam сообщает, что недоступен сервер, на который он копировал данные.
По логике, он бы тогда не прекращал работу, но я уже ничему не удивляюсь в этой жизни ;o)
 
интересно пинги будут проходить до контроллера домена в этот момент ?
На контроллер домена я заходил, с него же и пускал пинги до терминала. Как итог - недоставка.
UPD: добавлю, что пинговал и с других узлов - без толку, терминал не пингуется, а все остальное доступно, AD в том числе.
 
This behavior can occur when your server is connected to a switch that has the spanning tree "portfast" setting disabled
enable the spanning tree "portfast" setting on the switch
 
This behavior can occur when your server is connected to a switch that has the spanning tree "portfast" setting disabled
enable the spanning tree "portfast" setting on the switch
Как я уже ранее описывал, терминал - виртуальная машина, которая крутится на гипервизоре ProxMox, на нем же установлена отдельная ВМ AD.
Соответственно гипервизор подключен к сети единственным кабелем, далее уже через виртуальные сетевые карты заданы статичные IP адреса.
Подключено все это дело к неуправляемому коммутатору.
Поэтому, боюсь, что данный совет неприменим к моей ситуации, однако спасибо, на будущее буду знать.
 
Может сниффером посмотреть что происходит в момент "отвала"?
 
Может сниффером посмотреть что происходит в момент "отвала"?
Подразумается, что необходимо запустить сниффер заранее, и далее уже смотреть по факту обращения клиента?
Толку то с запуска сниффера после возникновения проблемы.
 
Может сниффером посмотреть что происходит в момент "отвала"?
Подошел с другой стороны проблемы - обнаружил, что первая проблема возникла спустя неделю+- после установки Veeam Agent. Склоняюсь больше всего к тому, что он каким-то образом влияет на сетевую карту ВМ (хотя там 1Гбит). В след. раз, когда появится проблема, буду пробовать через локал админа подключаться и смотреть, что там происходит.
 
В логах задания veeam можно увидеть bottleneck узкое место, где задерживается траффик. Там можно хотя бы понять что это сеть диски или еще что то
 
Назад
Верх