November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

Отгадка про Windows

dil: (Default)
[personal profile] dil
Wednesday, May 25th, 2011 09:21 am

Загадка была тут, и никто её не отгадал, хотя мысли в правильном направлении были.

Там действительно сломался керберос. Причём даже при включённом режиме диагностики (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogLevel=1) в логах не было ВООБЩЕ НИЧЕГО про ошибки кербероса. Были сообщения про наведённые ошибки, в частности, “The RPC protocol sequence is not supported”, вероятно, случалось из-за попытки выполнить какие-то действия, требующие аутентификации, после того, как сама эта аутентификация не сработала.

Вот по комбинации наведённых ошибок и была найдена статья с рекомендацией принудительно перевести керберос в режим TCP (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters\MaxPacketSize=1).

С какого бодуна оно перестало на одной конкретной машине работать по UDP — загадка великая есть.

С какого бодуна быдлокодеры из Майкрософта решили, что максимальный размер UDP-пакета – 2000 байт, я тоже не знаю, но там так написано: “By default, the maximum size of datagram packets for which Windows Server 2003 uses UDP is 1,465 bytes. For Windows XP and for Windows 2000, this maximum is 2,000 bytes. Transmission Control Protocol (TCP) is used for any datagrampacket that is larger than this maximum.”

Почему те же быдлокодеры ниасилили вывести в лог хоть что-нибудь про неработающий керберос? Видимо, потому что быдлокодеры.

И как можно было так скрестить NTLM authentication с керберосом, чтобы разделяемые ресурсы на сервере успешно подключались, но в них ничего не было видно — это уже вообще за гранью разума.

В общем, ещё один повод считать, что для сколько-нибудь серьёзных задач Windows использовать не следует. Иначе придётся танцевать с бубном, пытаясь _угадать_, что же там сломалось.

Оригинал этой записи. Комментировать можно тут или там.

Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме

Tags:
Flat | Top-Level Comments Only

[identity profile] bromi.livejournal.com
Wednesday, May 25th, 2011 02:00 pm (UTC)
Теперь вот подумалось - а может, среди апдейтов был апдейт драйвера сетевки?

[identity profile] dil.livejournal.com
Wednesday, May 25th, 2011 02:03 pm (UTC)
Вряд ли, апдейты на все машины ставятся более-менее одинаковые, через местный WSUS.
Ну и испоганить сетевой драйвер до такой степени - это надо очень сильно постараться.

[identity profile] bromi.livejournal.com
Wednesday, May 25th, 2011 03:01 pm (UTC)
Так уж постараться. У меня есть любимый пример (и машинка эта жива ещё даже) с 2000 сервером, где при заливе одного конкретного файла наступал ступор сетевого стека где-то на пару минут. При передаче оного же в архиве и распаковке на месте - никаких проблем не было. На машинке никаких антивирей или подобного никогда не было.
Такие вот дела.

[identity profile] dil.livejournal.com
Wednesday, May 25th, 2011 03:30 pm (UTC)
Я аналогичный эффект видел даже на более низком уровне, когда сама карта некоторые пакеты стабильно теряла. Точнее, она их не совсем теряла, а принимала за управляющие (IPMI, кажется) и на вышележащие уровни не передавала.
Но тут машины более-менее одинаковые, и драйверы у них, соответственно, тоже.
Flat | Top-Level Comments Only