Отгадка про Windows

[dil]

Загадка была тут, и никто её не отгадал, хотя мысли в правильном направлении были.

Там действительно сломался керберос. Причём даже при включённом режиме диагностики (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogLevel=1) в логах не было ВООБЩЕ НИЧЕГО про ошибки кербероса. Были сообщения про наведённые ошибки, в частности, “The RPC protocol sequence is not supported”, вероятно, случалось из-за попытки выполнить какие-то действия, требующие аутентификации, после того, как сама эта аутентификация не сработала.

Вот по комбинации наведённых ошибок и была найдена статья с рекомендацией принудительно перевести керберос в режим TCP (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters\MaxPacketSize=1).

С какого бодуна оно перестало на одной конкретной машине работать по UDP — загадка великая есть.

С какого бодуна быдлокодеры из Майкрософта решили, что максимальный размер UDP-пакета – 2000 байт, я тоже не знаю, но там так написано: “By default, the maximum size of datagram packets for which Windows Server 2003 uses UDP is 1,465 bytes. For Windows XP and for Windows 2000, this maximum is 2,000 bytes. Transmission Control Protocol (TCP) is used for any datagrampacket that is larger than this maximum.”

Почему те же быдлокодеры ниасилили вывести в лог хоть что-нибудь про неработающий керберос? Видимо, потому что быдлокодеры.

И как можно было так скрестить NTLM authentication с керберосом, чтобы разделяемые ресурсы на сервере успешно подключались, но в них ничего не было видно — это уже вообще за гранью разума.

В общем, ещё один повод считать, что для сколько-нибудь серьёзных задач Windows использовать не следует. Иначе придётся танцевать с бубном, пытаясь _угадать_, что же там сломалось.

Оригинал этой записи. Комментировать можно тут или там.

Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме

Comments

[dmarck.livejournal.com]

need-to-fragment, стало быть, поломался?

но сама по себе история, да, феерична.

[dil.livejournal.com]

Про need-to-fragment я не знаю, честно говоря. Сеть-то без маршрутизаторов, если что, фрагментировать должен был сам отправитель. То ли он не фрагментировал, то ли сервер не мог собрать, то ли ещё что..

[dmarck.livejournal.com]

У меня недавно была история похожей недиагностируемости.

Одна Win7 внезапно переставила себе MTU на эзернете на 1504. Некоторые сетевые штуки перестали работать, причём иногда.

Попутно выяснилось, что сменить MTU в висте и семёрке -- совсем не самое простое занятие. Ref (http://networking.nitecruzr.net/2007/11/setting-mtu-in-windows-vista.html)

[dil.livejournal.com]

А оно разве физически в езернет пролезает? Или там началась массовая фрагментация?

[dmarck.livejournal.com]

Именно что массовая фрагментация. Хорошо, что есть роутер с любимой ОС ;)

[bromi.livejournal.com]

Это, кхм, как раз более простое занятие, чем искать какие-то ключили или софтинки, как раньше.
netsh или powershell - это логично и корректно отрабатывает из всяких скриптов.

[blacklion.livejournal.com]

Одна Win7 внезапно переставила себе MTU на эзернете на 1504.
Винда же указывает размер MTU с ethernet-заголовком в отличие от UNIX'ов, нет? Т.е. у неё дефолт типа 1514, и это UNIX-овые 1500?

[dmarck.livejournal.com]

В одних местах так, в других сяк. По команде из статейки по ссылке выше в нормальной ситуации семёрки кажут 1500.

[blacklion.livejournal.com]

Сейчас залез в настройки сетевого адаптера на win7 — хм, там вообще только Jumbo а MTU пропало... Да, это я с XP помню про 1514...

[dil.livejournal.com]

Кстати, поскольку сервер SBS 2008, у него может быть другое представление о максимальном размере UDP-пакетов, и он полученные от XP пакеты-переростки мог молча удалять. Но это всё догадки, в логах сервер тоже ничего не писал.

[dmarck.livejournal.com]

Джумбы, кстати, были включены?

[dil.livejournal.com]

Точно не знаю, но полагаю, что нет, ибо специально их никто не включал.