| Author |
Message |
|
admin ®
Gender:  Registered: 6 months 19 days Posts: 12872
|
Технология: Active Directory (AD) – 10 типичных неисправностей
1. Нарушение доверительных отношений с доменом
Диагностика: Test-ComputerSecureChannel -Repair
Что делает: Проверяет и при необходимости восстанавливает канал безопасности между локальным компьютером и доменом.
Разбор команды по словам:
• Test-ComputerSecureChannel – командлет для проверки защищенного канала.
• -Repair – параметр для выполнения попытки восстановления (сброса пароля учетной записи компьютера).
Как помогает траблшутить: Позволяет быстро исправить ошибку «Доверительные отношения между этой рабочей станцией и основным доменом нарушены» без вывода и повторного ввода ПК в домен.
2. Репликация объектов между контроллерами (DC)
Диагностика: repadmin /showrepl
Что делает: Выводит статус последней репликации для всех разделов каталога.
Разбор команды по словам:
• repadmin – утилита управления репликацией.
• /showrepl – показать статус репликации (успех или код ошибки).
Как помогает траблшутить: Помогает увидеть, на каком именно контроллере домена происходит сбой и по какому разделу (Configuration, Schema или Domain).
3. Проверка здоровья контроллера домена
Диагностика: dcdiag /v
Что делает: Запускает серию тестов (DNS, Connectivity, Advertising и т.д.) для проверки работоспособности DC.
Разбор команды по словам:
• dcdiag – Domain Controller Diagnostics tool.
• /v – verbose mode (подробный вывод).
Как помогает траблшутить: Выявляет скрытые проблемы с DNS, службой времени и правами доступа, которые мешают нормальной работе AD.
4. Проблемы с применением GPO на клиенте
Диагностика: gpresult /h report.html
Что делает: Генерирует подробный HTML-отчет о примененных политиках.
Разбор команды по словам:
• gpresult – инструмент отображения результирующей политики.
• /h – вывод в формате HTML.
• report.html – имя файла отчета.
Как помогает траблшутить: Позволяет увидеть «проигравшие» в конфликтах политики, ошибки фильтрации WMI или отсутствие прав доступа к объекту GPO.
5. Поиск контроллера домена через DNS
Диагностика: nslookup -type=srv _ldap._tcp.dc._msdcs.yourdomain.com
Что делает: Запрашивает SRV-записи DNS, указывающие на серверы LDAP в домене.
Разбор команды по словам:
• -type=srv – поиск записей ресурсов типа Service.
• _ldap._tcp… – стандартный путь для поиска DC в инфраструктуре Microsoft.
Как помогает траблшутить: Если запрос не возвращает IP адреса контроллеров, значит клиенты не смогут найти домен для входа.
6. Задержки и ошибки репликации (сводка)
Диагностика: repadmin /replsummary
Что делает: Показывает общую таблицу состояния репликации по всему лесу.
Разбор команды по словам:
• /replsummary – сводная информация о репликации («summary»).
Как помогает траблшутить: Позволяет мгновенно увидеть контроллеры, у которых наибольшее количество ошибки или самая большая задержка в портах/связи.
7. Проверка ролей FSMO
Диагностика: netdom query fsmo
Что делает: Показывает, какие серверы владеют пятью гибкими ролями управления.
Разбор команды по словам:
• netdom – утилита управления доменом.
• query – запрос информации.
• fsmo – Flexible Single Master Operations.
Как помогает траблшутить: Помогает понять, доступен ли «Хозяин схемы» или «PDC-эмулятор», если невозможно изменить пароль или обновить схему.
8. Диагностика Kerberos-билетов
Диагностика: klist purge
Что делает: Очищает кэш билетов Kerberos текущего пользователя.
Разбор команды по словам:
• klist – просмотр/управление билетами Kerberos.
• purge – очистка/удаление.
Как помогает траблшутить: Решает проблемы с доступом к ресурсам, когда у пользователя обновились права (группы), но старый билет (TGT) еще активен.
9. Поиск заблокированных учетных записей
Диагностика: Search-ADAccount -LockedOut
Что делает: Находит все аккаунты, которые в данный момент заблокированы.
Разбор команды по словам:
• Search-ADAccount – поиск объектов по состоянию.
• -LockedOut – фильтр только для заблокированных записей.
Как помогает траблшутить: Помогает системному администратору проактивно находить заблокированных пользователей.
10. Проверка синхронизации времени
Диагностика: w32tm /monitor
Что делает: Мониторит разницу во времени между серверами.
Разбор команды по словам:
• w32tm – утилита службы времени Windows.
• /monitor – режим проверки смещения времени.
Как помогает траблшутить: Если разница во времени между клиентом и DC более 5 минут, аутентификация Kerberos работать не будет.
Last edited by admin on 2026-04-19 18:41; edited 5 times in total
|
|
|
|
admin ®
Gender: Registered: 6 months 19 days Posts: 12872
|
 19-Apr-2026 17:47 | #2
· Author (after 12 minutes)
![[Quote]](./styles/templates/default/images/lang/en/icon_quote.gif "Reply with quote")
Следующая технология — WSUS.
Технология: Windows Server Update Services (WSUS) – 10 типичных неисправностей
1. Клиент не скачивает обновления
Диагностика: wuauclt /detectnow
Что делает: Заставляет клиента немедленно проверить наличие новых обновлений на сервере WSUS.
Разбор команды по словам:
• wuauclt – клиентская утилита службы обновлений Windows.
• /detectnow – немедленно запустить проверку обновлений.
Как помогает траблшутить: Если клиент «застрял» в ожидании, эта команда заставляет его обратиться к серверу и обновить свой статус.
2. Сервер WSUS не скачивает обновления с Microsoft
Диагностика: Открыть лог C:\ProgramData\Update Services\log\Change.log
Что делает: Показывает подробные записи о процессе скачивания (синхронизации) обновлений.
Разбор команды по словам:
• C:\ProgramData… – стандартный путь к логам WSUS.
• Change.log – основной журнал изменений на сервере.
Как помогает траблшутить: Лог содержит причину ошибки скачивания, например «ошибка сети», «недостаточно места», «SSL-проблема».
3. Клиент не отображается в консоли WSUS
Диагностика: sc query wuauserv
Что делает: Проверяет состояние службы обновлений Windows на клиентском компьютере.
Разбор команды по словам:
• sc – команда управления службами (Service Control).
• query – запрос статуса службы.
• wuauserv – имя службы обновлений Windows.
Как помогает траблшутить: Если служба остановлена или не запускается, клиент не сможет связаться с сервером и не появится в отчетах.
4. Обновления не утверждаются автоматически
Диагностика: Get-WsusServer | Get-WsusAutomaticApprovalRule
Что делает: Получает список всех активных правил автоматического утверждения на сервере.
Разбор команды по словам:
• Get-WsusServer – подключение к локальному серверу WSUS.
• Get-WsusAutomaticApprovalRule – получение правил автоматического утверждения.
Как помогает траблшутить: Показывает, какие правила действуют и для каких продуктов/классов обновлений. Можно проверить, не отключено ли правило.
5. Ошибка базы данных WSUS (SQL)
Диагностика: wsusutil checkhealth
Что делает: Проверяет состояние базы данных WSUS и ее связь с сервером.
Разбор команды по словам:
• wsusutil – главная утилита администрирования WSUS.
• checkhealth – проверка здоровья (состояния) базы данных.
Как помогает траблшутить: Если консоль WSUS долго открывается или не показывает обновления, эта команда покажет ошибки соединения с SQL.
6. Нет места для новых обновлений
Диагностика: WsusUtil reset
Что делает: Очищает все загруженные обновления, но сохраняет метаданные и настройки.
Разбор команды по словам:
• reset – полная очистка содержимого каталога обновлений.
Как помогает траблшутить: Когда диск сервера заполнен, эта команда удаляет скачанные файлы, позволяя затем загрузить только новые обновления и освободить место.
7. Клиент не устанавливает утвержденные обновления
Диагностика: gpresult /h gp.html && Проверить политику «Configure Automatic Updates»
Что делает: Показывает результирующую групповую политику и позволяет найти настройки обновлений.
Разбор команды по словам:
• gpresult – отчет по групповым политикам.
• Configure Automatic Updates – ключевая политика для управления поведением клиента WSUS.
Как помогает траблшутить: Если политика «Configure Automatic Updates» не настроена или равна «Disabled», клиент не будет автоматически устанавливать обновления с WSUS.
8. Проблемы с SSL-сертификатом для HTTPS
Диагностика: openssl s_client -connect wsus-server:8531</b]
Что делает: Проверяет SSL-соединение с сервером WSUS на порту HTTPS (обычно 8531).
Разбор команды по словам:
• openssl – криптографический инструментарий.
• s_client – SSL/TLS клиент.
• -connect – подключение к указанному хосту и порту.
Как помогает траблшутить: Показывает детали сертификата (самоподписанный, срок действия), если клиенты не могут подключиться по HTTPS.
9. Старые обновления не удаляются
Диагностика: WsusUtil deleteunneededrevisions
Что делает: Удаляет из базы данных старые версии обновлений, которые уже заменены новыми.
Разбор команды по словам:
• deleteunneededrevisions – удаление неиспользуемых (старых) версий обновлений.
Как помогает траблшутить: Очищает базу данных от дублей и старых версий, уменьшая ее размер и ускоряя работу консоли.
10. Синхронизация не работает по расписанию
Диагностика: Проверить в консоли WSUS: Options -> Synchronization Schedule
Что делает: Показывает настроенное расписание синхронизации сервера с Microsoft Update.
Разбор команды по словам:
• Synchronization Schedule – расписание синхронизации.
Как помогает траблшутить: Если расписание не установлено или не работает, сервер не будет получать новые обновления автоматически. Можно переключить на ручную синхронизацию для проверки.
Last edited by admin on 2026-04-19 18:44; edited 2 times in total
|
|
|
|
admin ®
Gender: Registered: 6 months 19 days Posts: 12872
|
19-Apr-2026 18:19 | #3
· Author (after 32 minutes)
Технология: DHCP на Windows Server – 10 типичных неисправностей
1. Клиент не получает IP адрес
Диагностика: Get-DhcpServerv4Scope
Что делает: Показывает все активные DHCP-области (scopes) на сервере.
Разбор команды по словам:
• Get-DhcpServerv4Scope – PowerShell команда для получения информации об IPv4 областях.
Как помогает траблшутить: Проверяет, существует ли область для нужной подсети и активна ли она.
2. Клиент получает неправильный IP или параметры
Диагностика: Get-DhcpServerv4Lease -ScopeId 192.168.1.0</b]
Что делает: Показывает все текущие аренды (leases) в указанной области.
Разбор команды по словам:
• Get-DhcpServerv4Lease – получение списка аренд.
• -ScopeId – указание ID области (обычно IP подсети).
Как помогает траблшутить: Можно найти конкретный клиент и проверить, какой адрес ему выдал сервер.
3. DHCP сервер не запускается
Диагностика: Get-Service DHCPServer</b]
Что делает: Проверяет состояние службы DHCP сервера.
Разбор команды по словам:
• Get-Service – команда получения информации о службе.
• DHCPServer – имя службы DHCP.
Как помогает траблшутить: Если служба не работает или остановлена, клиенты не смогут получить адреса.
4. Бронирование (резервирование) не работает
Диагностика: Get-DhcpServerv4Reservation -ScopeId 192.168.1.0</b]
Что делает: Показывает все резервирования в указанной области.
Разбор команды по словам:
• Get-DhcpServerv4Reservation – получение списка резервирований.
Как помогает траблшутить: Можно убедиться, что резервирование для клиента существует и настроено правильно (MAC адрес, IP).
5. Пул адресов исчерпан
Диагностика: Get-DhcpServerv4ScopeStatistics</b]
Что делает: Показывает статистику по области: сколько адресов свободно, сколько занято.
Разбор команды по словам:
• Get-DhcpServerv4ScopeStatistics – получение статистики по области.
Как помогает траблшутить: Если свободных адресов 0, клиенты не получат IP. Надо расширить диапазон или уменьшить время аренды.
6. Клиенты получают адрес, но не могут подключиться
Диагностика: Get-DhcpServerv4OptionValue -ScopeId 192.168.1.0</b]
Что делает: Показывает все опции DHCP, заданные для области.
Разбор команды по словам:
• Get-DhcpServerv4OptionValue – получение значений опций DHCP.
Как помогает траблшутить: Проверить, что опция 003 (Router) содержит правильный адрес шлюза, а опция 006 (DNS Servers) – правильные DNS сервера.
7. Проблемы с DHCP Relay (агент)
Диагностика: Проверить маршрутизатор/свич: есть ли IP Helper адрес сервера DHCP</b]
Что делает: На устройстве, где настроен агент, проверяется, указан ли адрес DHCP сервера.
Разбор команды по словам:
• IP Helper – часто называется DHCP Relay или просто «адрес DHCP сервера».
Как помогает траблшутить: Если агент не настроен или указан неверный адрес DHCP сервера, клиенты из другой подсети не получит предложение (offer).
8. Ошибки в журнале событий DHCP Сервер DHCP -> Административные события</b]
Что делает: Показывает системные события и ошибки службы DHCP.
Разбор команды по словам:
• Event Viewer – просмотр событий.
• Сервер DHCP – фильтр событий от службы DHCP.
Как помогает траблшутить: Там могут быть ошибки типа «не удалось создать область», «ошибка базы данных», «не удалось запустить службу».
9. База данных DHCP повреждена</b]
Диагностика: netsh dhcp server import C:\backup\dhcp.txt</b]
Что делает: Импортирует резервную копию конфигурации DHCP в сервер.
Разбор команды по словам:
• netsh – инструмент для работы с сетью.
• dhcp server import – импорт настроек DHCP из файла.
Как помогает траблшутить: Если служба не запускается из-за поврежденной базы, можно восстановить настройки из резервной копии.
10. Авторизация DHCP сервера в домене Active Directory</b]
Диагностика: netsh dhcp server show all</b]
Что делает: Показывает статус авторизации и общую информацию о сервере.
Разбор команды по словам:
• show all – вывод всей информации о сервере DHCP.
Как помогает траблшутить: Если сервер не авторизован в AD, он не будет выдавать адреса клиентам в домене.
|
|
|
|
admin ®
Gender: Registered: 6 months 19 days Posts: 12872
|
19-Apr-2026 18:57 | #4
· Author (after 38 minutes)
[center][size=150]DNS СЕРВЕР В СРЕДЕ WINDOWS SERVER[/center]
1. КРАТКОЕ ОПИСАНИЕ
DNS (Domain Name System) в Windows Server — это серверная роль, предоставляющая систему разрешения доменных имен в IP-адреса и обратно. Является критически важным компонентом инфраструктуры, особенно в доменах Active Directory, где используется для локализации контроллеров домена и других служб. Поддерживает все стандартные типы записей (A, AAAA, CNAME, MX, SRV и др.), динамические обновления, условную пересылку, репликацию зон и интеграцию с DHCP.
2. ОСНОВНЫЕ КОМПОНЕНТЫ И КОНЦЕПЦИИ
• DNS-сервер — служба Windows (dns.exe), обрабатывающая DNS-запросы.
• Зона (Zone) — база данных, содержащая DNS-записи для определенного домена (например, contoso.com). Типы зон:
- Основная (Primary) — зона, где вносятся изменения.
- Дополнительная (Secondary) — копия основной зоны для балансировки нагрузки и отказоустойчивости.
- Зона-заглушка (Stub Zone) — содержит только записи NS, A и AAAA для делегированных поддоменов.
• Запись ресурса (Resource Record) — единица данных в зоне (например, A-запись связывает имя с IPv4).
• Динамическое обновление (Dynamic Update) — позволяет клиентам и серверам автоматически регистрировать и обновлять свои записи в DNS.
• Условная пересылка (Conditional Forwarder) — правило, указывающее серверу пересылать запросы для определенных доменов конкретным DNS-серверам.
• Корневые указатели (Root Hints) — список IP-адресов корневых DNS-серверов интернета.
3. КЛЮЧЕВЫЕ ФАЙЛЫ И РАСПОЛОЖЕНИЕ
• Конфигурация сервера: хранится в реестре (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters) и в файлах зон.
• Файлы зон (при использовании файлового хранилища, а не AD-интегрированных зон): обычно находятся в %SystemRoot%\System32\dns\.
• Имена файлов: имя_зоны.dns (например, contoso.com.dns).
• Кэш DNS: %SystemRoot%\System32\dns\cache.dns (содержит корневые указатели).
4. УТИЛИТЫ КОМАНДНОЙ СТРОКИ ДЛЯ УПРАВЛЕНИЯ
• dnscmd — основная утилита для управления DNS-сервером из командной строки. Примеры:
dnscmd /enumzones — список всех зон.
dnscmd /clearcache — очистка кэша DNS-сервера.
dnscmd /zoneadd "contoso.com" /Primary /file "contoso.com.dns" — добавление новой основной зоны.
• nslookup — диагностический инструмент для проверки разрешения имен. Пример:
nslookup -type=mx contoso.com — запрос MX-записей домена.
• ipconfig /flushdns — очистка DNS-кэша на клиентском компьютере.
• ipconfig /registerdns — принудительная регистрация DNS-записей клиента.
5. ИНТЕГРАЦИЯ С ACTIVE DIRECTORY (AD-INTEGRATED ZONES)
Это ключевое преимущество DNS в Windows. Зона хранится не в файле, а в разделах Active Directory, что дает:
• Мультимастер-репликацию: изменения можно вносить на любом контроллере домена, где запущен DNS-сервер.
• Повышенную безопасность: можно настроить безопасные динамические обновления (только для аутентифицированных клиентов).
• Автоматическую репликацию в рамках репликации Active Directory.
6. ТИПОВЫЕ СЦЕНАРИИ ИСПОЛЬЗОВАНИЯ
• Разрешение имен в корпоративной сети (внутренние ресурсы и интернет).
• Поддержка служб Active Directory (регистрация SRV-записей контроллеров домена).
• Балансировка нагрузки с помощью нескольких A-записей на одно имя.
• Создание псевдонимов для серверов (CNAME).
• Настройка почтовой маршрутизации (MX-записи).
• Делегирование управления поддоменами.
7. ШАГИ ПЕРВОНАЧАЛЬНОЙ НАСТРОЙКИ (ОСНОВНОЕ)
Установите роль «DNS-сервер» через Server Manager.
Запустите оснастку DNS Manager/b.
Создайте новую зону (ПКМ на «Зоны прямого просмотра» -> «Создать новую зону»).
Выберите тип зоны (Основная, AD-интегрированная и т.д.).
Укажите имя зоны (например, corp.contoso.com).
Настройте параметры динамического обновления (Разрешить безопасные, небезопасные или запретить).
Добавьте необходимые записи (A, CNAME, MX) в созданную зону.
На клиентах укажите IP-адрес этого сервера в качестве предпочитаемого DNS.
8. ВАЖНЫЕ МОМЕНТЫ И РЕКОМЕНДАЦИИ
• Всегда настраивайте минимум два DNS-сервера для отказоустойчивости.
• Для доменов Active Directory используйте только AD-интегрированные зоны.
• Регулярно контролируйте журналы событий DNS (Просмотр событий -> Роли и службы -> DNS-сервер).
• Правильно настраивайте время жизни (TTL) для записей: меньше для часто меняющихся, больше для статических.
• Используйте условную пересылку для оптимизации разрешения имен партнерских доменов вместо рекурсии через корневые серверы.
• Защищайте сервер от атак: отключайте рекурсию для внешних клиентов (если это публичный DNS), рассматривайте использование DNSSEC.
• Своевременно увеличивайте серийный номер (Serial) в SOA-записи при изменениях в файловых зонах для корректной репликации на вторичные сервера.
9. СВЯЗЬ С ДРУГИМИ ТЕХНОЛОГИЯМИ
• Active Directory: основа для поиска служб. Без работающего DNS AD не функционирует.
• DHCP-сервер: может автоматически регистрировать записи для клиентов в DNS.
• Групповые политики (GPO): используются для распространения настроек DNS-клиентов.
• IPAM (IP Address Management): встроенная роль Windows Server для централизованного управления IP-адресами, DHCP и DNS.
|
|
|
|
admin ®
Gender: Registered: 6 months 19 days Posts: 12872
|
19-Apr-2026 18:58 | #5
· Author (after 32 seconds)
[center][size=150]DNS СЕРВЕР В СРЕДЕ WINDOWS SERVER[/center]
1. КРАТКОЕ ОПИСАНИЕ
DNS (Domain Name System) в Windows Server — это серверная роль, предоставляющая систему разрешения доменных имен в IP-адреса и обратно. Является критически важным компонентом инфраструктуры, особенно в доменах Active Directory, где используется для локализации контроллеров домена и других служб. Поддерживает все стандартные типы записей (A, AAAA, CNAME, MX, SRV и др.), динамические обновления, условную пересылку, репликацию зон и интеграцию с DHCP.
2. ОСНОВНЫЕ КОМПОНЕНТЫ И КОНЦЕПЦИИ
• DNS-сервер — служба Windows (dns.exe), обрабатывающая DNS-запросы.
• Зона (Zone) — база данных, содержащая DNS-записи для определенного домена (например, contoso.com). Типы зон:
- Основная (Primary) — зона, где вносятся изменения.
- Дополнительная (Secondary) — копия основной зоны для балансировки нагрузки и отказоустойчивости.
- Зона-заглушка (Stub Zone) — содержит только записи NS, A и AAAA для делегированных поддоменов.
• Запись ресурса (Resource Record) — единица данных в зоне (например, A-запись связывает имя с IPv4).
• Динамическое обновление (Dynamic Update) — позволяет клиентам и серверам автоматически регистрировать и обновлять свои записи в DNS.
• Условная пересылка (Conditional Forwarder) — правило, указывающее серверу пересылать запросы для определенных доменов конкретным DNS-серверам.
• Корневые указатели (Root Hints) — список IP-адресов корневых DNS-серверов интернета.
3. КЛЮЧЕВЫЕ ФАЙЛЫ И РАСПОЛОЖЕНИЕ
• Конфигурация сервера: хранится в реестре (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters) и в файлах зон.
• Файлы зон (при использовании файлового хранилища, а не AD-интегрированных зон): обычно находятся в %SystemRoot%\System32\dns\.
• Имена файлов: имя_зоны.dns (например, contoso.com.dns).
• Кэш DNS: %SystemRoot%\System32\dns\cache.dns (содержит корневые указатели).
4. УТИЛИТЫ КОМАНДНОЙ СТРОКИ ДЛЯ УПРАВЛЕНИЯ
• dnscmd — основная утилита для управления DNS-сервером из командной строки. Примеры:
dnscmd /enumzones — список всех зон.
dnscmd /clearcache — очистка кэша DNS-сервера.
dnscmd /zoneadd "contoso.com" /Primary /file "contoso.com.dns" — добавление новой основной зоны.
• nslookup — диагностический инструмент для проверки разрешения имен. Пример:
nslookup -type=mx contoso.com — запрос MX-записей домена.
• ipconfig /flushdns — очистка DNS-кэша на клиентском компьютере.
• ipconfig /registerdns — принудительная регистрация DNS-записей клиента.
5. ИНТЕГРАЦИЯ С ACTIVE DIRECTORY (AD-INTEGRATED ZONES)
Это ключевое преимущество DNS в Windows. Зона хранится не в файле, а в разделах Active Directory, что дает:
• Мультимастер-репликацию: изменения можно вносить на любом контроллере домена, где запущен DNS-сервер.
• Повышенную безопасность: можно настроить безопасные динамические обновления (только для аутентифицированных клиентов).
• Автоматическую репликацию в рамках репликации Active Directory.
6. ТИПОВЫЕ СЦЕНАРИИ ИСПОЛЬЗОВАНИЯ
• Разрешение имен в корпоративной сети (внутренние ресурсы и интернет).
• Поддержка служб Active Directory (регистрация SRV-записей контроллеров домена).
• Балансировка нагрузки с помощью нескольких A-записей на одно имя.
• Создание псевдонимов для серверов (CNAME).
• Настройка почтовой маршрутизации (MX-записи).
• Делегирование управления поддоменами.
7. ШАГИ ПЕРВОНАЧАЛЬНОЙ НАСТРОЙКИ (ОСНОВНОЕ)
Установите роль «DNS-сервер» через Server Manager.
Запустите оснастку DNS Manager/b.
Создайте новую зону (ПКМ на «Зоны прямого просмотра» -> «Создать новую зону»).
Выберите тип зоны (Основная, AD-интегрированная и т.д.).
Укажите имя зоны (например, corp.contoso.com).
Настройте параметры динамического обновления (Разрешить безопасные, небезопасные или запретить).
Добавьте необходимые записи (A, CNAME, MX) в созданную зону.
На клиентах укажите IP-адрес этого сервера в качестве предпочитаемого DNS.
8. ВАЖНЫЕ МОМЕНТЫ И РЕКОМЕНДАЦИИ
• Всегда настраивайте минимум два DNS-сервера для отказоустойчивости.
• Для доменов Active Directory используйте только AD-интегрированные зоны.
• Регулярно контролируйте журналы событий DNS (Просмотр событий -> Роли и службы -> DNS-сервер).
• Правильно настраивайте время жизни (TTL) для записей: меньше для часто меняющихся, больше для статических.
• Используйте условную пересылку для оптимизации разрешения имен партнерских доменов вместо рекурсии через корневые серверы.
• Защищайте сервер от атак: отключайте рекурсию для внешних клиентов (если это публичный DNS), рассматривайте использование DNSSEC.
• Своевременно увеличивайте серийный номер (Serial) в SOA-записи при изменениях в файловых зонах для корректной репликации на вторичные сервера.
9. СВЯЗЬ С ДРУГИМИ ТЕХНОЛОГИЯМИ
• Active Directory: основа для поиска служб. Без работающего DNS AD не функционирует.
• DHCP-сервер: может автоматически регистрировать записи для клиентов в DNS.
• Групповые политики (GPO): используются для распространения настроек DNS-клиентов.
• IPAM (IP Address Management): встроенная роль Windows Server для централизованного управления IP-адресами, DHCP и DNS.
|
|
|
|
admin ®
Gender: Registered: 6 months 19 days Posts: 12872
|
19-Apr-2026 19:01 | #6
· Author (after 3 minutes)
[center][size=150]ISC DHCP (DHCPD) В LINUX[/center]
1. КРАТКОЕ ОПИСАНИЕ
ISC DHCP (Internet Systems Consortium DHCP Daemon, dhcpd) — это эталонная, стабильная и полнофункциональная реализация протокола DHCP-сервера для Unix-подобных систем, включая Linux. Отвечает за автоматическую выдачу клиентам IP-адресов и сетевых параметров (маска, шлюз, адреса DNS). Это стандартный выбор для корпоративных и домашних сетей.
2. ОСНОВНЫЕ КОМПОНЕНТЫ И КОНЦЕПЦИИ
• dhcpd — демон (служба), обрабатывающий запросы клиентов.
• dhclient — демон DHCP-клиента.
• Пул адресов (address pool) — диапазон IP-адресов для динамической выдачи.
• Аренда (lease) — временное право клиента на использование IP-адреса. Время аренды задается в конфигурации.
• Статическое сопоставление (static mapping/host) — фиксация определенного IP-адреса за MAC-адресом клиента.
• Опции (options) — дополнительные параметры, передаваемые клиенту (например, option routers, option domain-name-servers).
• Диапазон (range) — определяет пул адресов внутри подсети.
3. КЛЮЧЕВЫЕ ФАЙЛЫ И РАСПОЛОЖЕНИЕ
• Основной конфигурационный файл: /etc/dhcp/dhcpd.conf
• Файл конфигурации клиента: /etc/dhcp/dhclient.conf
• База данных аренд (хранит текущие аренды): /var/lib/dhcp/dhcpd.leases (путь может незначительно меняться в разных дистрибутивах).
• Лог-файлы: обычно в /var/log/syslog или /var/log/messages.
4. УТИЛИТЫ КОМАНДНОЙ СТРОКИ ДЛЯ УПРАВЛЕНИЯ
• systemctl status/start/stop/restart isc-dhcp-server (или dhcpd) — управление службой.
• dhcp-lease-list или cat /var/lib/dhcp/dhcpd.leases — просмотр текущих аренд.
• dhclient -r — освобождение аренды на клиенте.
• dhclient — запрос новой аренды на клиенте.
• journalctl -u isc-dhcp-server -f — просмотр логов службы в реальном времени (systemd).
5. ИНТЕГРАЦИЯ С ДРУГИМИ СЛУЖБАМИ
• DNS (BIND9): dhcpd может отправлять динамические обновления DNS через механизм ddns-update-style и секцию zone.
• TFTP-сервер: через опцию next-server и filename используется для загрузки бездисковых рабочих станций или IP-телефонов (PXE).
• Маршрутизаторы: настройка опции routers.
6. ТИПОВЫЕ СЦЕНАРИИ ИСПОЛЬЗОВАНИЯ
• Автоматическая раздача IP-адресов в локальной сети.
• Выделение фиксированных IP-адресов серверам и принтерам.
• Организация PXE-загрузки для установки ОС по сети.
• Раздача специфичных опций для VoIP-телефонов или точек доступа.
• Настройка ретрансляторов DHCP (DHCP Relay) для обслуживания нескольких VLAN.
7. ШАГИ ПЕРВОНАЧАЛЬНОЙ НАСТРОЙКИ (ОСНОВНОЕ)
Установка пакета: apt install isc-dhcp-server (Debian/Ubuntu) или yum install dhcp (RHEL/CentOS).
Редактирование файла /etc/dhcp/dhcpd.conf:
authoritative; # Объявляем сервер авторитетным для сети
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.100 192.168.1.200;
option routers 192.168.1.1;
option domain-name-servers 8.8.8.8, 8.8.4.4;
option domain-name "local.lan";
default-lease-time 600;
max-lease-time 7200;
}
host printer {
hardware ethernet 00:11:22:33:44:55;
fixed-address 192.168.1.50;
}
Указание сетевого интерфейса в /etc/default/isc-dhcp-server: INTERFACESv4="eth0".
Запуск службы: systemctl start isc-dhcp-server и systemctl enable isc-dhcp-server.
8. ВАЖНЫЕ МОМЕНТЫ И РЕКОМЕНДАЦИИ
• Всегда проверяйте синтаксис конфига: dhcpd -t.
• Используйте authoritative; только если это единственный сервер в сети.
• Для сетей с несколькими VLAN используйте dhcp-relay (пакет isc-dhcp-relay).
• Для отказоустойчивости настраивайте файл-аренд (failover peer) между двумя серверами.
• Логируйте аренды в отдельный файл для упрощения отладки.
• Регулярно архивируйте и проверяйте файл dhcpd.leases.
9. СВЯЗЬ С ДРУГИМИ ТЕХНОЛОГИЯМИ
• Firewall (iptables/nftables): необходимо разрешить порты UDP 67 (сервер) и 68 (клиент).
• BIND9 DNS: для динамических обновлений.
• VLAN: настройка ретрансляторов на маршрутизаторах/L3-коммутаторах.
• PXE/TFTP: для сетевой загрузки.
10. ЗАКЛЮЧЕНИЕ
ISC DHCP — это надежный, проверенный временем сервер, идеально подходящий для большинства сценариев в Linux-средах. Его конфигурация на основе текстовых файлов делает его прозрачным и легко автоматизируемым с помощью систем управления конфигурацией (Ansible, Puppet).
[center][size=150]BIND9 DNS СЕРВЕР В LINUX[/center]
1. КРАТКОЕ ОПИСАНИЕ
BIND (Berkeley Internet Name Domain), в текущей версии BIND9 — это самая распространенная в мире эталонная реализация DNS-сервера, являющаяся стандартом де-факто для интернета. Обеспечивает полный набор функций: авторитативные серверы, кэширующие рекурсивные резолверы, поддержку DNSSEC и динамических обновлений.
2. ОСНОВНЫЕ КОМПОНЕНТЫ И КОНЦЕПЦИИ
• named — основной демон DNS-сервера.
• rndc (Remote Name Daemon Control) — утилита для удаленного управления демоном named по защищенному каналу.
• Зона (Zone) — домен, за который сервер несет ответственность. Типы:
- master (primary) — основная зона, где хранится исходная информация.
- slave (secondary) — вторичная зона, получающая данные через трансфер зоны (AXFR/IXFR).
- hint — зона корневых серверов.
- forward — зона пересылки.
- stub — аналог зоны-заглушки Windows.
• Трансфер зоны (Zone Transfer) — механизм копирования зоны с мастера на слейв.
• ACL (Access Control List) — именованный список IP-адресов/сетей для управления доступом.
3. КЛЮЧЕВЫЕ ФАЙЛЫ И РАСПОЛОЖЕНИЕ
• Основной конфигурационный файл: /etc/bind/named.conf/b или /etc/named.conf/b.
• Файлы зон (обычно): /var/cache/bind/ (Debian, кэшируемые и вторичные) и /etc/bind/ (основные мастер-зоны).
• Ключ rndc: /etc/bind/rndc.key или /etc/rndc.key.
• Корневые зоны (root hints): /usr/share/dns/root.hints или /etc/bind/db.root.
4. УТИЛИТЫ КОМАНДНОЙ СТРОКИ ДЛЯ УПРАВЛЕНИЯ
• named-checkconf — проверка синтаксиса основного конфига.
• named-checkzone — проверка синтаксиса файла зоны: named-checkzone example.com /etc/bind/db.example.com.
• rndc reload — перезагрузка конфигурации и зон без остановки службы.
• rndc status — статус сервера.
• rndc flush — очистка кэша сервера.
• dig — основной диагностический инструмент: dig @server example.com A.
• nslookup — устаревший, но все еще используемый инструмент.
5. ИНТЕГРАЦИЯ С ДРУГИМИ СЛУЖБАМИ
• DHCP (ISC DHCPD): для динамических обновлений DNS (DDNS) от клиентов.
• Web-панели управления (Webmin, ISPConfig) для графического администрирования.
• Системы мониторинга (Zabbix, Nagios) для проверки доступности и корректности ответов.
6. ТИПОВЫЕ СЦЕНАРИИ ИСПОЛЬЗОВАНИЯ
• Публичный авторитативный DNS для домена в интернете.
• Внутренний кэширующий рекурсивный резолвер для локальной сети.
• Приватный DNS для инфраструктуры (серверы, базы данных).
• Реализация Split-Horizon DNS (разные ответы для внутренних и внешних запросов).
• Поддержка DNSSEC для криптографической проверки подлинности записей.
• Настройка stealth-серверов (только для мониторинга).
7. ШАГИ ПЕРВОНАЧАЛЬНОЙ НАСТРОЙКИ (ОСНОВНОЕ)
Установка: apt install bind9 bind9-utils или yum install bind bind-utils.
Настройка /etc/bind/named.conf.options (или соответствующей секции):
options {
directory "/var/cache/bind";
recursion yes; // Разрешить рекурсивные запросы для внутренних
allow-query { localhost; 192.168.1.0/24; }; // Кто может спрашивать
forwarders { 8.8.8.8; 1.1.1.1; }; // Куда пересылать, если не знает ответа
dnssec-validation yes; // Включить проверку DNSSEC
};
Объявление зоны в /etc/bind/named.conf.local:
zone "local.lan" {
type master;
file "/etc/bind/db.local.lan";
};
Создание файла зоны /etc/bind/db.local.lan:
$TTL 86400
@ IN SOA ns1.local.lan. admin.local.lan. (
2025041901 ; Serial
3600 ; Refresh
1800 ; Retry
604800 ; Expire
86400 ) ; Minimum TTL
@ IN NS ns1.local.lan.
ns1 IN A 192.168.1.10
www IN A 192.168.1.100
Проверка синтаксиса и запуск: named-checkconf, systemctl start bind9.
8. ВАЖНЫЕ МОМЕНТЫ И РЕКОМЕНДАЦИИ
• Всегда увеличивайте Serial в SOA-записи при изменении файла зоны.
• Минимизируйте права доступа к файлам зон и конфигов (принцип наименьших привилегий).
• Для авторитативных серверов отключайте recursion для внешних запросов.
• Используйте ACL для строгого контроля над трансферами зон (allow-transfer) и запросами.
• Рассмотрите возможность запуска службы в chroot-окружении для повышения безопасности.
• Регулярно обновляйте BIND для получения исправлений уязвимостей.
• Настройте логирование в отдельный файл для удобства анализа.
9. СВЯЗЬ С ДРУГИМИ ТЕХНОЛОГИЯМИ
• DHCP-сервер: обновление записей по ключу TSIG.
• Firewall: открыть порты TCP/UDP 53.
• Балансировщики нагрузки: для распределения запросов между несколькими экземплярами BIND.
• База данных: можно хранить зоны в SQL (с использованием SDB-драйвера или внешних панелей).
|
|
|
|
admin ®
Gender: Registered: 6 months 19 days Posts: 12872
|
19-Apr-2026 19:17 | #7
· Author (after 16 minutes)
DNS BIND9 в Linux – 10 типичных неисправностей (для TorreNPIER)
DNS BIND9 в Linux – 10 типичных неисправностей
1. Недоступность DNS-сервера
Диагностика:
(или
для Debian/Ubuntu)
Что делает: Проверяет статус службы BIND9.
Разбор команды по словам:
- утилита для управления systemd (система инициализации и управления службами).
- команда для получения статуса службы.
- стандартное имя службы BIND.
Как помогает траблшутить: Позволяет быстро определить, запущена ли служба BIND9, и увидеть последние строки логов, которые могут указывать на причину сбоя.
2. Ошибки в синтаксисе конфигурационного файла
Диагностика:
named-checkconf /etc/bind/named.conf
Что делает: Проверяет синтаксическую корректность основного конфигурационного файла BIND.
Разбор команды по словам:
- утилита для проверки синтаксиса конфигурационных файлов BIND.
- путь к основному конфигурационному файлу BIND (может отличаться в зависимости от дистрибутива).
Как помогает траблшутить: Выявляет ошибки в расстановке точек с запятой, скобок, неправильные директивы, которые могут прерывать запуск сервера.
3. Ошибки в синтаксисе зоны
Диагностика:
named-checkzone [i]<имязоны>[/i] /etc/bind/[i]<файлзоны>.zone[/i]
Что делает: Проверяет синтаксическую корректность файла зоны DNS.
Разбор команды по словам:
- утилита для проверки файлов зон DNS.
<имя_зоны> - имя DNS-зоны (например, example.com).
/etc/bind/[i]<файл_зоны>.zone[/i]
- путь к файлу зоны.
Как помогает траблшутить: Находит ошибки в записях A, MX, NS, SOA и других, которые необходимы для корректной работы зоны.
4. Отсутствие ответа на DNS-запросы
Диагностика:
dig @[i]DNSсервера>[/i] [i]<имя_домена>[/i]
Что делает: Отправляет DNS-запрос к указанному DNS-серверу для получения информации о домене.
Разбор команды по словам:
- утилита для запросов к DNS-серверам.
- указание конкретного DNS-сервера для запроса.
<имя_домена> - имя хоста или домена, для которого делается запрос.
Как помогает траблшутить: Позволяет проверить, отвечает ли ваш BIND9-сервер на запросы, и получить детальную информацию о ответе (или его отсутствии).
5. Неправильная рекурсия (или ее отсутствие)
Диагностика:
(без указания сервера, если BIND настроен на рекурсию)
Что делает: Запрашивает информацию о google.com, используя настроенный BIND как рекурсивный резолвер.
Разбор команды по словам:
- прямой запрос к DNS-серверу, настроенному по умолчанию.
Как помогает траблшутить: Определяет, может ли ваш BIND-сервер самостоятельно разрешать внешние доменные имена, обращаясь к корневым серверам или другим авторитативным серверам.
6. Проблемы с правилами доступа (ACL)
Диагностика: Анализ секции
и
в
.
Что делает: Проверяет, разрешен ли доступ к DNS-серверу для определенных IP-адресов или сетей.
Разбор команды по словам:
- директива, определяющая, какие клиенты могут запрашивать информацию из зон.
- директива, определяющая, какие клиенты могут использовать сервер для рекурсивных запросов.
Как помогает траблшутить: Помогает выявить ситуации, когда легитимные клиенты не могут получить ответ из-за слишком строгих правил доступа.
7. Cache poisoning (отравление кэша)
Диагностика:
dig A [i]<поддельныйдомен>[/i] @[i]адрес_BIND>[/i]
и проверка соответствующих зон.
Что делает: Ищет аномалии в кэше DNS-сервера, вызванные поддельными ответами.
Разбор команды по словам:
<поддельный_домен> - домен, который может быть объектом атаки.
Как помогает траблшутить: Требует более глубокой диагностики, но может быть обнаружен косвенно, если сервер начинает отдавать некорректные IP-адреса для известных доменов.
8. Проблемы с перенаправлением запросов (forwarders)
Диагностика: Проверка директивы
в
и доступности указанных серверов.
Что делает: Убеждается, что BIND-сервер правильно перенаправляет запросы к внешним DNS-серверам.
Разбор команды по словам:
- директива, указывающая IP-адреса серверов, которым BIND должен перенаправлять запросы.
Как помогает траблшутить: Помогает, если клиенты не могут разрешать внешние имена, а сам BIND настроен на использование других DNS-серверов.
9. Некорректное ведение логов
Диагностика: Просмотр файлов логов BIND9 (например,
или
, а также специфичные для BIND файлы).
Что делает: Анализирует записи в логах для выявления ошибок, предупреждений или подозрительной активности.
Разбор команды по словам:
grep "named\[.*]" /var/log/syslog
- пример команды для поиска записей, относящихся к BIND.
Как помогает траблшутить: Логи часто содержат подробную информацию о причинах сбоев, некорректной конфигурации или проблем с доступом.
10. Проблемы с динамической регистрацией DNS (DDNS)
Диагностика: Проверка прав на запись в файлах зон, настройка
и отслеживание логов BIND на предмет ошибок обновления.
Что делает: Убеждается, что BIND может принимать и записывать изменения DNS-записей от клиентов (например, DHCP-серверов).
Разбор команды по словам:
- директива, управляющая разрешением динамических обновлений.
Как помогает траблшутить: Критично для сред, где IP-адреса часто меняются, и требуется автоматическое обновление DNS-записей.
IHC-DHCP в WSUS и его траблшутинг
IHC-DHCP в WSUS и его траблшутинг
1. Невозможность получения IP-адреса клиентом
Диагностика: На клиенте
, затем
. На сервере WSUS проверить логи DHCP-сервера.
Что делает: Проверяет, получил ли клиент IP-адрес, и пытается ли он связаться с DHCP-сервером.
Разбор команды по словам:
- показывает полную информацию о сетевых настройках клиента.
- утилита для проверки доступности хоста.
Как помогает траблшутить: Позволяет определить, проблема на стороне клиента (не получает запрос), на стороне сети (запрос не доходит) или на стороне сервера DHCP (не отвечает).
2. Неправильная конфигурация портов DHCP (UDP 67/68)
Диагностика: Проверка правил брандмауэра на сервере WSUS/DHCP и на промежуточных устройствах (если есть).
Что делает: Убеждается, что порты, используемые DHCP-клиентом и сервером для обмена сообщениями, открыты.
Разбор команды по словам:
UDP 67 - порт, используемый DHCP-сервером для отправки ответов.
UDP 68 - порт, используемый DHCP-клиентом для отправки запросов.
Как помогает траблшутить: Частая причина, по которой клиент вообще не видит DHCP-сервер, даже если служба запущена.
3. Конфликт IP-адресов
Диагностика: На клиенте
, затем
. На сервере DHCP проверить список назначенных адресов.
Что делает: Проверяет, не назначен ли один и тот же IP-адрес двум разным устройствам.
Разбор команды по словам:
- отображает таблицу ARP (Address Resolution Protocol) клиента, показывающую сопоставление IP и MAC-адресов.
Как помогает траблшутить: Ключевая проблема, вызывающая проблемы с сетью у двух или более устройств.
4. Некорректные настройки IP-адресации в пуле DHCP
Диагностика: Проверка диапазона IP-адресов, маски подсети, шлюза по умолчанию и DNS-серверов в настройках пула DHCP на сервере WSUS.
Что делает: Убеждается, что сервер DHCP выдает корректные сетевые параметры для клиентов.
Разбор команды по словам:
Пул DHCP - диапазон IP-адресов, которые сервер может выдавать.
Маска подсети, Шлюз по умолчанию, DNS-серверы - основные сетевые параметры.
Как помогает траблшутить: Позволяет клиентам получать доступ к сети и интернету после получения IP-адреса.
5. Отсутствие ответа от DHCP-сервера из-за отключенной службы
Диагностика: На сервере WSUS:
, найти службу "DHCP Server" или "Microsoft DHCP Server" и проверить ее статус.
Что делает: Проверяет, запущена ли служба DHCP-сервера на сервере WSUS.
Разбор команды по словам:
- консоль управления службами Windows.
Как помогает траблшутить: Самая банальная, но очень распространенная причина отсутствия выдачи IP-адресов.
6. Проблемы с резервированием IP-адресов (DHCP Reservations)
Диагностика: Проверка настроек резервирования по MAC-адресу на сервере DHCP.
Что делает: Убеждается, что резервирование IP-адресов для конкретных устройств настроено корректно и не вызывает конфликтов.
Разбор команды по словам:
Резервирование IP-адресов - привязка конкретного IP-адреса к MAC-адресу устройства.
Как помогает траблшутить: Важно для серверов, принтеров и других устройств, которым необходим постоянный IP-адрес.
7. Отсутствие DHCP-сервера в нужной подсети (DHCP Relay Agent)
Диагностика: На маршрутизаторе или устройстве, выполняющем роль DHCP Relay Agent, проверить настройки пересылки запросов.
Что делает: Убеждается, что DHCP-запросы от клиентов в других подсетях корректно перенаправляются к DHCP-серверу.
Разбор команды по словам:
DHCP Relay Agent - промежуточное устройство, которое пересылает DHCP-сообщения между клиентами и серверами, находящимися в разных подсетях.
Как помогает траблшутить: Позволяет DHCP-серверу обслуживать клиентов, находящихся не в той же физической сети.
8. Некорректные настройки SCOPE (область действия)
Диагностика: Проверка настроек SCOPE, включая временный диапазон аренды (lease duration), настройки исключенных адресов.
Что делает: Убеждается, что настройки активной области выдачи IP-адресов на сервере DHCP корректны.
Разбор команды по словам:
SCOPE - область IP-адресов, которой управляет DHCP-сервер.
Lease duration - срок, на который выдается IP-адрес.
Как помогает траблшутить: Слишком короткий период аренды может вызвать ненужный трафик; слишком длинный - быстрее исчерпать пул адресов.
9. Проблемы с авторизацией DHCP-сервера в Active Directory
Диагностика: В оснастке DHCP на сервере WSUS проверить статус авторизации сервера.
Что делает: Убеждается, что DHCP-сервер зарегистрирован и авторизован в домене Active Directory, чтобы предотвратить запуск нелегитимных DHCP-серверов.
Разбор команды по словам:
Авторизация DHCP-сервера - процесс регистрации DHCP-сервера в AD.
Как помогает траблшутить: Критически важно для безопасности сети, чтобы избежать клонирования DHCP-серверов.
10. Сбои в работе клиента DHCP
Диагностика: На клиенте перезапуск службы "DHCP Client" (
), обновление IP-адреса (
и
).
Что делает: Перезапускает клиентскую службу, отвечающую за получение IP-адреса, и принудительно обновляет выдачу.
Разбор команды по словам:
- освобождает текущий IP-адрес.
- запрашивает новый IP-адрес у DHCP-сервера.
Как помогает траблшутить: Позволяет исключить проблемы на стороне самого клиента, связанные с его DHCP-службой.
|
|
|
|
admin ®
Gender: Registered: 6 months 19 days Posts: 12872
|
19-Apr-2026 19:31 | #8
· Author (after 13 minutes)
10 типичных неисправностей для Firewall в Linux,
Firewall в Linux – 10 типичных неисправностей (для YBC)
Технология: Firewall в Linux – 10 типичных неисправностей
1. Блокировка нужного трафика
Диагностика:
Что делает: Выводит текущие правила Firewall (iptables) в табличном виде с номерами пакетов и байтов, прошедших через правило.
Разбор команды по словам:
- выполнить команду от имени суперпользователя.
- утилита для управления правилами NAT и фильтрации пакетов в ядре Linux.
- вывести список правил.
- числовой вывод (IP-адреса и порты вместо имен).
- подробный вывод (информация о пакетах и байтах).
Как помогает траблшутить: Позволяет понять, какие правила Firewall активны, и выявить потенциально блокирующие правила (например, правило DROP или REJECT для нужного порта/IP).
2. Разрешение нежелательного трафика
Диагностика:
(аналогично пункту 1)
Что делает: Показывает все правила, включая те, которые разрешают входящие или исходящие соединения, которые не должны быть разрешены.
Разбор команды по словам: (см. пункт 1)
Как помогает траблшутить: Помогает обнаружить правила, которые по ошибке разрешают доступ к чувствительным портам или системам, или же разрешают исходящие соединения, которые должны быть запрещены.
3. Сброс подключений (Connection Tracking)
Диагностика:
if grep -q "conntrack" /proc/net/nf_conntrack; then echo "Conntrack module loaded"; else echo "Conntrack module not loaded or disabled"; fi
Что делает: Проверяет, активен ли модуль conntrack, который отслеживает состояние сетевых соединений.
Разбор команды по словам:
- искать строку молча (без вывода), возвращает код завершения.
- искомая строка, представляющая модуль отслеживания соединений.
- файл, содержащий информацию о текущих отслеживаемых соединениях.
Как помогает траблшутить: Без активного conntrack многие сложные правила (например, связанные с состоянием соединения: ESTABLISHED, RELATED) работать не будут, что может приводить к блокировке или разрешению всего подряд.
4. Проблемы с NAT (Network Address Translation)
Диагностика:
sudo iptables -t nat -L -n -v
Что делает: Выводит правила NAT (таблица nat), которые используются для маскировки (SNAT) или перенаправления (DNAT) портов.
Разбор команды по словам:
- указание использовать таблицу NAT.
Как помогает траблшутить: Помогает выявить ошибки в конфигурации маскарадинга (например, когда внешний трафик не попадает на сервер) или в правилах DNAT (проброс портов).
5. Неправильная настройка цепочек (Chains)
Диагностика:
sudo iptables -L -n -v/code
[b]Что делает:[/b] Анализирует порядок и логику различных цепочек (INPUT, OUTPUT, FORWARD, PREROUTING, POSTROUTING) и правил внутри них.
[b]Разбор команды по словам:[/b] (см. пункт 1)
[b]Как помогает траблшутить:[/b] Неудачный порядок правил или некорректно настроенные цепочки могут приводить к тому, что пакеты обрабатываются не тем правилом, что ожидалось, либо вообще не обрабатываются.
[b]6. Утеря конфигурации Firewall после перезагрузки[/b]
[b]Диагностика:[/b] Проверка наличия установленного пакета [code]iptables-persistent/code или [code]firewalld/code.
[b]Что делает:[/b] Убеждается, что правила Firewall сохраняются между перезагрузками системы.
[b]Разбор команды по словам:[/b]
[code]iptables-persistent
- пакет, который автоматически загружает и сохраняет правила iptables.
- более современная система управления Firewall, также сохраняющая конфигурацию.
Как помогает траблшутить: Если правила не сохраняются, после каждой перезагрузки система становится уязвимой, пока вручную правила не будут применены снова.
7. Блокировка DNS-запросов (Port 53)
Диагностика:
sudo iptables -L OUTPUT -n -v | grep ":53"
sudo iptables -L INPUT -n -v | grep ":53"
Что делает: Проверяет, разрешены ли исходящие (OUTPUT) и входящие (INPUT) соединения по стандартному DNS-порту 53.
Разбор команды по словам:
- ищет строки, содержащие ":53", что указывает на порт 53.
Как помогает траблшутить: Если порт 53 блокируется, клиентская машина не сможет получать IP-адреса из DNS.
8. Перегрузка CPU из-за сложных правил
Диагностика: Использование утилит мониторинга ресурсов, таких как
или
, и проверка процесса
или
.
Что делает: Отслеживает загрузку процессора для выявления аномально высокой активности.
Разбор команды по словам:
,
- утилиты для мониторинга процессов и загрузки системы.
- периодически запускающиеся процессы ядра, обрабатывающие немедленные задачи.
Как помогает траблшутить: Очень сложные правила Firewall, особенно Regex-матчинг или избыточное количество правил, могут замедлять обработку пакетов и вызывать высокую нагрузку на CPU.
9. Проблемы с IPv6 (ip6tables)
Диагностика:
Что делает: Проверяет правила Firewall для IPv6-трафика, которые управляются отдельной командой
.
Разбор команды по словам:
- утилита для управления правилами Firewall для IPv6.
Как помогает траблшутить: Многие администраторы забывают настроить правила IPv6 Firewall, оставляя систему уязвимой для атак по этому протоколу, даже если IPv4 защищен.
10. Некорректная политика по умолчанию (Default Policy)
Диагностика:
Что делает: Проверяет политику по умолчанию для цепочек (ACCEPT, DROP, REJECT).
Разбор команды по словам:
- разрешить пакеты, которые не соответствуют ни одному правилу.
- тихо отбросить пакеты.
- отбросить пакеты и отправить сообщение об ошибке отправителю.
Как помогает траблшутить: Если политика по умолчанию установлена в ACCEPT, это значит, что любой не запрещенный явно трафик будет проходить. Для большей безопасности рекомендуется устанавливать политику по умолчанию в DROP или REJECT и явно разрешать нужный трафик.
Форматирование для движка форума YBC:
YBC (YouBBS Code) - это довольно простой BBCode-подобный движок. Он обычно поддерживает теги для жирного, курсива, ссылок, кода и списков. Я буду использовать теги , [code], [url] и
.
Текст 1: Firewall в Linux – 10 типичных неисправностей (для YBC)
Технология: Firewall в Linux – 10 типичных неисправностей
Блокировка нужного трафика
Диагностика:
sudo iptables -L -n -v
Что делает: Выводит текущие правила Firewall (iptables) в табличном виде с номерами пакетов и байтов, прошедших через правило.
Разбор команды по словам:
sudo - выполнить команду от имени суперпользователя.
iptables - утилита для управления правилами NAT и фильтрации пакетов в ядре Linux.
-L - вывести список правил.
-n - числовой вывод (IP-адреса и порты вместо имен).
-v - подробный вывод (информация о пакетах и байтах).
Как помогает траблшутить: Позволяет понять, какие правила Firewall активны, и выявить потенциально блокирующие правила (например, правило DROP или REJECT для нужного порта/IP).
Разрешение нежелательного трафика
Диагностика:
sudo iptables -L -n -v (аналогично пункту 1)
Что делает: Показывает все правила, включая те, которые разрешают входящие или исходящие соединения, которые не должны быть разрешены.
Разбор команды по словам: (см. пункт 1)
Как помогает траблшутить: Помогает обнаружить правила, которые по ошибке разрешают доступ к чувствительным портам или системам, или же разрешают исходящие соединения, которые должны быть запрещены.
Сброс подключений (Connection Tracking)
Диагностика:
if grep -q "conntrack" /proc/net/nf_conntrack; then echo "Conntrack module loaded"; else echo "Conntrack module not loaded or disabled"; fi
Что делает: Проверяет, активен ли модуль conntrack, который отслеживает состояние сетевых соединений.
Разбор команды по словам:
grep -q - искать строку молча (без вывода), возвращает код завершения.
"conntrack" - искомая строка, представляющая модуль отслеживания соединений.
/proc/net/nf_conntrack - файл, содержащий информацию о текущих отслеживаемых соединениях.
Как помогает траблшутить: Без активного conntrack многие сложные правила (например, связанные с состоянием соединения: ESTABLISHED, RELATED) работать не будут, что может приводить к блокировке или разрешению всего подряд.
Проблемы с NAT (Network Address Translation)
Диагностика:
sudo iptables -t nat -L -n -v
Что делает: Выводит правила NAT (таблица nat), которые используются для маскировки (SNAT) или перенаправления (DNAT) портов.
Разбор команды по словам:
-t nat - указание использовать таблицу NAT.
Как помогает траблшутить: Помогает выявить ошибки в конфигурации маскарадинга (например, когда внешний трафик не попадает на сервер) или в правилах DNAT (проброс портов).
Неправильная настройка цепочек (Chains)
Диагностика:
sudo iptables -L -n -v (тоже)
Что делает: Анализирует порядок и логику различных цепочек (INPUT, OUTPUT, FORWARD, PREROUTING, POSTROUTING) и правил внутри них.
Разбор команды по словам: (см. пункт 1)
Как помогает траблшутить: Неудачный порядок правил или некорректно настроенные цепочки могут приводить к тому, что пакеты обрабатываются не тем правилом, что ожидалось, либо вообще не обрабатываются.
Утеря конфигурации Firewall после перезагрузки
Диагностика: Проверка наличия установленного пакета iptables-persistent (Debian/Ubuntu) или firewalld (CentOS/Fedora/RHEL).
Что делает: Убеждается, что правила Firewall сохраняются между перезагрузками системы.
Разбор команды по словам:
iptables-persistent - пакет, который автоматически загружает и сохраняет правила iptables.
firewalld - более современная система управления Firewall, также сохраняющая конфигурацию.
Как помогает траблшутить: Если правила не сохраняются, после каждой перезагрузки система становится уязвимой, пока вручную правила не будут применены снова.
Блокировка DNS-запросов (Port 53)
Диагностика:
sudo iptables -L OUTPUT -n -v | grep ":53"
sudo iptables -L INPUT -n -v | grep ":53"
Что делает: Проверяет, разрешены ли исходящие (OUTPUT) и входящие (INPUT) соединения по стандартному DNS-порту 53.
Разбор команды по словам:
grep ":53" - ищет строки, содержащие ":53", что указывает на порт 53.
Как помогает траблшутить: Если порт 53 блокируется, клиентская машина не сможет получать IP-адреса из DNS.
Перегрузка CPU из-за сложных правил
Диагностика: Использование утилит мониторинга ресурсов, таких как top или htop, и проверка процесса ksoftirqd или systemd-journald.
Что делает: Отслеживает загрузку процессора для выявления аномально высокой активности.
Разбор команды по словам:
top, htop - утилиты для мониторинга процессов и загрузки системы.
ksoftirqd - периодически запускающиеся процессы ядра, обрабатывающие немедленные задачи.
Как помогает траблшутить: Очень сложные правила Firewall, особенно Regex-матчинг или избыточное количество правил, могут замедлять обработку пакетов и вызывать высокую нагрузку на CPU.
Проблемы с IPv6 (ip6tables)
Диагностика:
sudo ip6tables -L -n -v
Что делает: Проверяет правила Firewall для IPv6-трафика, которые управляются отдельной командой ip6tables.
Разбор команды по словам:
ip6tables - утилита для управления правилами Firewall для IPv6.
Как помогает траблшутить: Многие администраторы забывают настроить правила IPv6 Firewall, оставляя систему уязвимой для атак по этому протоколу, даже если IPv4 защищен.
Некорректная политика по умолчанию (Default Policy)
Диагностика:
sudo iptables -L -n -v
Что делает: Проверяет политику по умолчанию для цепочек (ACCEPT, DROP, REJECT).
Разбор команды по словам:
ACCEPT - разрешить пакеты, которые не соответствуют ни одному правилу.
DROP - тихо отбросить пакеты.
REJECT - отбросить пакеты и отправить сообщение об ошибке отправителю.
Как помогает траблшутить: Если политика по умолчанию установлена в ACCEPT, это значит, что любой не запрещенный явно трафик будет проходить. Для большей безопасности рекомендуется устанавливать политику по умолчанию в DROP или REJECT и явно разрешать нужный трафик.
Last edited by admin on 2026-04-19 19:44; edited 1 time in total
|
|
|
|
admin ®
Gender: Registered: 6 months 19 days Posts: 12872
|
19-Apr-2026 19:32 | #9
· Author (after 58 seconds)
ТЕХНОЛОГИЯ LDAP В LINUX
Топ-10 неисправностей и алгоритмы их устранения:
Невозможно подключиться к серверу (сетевая проблема).
Диагностика: telnet <ldap-server> 389, nc -zv <ldap-server> 636, ss -tlnp | grep slapd.
Траблшутинг: Проверить статус службы (systemctl status slapd), настройки брандмауэра (firewall-cmd --list-all), корректность хоста/порта в клиентском конфиге.
Ошибка аутентификации (invalid credentials).
Диагностика: ldapwhoami -x -D "cn=admin,dc=domain,dc=com" -W, проверка логов (journalctl -u slapd -f, /var/log/slapd.log).
Траблшутинг: Проверить корректность DN и пароля, сбросить пароль slappasswd, проверить хеш в olcRootPW.
Ошибка поиска или неполные результаты (ACL).
Диагностика: Логи slapd с acl_access, проверка olcAccess в cn=config, ldapsearch -d1 с ключом отладки.
Траблшутинг: Настроить права доступа (olcAccess) для bind-DN на чтение нужных атрибутов, проверить search и read доступ.
Проблемы с TLS/SSL (сертификаты).
Диагностика: ldapsearch -ZZ, openssl s_client -connect <server>:636, ошибки в логах slapd.
Траблшутинг: Проверить пути olcTLSCertificateFile/KeyFile, права на файлы (slapd:slapd), валидность и цепочку сертификатов.
Ошибка схемы (schema violation).
Диагностика: Логи с objectClass violation, проверка загруженных схем ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=schema,cn=config.
Траблшутинг: Загрузить недостающую схему (ldapadd -Y EXTERNAL -H ldapi:/// -f schema.ldif), проверить обязательные атрибуты objectClass.
Ошибка репликации (Syncrepl).
Диагностика: Проверить конфигурацию olcSyncrepl, логи на ошибки syncrepl, связность между серверами.
Траблшутинг: Сверить olcServerID, проверить binddn и пароль репликации, перезапустить slapd на consumer-узле.
Проблемы с базой данных (BDB/HDB).
Диагностика: Логи с bdb ошибками, проверка дискового пространства (df -h), утилита db_stat.
Траблшутинг: Остановить slapd, выполнить db_recover -h /var/lib/ldap, восстановить из бекапа при критических сбоях.
Некорректная конфигурация клиента (ldap.conf, sssd.conf).
Диагностика: getent passwd <ldap-user>, проверка файлов /etc/ldap/ldap.conf, /etc/sssd/sssd.conf.
Траблшутинг: Указать BASE, URI, TLS_CACERT; проверить id_provider = ldap и ldap_uri в SSSD, перезапустить sssd.
Интеграционные проблемы (PAM, NSS).
Диагностика: id <user>, getent passwd, логи /var/log/secure, статус sssd (systemctl status sssd).
Траблшутинг: Проверить /etc/nsswitch.conf (строки passwd: files sss), конфигурацию PAM (/etc/pam.d/system-auth).
Низкая производительность, таймауты.
Диагностика: Логи с timelimit exceeded, мониторинг нагрузки (htop), анализ индексов.
Траблшутинг: Добавить индексы для частых запросов (olcDbIndex), оптимизировать запросы, увеличить olcTimeLimit, рассмотреть балансировку.
ТЕХНОЛОГИЯ Apache В LINUX
Топ-10 неисправностей и алгоритмы их устранения:
Сервис не запускается.
Диагностика: systemctl status httpd/apache2, journalctl -xe, apachectl configtest.
Траблшутинг: Исправить синтаксис конфига, освободить порт 80/443, проверить пути к логам и сокетам.
Ошибка 403 Forbidden.
Диагностика: Проверить логи ошибок, права на файлы (ls -la), конфигурацию <Directory>.
Траблшутинг: Выставить права 755 (директории)/644 (файлы), владельца apache:apache, проверить Require и AllowOverride.
Ошибка 404 Not Found.
Диагностика: Проверить DocumentRoot, физическое наличие файла, логи доступа.
Траблшутинг: Исправить DocumentRoot или Alias, проверить регистр в пути, отключить мешающие правила mod_rewrite.
Ошибка 500 Internal Server Error.
Диагностика: Смотреть логи ошибок Apache. Искать PHP Fatal error, Permission denied, Premature end.
Траблшутинг: Исправить синтаксис скрипта, права на исполнение, проверить работу бэкенда (PHP-FPM), отключить SELinux для теста.
Ошибка 503 Service Unavailable.
Диагностика: Проверить лимиты MaxClients, нагрузку на сервер, статус бэкенд-сервисов (PHP-FPM).
Траблшутинг: Увеличить MaxRequestWorkers, оптимизировать приложение, настроить кеширование, проверить свободную память.
Неработающие виртуальные хосты.
Диагностика: apachectl -S, проверить наличие конфига в sites-enabled/, корректность ServerName.
Траблшутинг: Активировать хост (a2ensite), перезагрузить Apache, проверить <VirtualHost *:80>.
Проблемы с модулями (mod_rewrite, mod_ssl).
Диагностика: httpd -M, ошибки в логах при работе модуля.
Траблшутинг: Включить модуль (a2enmod), проверить синтаксис .htaccess, корректность путей к SSL-сертификатам.
PHP не обрабатывается (выводится как текст).
Диагностика: Создать info.php с <?php phpinfo(); ?>. Если виден код — проблема с модулем.
Траблшутинг: Установить libapache2-mod-php (Debian) или php (RHEL), проверить AddType/SetHandler для PHP.
Проблемы с SELinux/AppArmor.
Диагностика: getenforce, логи /var/log/audit/audit.log, sealert -a /var/log/audit/audit.log.
Траблшутинг: setenforce 0 (временно), исправить контекст: chcon -R -t httpd_sys_content_t /var/www/html, использовать audit2allow.
Медленная работа, таймауты.
Диагностика: top, анализ медленных запросов в логах, проверка KeepAlive настроек.
Траблшутинг: Настроить mod_cache, включить mod_deflate, оптимизировать KeepAliveTimeout, проверить бэкенд (БД).
ТЕХНОЛОГИЯ Nginx В LINUX
Топ-10 неисправностей и алгоритмы их устранения:
Nginx не запускается.
Диагностика: systemctl status nginx, journalctl -u nginx, обязательно: nginx -t.
Траблшутинг: Исправить синтаксис в конфиге (часто ошибка в server блоке или proxy_pass), освободить порт 80/443.
502 Bad Gateway.
Диагностика: Проверить бэкенд! systemctl status php-fpm (или другого app-сервера), ss -lnp | grep :9000, логи error.log.
Траблшутинг: Запустить бэкенд, проверить fastcgi_pass unix:/run/php/php-fpm.sock; (корректный путь сокета), увеличить fastcgi_read_timeout.
404 Not Found.
Диагностика: Проверить директивы root и index в блоке server, физическое наличие файла.
Траблшутинг: Исправить путь в root, добавить файл, проверить работу try_files
uri/ =404;.
403 Forbidden.
Диагностика: Проверить права (ls -la), наличие index файла, контекст SELinux.
Траблшутинг: Выставить права 755/644, владельца nginx:nginx, убедиться, что autoindex off; (если не нужен листинг).
Проблемы с SSL-сертификатами.
Диагностика: nginx -t, openssl s_client -connect site:443, ошибки в логах.
Траблшутинг: Проверить пути в ssl_certificate и ssl_certificate_key, целостность цепочки (intermediate cert), что блок server слушает 443 ssl.
Некорректные редиректы (редирект-луп).
Диагностика: curl -I http://site.com, анализ блоков server и условий if.
Траблшутинг: Избегать if где возможно; для HTTP->HTTPS использовать отдельный server блок с return 301 https://
request_uri;.
Статика не кешируется.
Диагностика: curl -I http://site.com/static.css (проверить заголовки Cache-Control, Expires).
Траблшутинг: Настроить location ~* \.(js|css|png)$ { expires 30d; add_header Cache-Control "public"; }.
Ошибка client intended to send too large body (загрузка файлов).
Диагностика: Ошибка в логах при загрузке.
Траблшутинг: Увеличить client_max_body_size 20m; в http или server контексте.
Permission denied в логах.
Диагностика: Логи error.log с Permission denied при доступе к сокету или файлам.
Траблшутинг: Проверить права на сокет PHP-FPM (должен быть доступ на чтение для nginx), права на запись логов (/var/log/nginx/).
Проблемы с upstream (несколько бэкендов).
Диагностика: Проверить доступность бэкендов (curl http://backend:port), логи с ошибками upstream timed out.
Траблшутинг: В блоке upstream проверить адреса и порты, увеличить proxy_connect_timeout, proxy_next_upstream для обработки сбоев.
Ключевые отличия в подходе к траблшутингу:
LDAP: Акцент на логи slapd, проверку cn=config через ldapsearch, целостность БД и работу sssd.
Apache: Центр диагностики — логи ошибок (error_log) и проверка синтаксиса apachectl configtest. Часты проблемы с правами и .htaccess.
Nginx: Первое действие — nginx -t. Ключевая проблема — 502 ошибка и диагностика бэкенда (PHP-FPM). Конфигурация более строгая и модульная.
Ниже представлен ваш текст с подробными комментариями к каждой команде командной строки. Комментарии объясняют назначение команды для траблшутинга и разбирают каждое слово (аргумент).
ТЕХНОЛОГИЯ LDAP В LINUX
1. Невозможно подключиться к серверу
telnet <ldap-server> 389
Что делает: Проверяет, открыт ли сетевой порт 389 на стороне сервера.
Зачем: Позволяет понять, доходит ли сетевой трафик до LDAP или соединение блокируется сетью/брандмауэром.
Разбор: telnet (утилита для интерактивной связи), <ldap-server> (адрес сервера), 389 (стандартный незашифрованный порт LDAP).
nc -zv <ldap-server> 636
Что делает: Сканирует порт 636 (LDAPS) на доступность без передачи данных.
Зачем: Быстрая проверка "прослушивает" ли сервер зашифрованные соединения.
Разбор: nc (netcat — "швейцарский нож" для сети), -z (режим сканирования — не слать данные), -v (verbose — подробный вывод), 636 (порт для LDAP over SSL).
ss -tlnp | grep slapd
Что делает: Показывает, запущен ли процесс slapd и на каком порту локально.
Зачем: Чтобы убедиться, что служба самого сервера LDAP активна и "слушает" сеть.
Разбор: ss (утилита статистики сокетов), -t (TCP-порты), -l (слушающие порты), -n (показывать цифры вместо имен), -p (показать имя процесса), | (перенаправление вывода), grep (поиск строки), slapd (название службы LDAP).
systemctl status slapd
Что делает: Проверяет текущее состояние службы.
Разбор: systemctl (управление системой/службами), status (показать состояние), slapd (служба LDAP).
firewall-cmd --list-all
Что делает: Показывает правила брандмауэра.
Разбор: firewall-cmd (утилита управления Firewalld), --list-all (вывести все активные настройки).
2. Ошибка аутентификации
ldapwhoami -x -D "cn=admin,dc=domain,dc=com" -W
Что делает: Пытается авторизоваться и сообщает, "кто я" для сервера.
Зачем: Проверка корректности логина (DN) и пароля.
Разбор: ldapwhoami (запрос личности), -x (простая аутентификация), -D (Bind DN — логин пользователя), -W (запрос пароля в терминале).
journalctl -u slapd -f
Что делает: Выводит логи службы в реальном времени.
Разбор: journalctl (чтение системного журнала), -u (unit — конкретная служба), slapd (имя службы), -f (follow — режим "слежения" за новыми записями).
slappasswd
Что делает: Генерирует хешированный пароль.
Зачем: Чтобы создать безопасную строку пароля для вставки в конфиг.
3. Ошибка поиска (ACL)
ldapsearch -d1
Что делает: Поиск в базе данных с уровнем отладки 1.
Зачем: Видны детали протокола и на каком этапе сервер сбрасывает соединение или ограничивает доступ.
Разбор: ldapsearch (инструмент поиска), -d1 (debug level 1 — отладка).
4. Проблемы с TLS/SSL
ldapsearch -ZZ
Что делает: Заставляет принудительно использовать расширение StartTLS.
Зачем: Если команда падает — значит, клиент не доверяет сертификату сервера.
Разбор: -ZZ (требовать успешного установления TLS-соединения).
openssl s_client -connect <server>:636
Что делает: Подключается к SSL-порту и выводит информацию о сертификате.
Зачем: Помогает увидеть, не истек ли сертификат и правильная ли цепочка доверия (CA).
Разбор: openssl (инструментарий шифрования), s_client (режим клиента), -connect (адрес и порт для подключения).
5. Ошибка схемы (schema violation)
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=schema,cn=config
Что делает: Выгружает текущие загруженные схемы данных.
Разбор: -Y EXTERNAL (использовать SASL-авторизацию через сокет), -H ldapi:/// (подключение через локальный файл-сокет), -b (base — с какой ветки искать).
7. Проблемы с БД
df -h
Что делает: Показывает свободное место на дисках.
Разбор: df (disk free), -h (human-readable — в Гб и Мб).
db_recover -h /var/lib/ldap
Что делает: Утилита восстановления базы данных Berkeley DB.
Разбор: db_recover (восстановление), -h (home — путь к директории с базой).
8-9. Клиент (SSSD, PAM, NSS)
getent passwd <user>
Что делает: Запрашивает данные о пользователе из системных баз (включая LDAP через SSSD/NSS).
Зачем: Проверка, "видит" ли операционная система пользователя из LDAP.
id <user>
Что делает: Выводит UID, GID и группы пользователя.
ТЕХНОЛОГИЯ Apache В LINUX
1. Сервис не запускается
apachectl configtest (или apache2ctl configtest)
Что делает: Проверяет синтаксис всех конфигурационных файлов.
Зачем: Выявляет пропущенные кавычки, ошибки в путях или опечатки до попытки перезагрузки.
Разбор: apachectl (инструмент управления Apache), configtest (команда проверки конфига).
2. Ошибка 403 Forbidden
ls -la
Что делает: Показывает список файлов с правами доступа и владельцами.
Разбор: ls (list), -l (long — детально), -a (all — включая скрытые).
6. Виртуальные хосты
apachectl -S
Что делает: Выводит список всех распознанных виртуальных хостов (VirtualHosts) с их портами и именами серверов.
Зачем: Помогает понять, какой конфиг перехватывает запрос и нет ли дубликатов ServerName.
7. Проблемы с модулями
httpd -M (или apache2ctl -M)
Что делает: Выводит список всех загруженных динамических и статических модулей.
Разбор: -M (Modules — список модулей).
9. SELinux
getenforce
Что делает: Показывает режим работы SELinux (Enforcing, Permissive или Disabled).
setenforce 0
Что делает: Переводит SELinux в режим "только аудит/мягкий" (Permissive).
Зачем: Если после этого ошибка исчезла — проблема 100% в политиках безопасности SELinux.
chcon -R -t httpd_sys_content_t /var/www/html
Что делает: Меняет тип контекста безопасности для файлов.
Разбор: chcon (change context), -R (рекурсивно), -t (задать тип), httpd_sys_content_t (тип, разрешающий Apache читать файлы).
ТЕХНОЛОГИЯ Nginx В LINUX
1. Nginx не запускается
nginx -t
Что делает: Тестирует конфигурацию на наличие ошибок.
Зачем: Самый первый шаг траблшутинга Nginx. Показывает конкретную строку с ошибкой.
Разбор: nginx (бинарный файл), -t (test configuration).
2. 502 Bad Gateway
ss -lnp | grep :9000
Что делает: Проверяет, запущен ли бэкенд (например, PHP-FPM) на порту 9000.
Зачем: Понять, упал бэкенд или Nginx просто не может до него "достучаться" из-за сетевых настроек.
6. Редирект-луп
curl -I http://site.com
Что делает: Запрашивает только заголовки (Headers) ответа.
Зачем: Позволяет увидеть HTTP-статус (301, 302) и заголовок Location, чтобы понять, куда именно перенаправляет сервер.
Разбор: curl (инструмент передачи данных по URL), -I (fetch headers only).
8. Загрузка больших файлов
client_max_body_size (это директива конфига, а не команда)
Что делает: Ограничивает размер передаваемого тела запроса (например, загружаемого фото).
Краткий итог по инструментам:
Сетевая связность: telnet, nc, ss.
Права и файлы: ls, df, chcon.
Логи: journalctl, tail -f.
Проверка конфигов: nginx -t, apachectl configtest.
ТЕХНОЛОГИЯ LDAP В LINUX
Топ-10 неисправностей и алгоритмы их устранения:
1. Невозможно подключиться к серверу (сетевая проблема)
Диагностика:
telnet <ldap-server> 389
Что делает: Проверяет возможность установить TCP-соединение с портом 389 на LDAP-сервере.
Зачем для траблшутинга: Если соединение не устанавливается, проблема на сетевом уровне (брандмауэр, маршрутизация, сервер не слушает порт).
Разбор команды: telnet - утилита для тестирования TCP-соединений; <ldap-server> - IP-адрес или доменное имя сервера; 389 - стандартный порт LDAP.
nc -zv <ldap-server> 636
Что делает: Проверяет доступность SSL-порта LDAPS (636) без установки полного соединения.
Зачем для траблшутинга: Быстрая диагностика доступности зашифрованного LDAP.
Разбор команды: nc (netcat) - сетевая утилита; -z - режим сканирования портов; -v - подробный вывод; 636 - порт LDAP over SSL.
ss -tlnp | grep slapd
Что делает: Показывает все TCP-порты, которые прослушивает процесс slapd.
Зачем для траблшутинга: Убедиться, что сервер LDAP запущен и слушает нужные порты.
Разбор команды: ss - утилита для просмотра сокетов; -t - только TCP; -l - только слушающие порты; -n - числовые адреса; -p - показать процесс; | - перенаправление вывода; grep - поиск строки; slapd - демон LDAP-сервера.
Траблшутинг:
systemctl status slapd
Что делает: Показывает текущее состояние службы slapd.
Зачем для траблшутинга: Проверить, запущен ли сервис, нет ли ошибок при запуске.
Разбор команды: systemctl - утилита управления systemd; status - команда показа состояния; slapd - имя службы LDAP.
firewall-cmd --list-all
Что делает: Выводит все текущие правила firewalld.
Зачем для траблшутинга: Проверить, открыты ли порты 389 и 636 в брандмауэре.
Разбор команды: firewall-cmd - утилита управления firewalld; --list-all - показать все настройки.
2. Ошибка аутентификации (invalid credentials)
Диагностика:
ldapwhoami -x -D "cn=admin,dc=domain,dc=com" -W
Что делает: Выполняет простую аутентификацию с указанным DN и паролем.
Зачем для траблшутинга: Тестирование правильности учетных данных.
Разбор команды: ldapwhoami - показывает DN аутентифицированного пользователя; -x - простая аутентификация; -D - DN для привязки; "cn=admin,dc=domain,dc=com" - Distinguished Name администратора; -W - запросить пароль интерактивно.
journalctl -u slapd -f
Что делает: Показывает логи службы slapd в реальном времени.
Зачем для траблшутинга: Видеть ошибки аутентификации по мере их возникновения.
Разбор команды: journalctl - просмотр системного журнала; -u - фильтр по юниту службы; slapd - имя службы; -f - следить за новыми записями.
slappasswd
Что делает: Генерирует хешированный пароль для LDAP.
Зачем для траблшутинга: Создание нового пароля для учетных записей LDAP.
Разбор команды: slappasswd - утилита для создания хешей паролей LDAP.
3. Ошибка поиска или неполные результаты (ACL)
Диагностика:
ldapsearch -d1
Что делает: Выполняет поиск с включением отладки уровня 1.
Зачем для траблшутинга: Видеть детали запроса и ответа для диагностики проблем ACL.
Разбор команды: ldapsearch - утилита поиска в LDAP; -d1 - уровень отладки 1.
4. Проблемы с TLS/SSL (сертификаты)
Диагностика:
ldapsearch -ZZ
Что делает: Принудительно использует StartTLS для шифрования соединения.
Зачем для траблшутинга: Проверить работу TLS-шифрования.
Разбор команды: -ZZ - требовать использование StartTLS.
openssl s_client -connect <server>:636
Что делает: Устанавливает SSL-соединение и показывает информацию о сертификате.
Зачем для траблшутинга: Проверить валидность SSL-сертификата.
Разбор команды: openssl - криптографический инструментарий; s_client - SSL/TLS клиент; -connect - указать сервер и порт.
5. Ошибка схемы (schema violation)
Диагностика:
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=schema,cn=config
Что делает: Выполняет поиск в схеме конфигурации через локальный сокет.
Зачем для траблшутинга: Получить информацию о загруженных схемах.
Разбор команды: -Y EXTERNAL - использовать SASL EXTERNAL аутентификацию; -H ldapi:/// - подключиться через Unix-сокет; -b - база поиска.
7. Проблемы с базой данных (BDB/HDB)
Диагностика:
df -h
Что делает: Показывает использование дискового пространства.
Зачем для траблшутинга: Проверить, не закончилось ли место на диске.
Разбор команды: df - disk free; -h - human-readable (читаемый формат).
db_recover -h /var/lib/ldap
Что делает: Восстанавливает базу данных Berkeley DB.
Зачем для траблшутинга: Исправление повреждений БД LDAP.
Разбор команды: db_recover - утилита восстановления БД; -h - домашняя директория БД.
8. Некорректная конфигурация клиента
Диагностика:
getent passwd <ldap-user>
Что делает: Получает информацию о пользователе из системных баз.
Зачем для траблшутинга: Проверить, видит ли система пользователя LDAP.
Разбор команды: getent - получить записи из базы данных; passwd - база пользователей; <ldap-user> - имя пользователя LDAP.
9. Интеграционные проблемы (PAM, NSS)
Диагностика:
id <user>
Что делает: Показывает UID, GID и группы пользователя.
Зачем для траблшутинга: Проверить, правильно ли разрешаются пользователи LDAP.
Разбор команды: id - показать идентификаторы пользователя.
ТЕХНОЛОГИЯ Apache В LINUX
Топ-10 неисправностей и алгоритмы их устранения:
1. Сервис не запускается
Диагностика:
systemctl status httpd/apache2
Что делает: Показывает статус службы Apache.
Зачем для траблшутинга: Увидеть, запущен ли Apache и есть ли ошибки.
Разбор команды: systemctl - управление systemd; status - состояние службы; httpd/apache2 - имя службы в разных дистрибутивах.
journalctl -xe
Что делает: Показывает последние записи журнала systemd с подробным выводом.
Зачем для траблшутинга: Найти ошибки, которые не видны в простом статусе.
Разбор команды: -x - добавить пояснения; -e - перейти к концу журнала.
apachectl configtest
Что делает: Проверяет синтаксис конфигурационных файлов Apache.
Зачем для траблшутинга: Обнаружить синтаксические ошибки до перезапуска.
Разбор команды: apachectl - утилита управления Apache; configtest - проверка конфигурации.
2. Ошибка 403 Forbidden
Диагностика:
ls -la
Что делает: Показывает детальную информацию о файлах с правами доступа.
Зачем для траблшутинга: Проверить права на файлы и каталоги.
Разбор команды: ls - list files; -l - long format; -a - все файлы, включая скрытые.
6. Неработающие виртуальные хосты
Диагностика:
apachectl -S
Что делает: Показывает, как Apache обрабатывает виртуальные хосты.
Зачем для траблшутинга: Увидеть, какие виртуальные хосты активны и их настройки.
Разбор команды: -S - показать настройки виртуальных хостов.
7. Проблемы с модулями
Диагностика:
httpd -M
Что делает: Показывает список загруженных модулей Apache.
Зачем для траблшутинга: Проверить, загружен ли нужный модуль.
Разбор команды: httpd - бинарный файл Apache; -M - list modules.
9. Проблемы с SELinux/AppArmor
Диагностика:
getenforce
Что делает: Показывает текущий режим SELinux.
Зачем для траблшутинга: Узнать, включен ли SELinux.
Разбор команды: getenforce - получить режим работы SELinux.
sealert -a /var/log/audit/audit.log
Что делает: Анализирует аудит-логи SELinux.
Зачем для траблшутинга: Получить понятные объяснения нарушений SELinux.
Разбор команды: sealert - анализатор логов SELinux; -a - проанализировать весь файл.
Траблшутинг:
setenforce 0
Что делает: Переводит SELinux в режим Permissive.
Зачем для траблшутинга: Временно отключить ограничения SELinux для диагностики.
Разбор команды: setenforce - установить режим SELinux; 0 - Permissive режим.
chcon -R -t httpd_sys_content_t /var/www/html
Что делает: Изменяет контекст безопасности SELinux для файлов.
Зачем для траблшутинга: Разрешить Apache доступ к файлам.
Разбор команды: chcon - change context; -R - рекурсивно; -t - установить тип; httpd_sys_content_t - тип для контента Apache.
ТЕХНОЛОГИЯ Nginx В LINUX
Топ-10 неисправностей и алгоритмы их устранения:
1. Nginx не запускается
Диагностика:
systemctl status nginx
Что делает: Показывает статус службы Nginx.
Зачем для траблшутинга: Проверить состояние службы.
Разбор команды: systemctl status nginx - статус службы Nginx.
journalctl -u nginx
Что делает: Показывает логи службы Nginx.
Зачем для траблшутинга: Найти ошибки запуска.
Разбор команды: journalctl -u nginx - логи конкретной службы.
nginx -t
Что делает: Проверяет синтаксис конфигурационных файлов Nginx.
Зачем для траблшутинга: Первая команда при проблемах с Nginx - проверка конфигурации.
Разбор команды: nginx - бинарный файл Nginx; -t - test configuration.
2. 502 Bad Gateway
Диагностика:
systemctl status php-fpm
Что делает: Показывает статус PHP-FPM.
Зачем для траблшутинга: Проверить, работает ли бэкенд.
Разбор команды: systemctl status php-fpm - статус PHP-FPM.
ss -lnp | grep :9000
Что делает: Проверяет, слушает ли что-то порт 9000.
Зачем для траблшутинга: Убедиться, что PHP-FPM слушает ожидаемый порт/сокет.
Разбор команды: ss - socket statistics; -l - listening sockets; -n - numeric; -p - show process; grep :9000 - поиск порта 9000.
6. Некорректные редиректы
Диагностика:
curl -I http://site.com
Что делает: Запрашивает только заголовки HTTP-ответа.
Зачем для траблшутинга: Увидеть заголовки редиректов.
Разбор команды: curl - утилита передачи данных; -I - запросить только заголовки.
8. Ошибка client intended to send too large body
Диагностика:
client_max_body_size 20m; (директива Nginx, а не команда)
Что делает: Устанавливает максимальный размер тела запроса.
Зачем для траблшутинга: Разрешить загрузку больших файлов.
Разбор директивы: client_max_body_size - максимальный размер тела; 20m - 20 мегабайт.
Ключевые отличия в подходе к траблшутингу:
LDAP: Акцент на логи slapd, проверку cn=config через ldapsearch, целостность БД и работу sssd.
Apache: Центр диагностики — логи ошибок (error_log) и проверка синтаксиса apachectl configtest. Часты проблемы с правами и .htaccess.
Nginx: Первое действие — nginx -t. Ключевая проблема — 502 ошибка и диагностика бэкенда (PHP-FPM). Конфигурация более строгая и модульная.
ACTIVE DIRECTORY
Проблемы входа в домен.
Диагностика: nltest /sc_verify:domain.com, dcdiag /test:netlogons, проверка часов (w32tm /query /status).
Траблшутинг: Проверить сетевое подключение к DC, синхронизацию времени, перезапустить Netlogon, проверить SVC-записи DNS.
Ошибки репликации между DC.
Диагностика: repadmin /replsummary, repadmin /showrepl, dcdiag /test:replications.
Траблшутинг: Проверить сеть, разрешение имен, repadmin /syncall /AdeP, очистку мусора (repadmin /removelingeringobjects).
Проблемы с DNS.
Диагностика: nslookup dc1.domain.com, dcdiag /test:dns, ipconfig /all на клиенте.
Траблшутинг: Убедиться, что DC используют себя для DNS, проверить SRV-записи (_ldap._tcp.dc._msdcs), очистить кэш (dnscmd /clearcache).
Ошибки групповых политик (GPO).
Диагностика: gpresult /h report.html, rsop.msc, dcdiag /test:kccevent, журналы GroupPolicy (4096, 4097).
Траблшутинг: gpupdate /force, проверить права Authenticated Users:Read, сетевое подключение к \domain.com\SYSVOL, репликацию SYSVOL.
Сбои служб на DC.
Диагностика: services.msc, проверка Netlogon, DNS Server, Kerberos Key Distribution Center.
Траблшутинг: Перезапустить службы, проверить зависимости, посмотреть журнал событий System.
Проблемы доверия между лесами/доменами.
Диагностика: nltest /domain_trusts /all_trusts, netdom trust <trusting-domain> /verify.
Траблшутинг: Проверить сетевую связность и DNS между доменами, сбросить и пересоздать trust, проверить пароли trust.
Блокировка учетных записей.
Диагностика: Event ID 4740 на DC, net accounts /domain.
Траблшутинг: Сбросить политику блокировки в Default Domain Policy, найти источник (старый пароль на устройстве, скрипт) через журналы.
Медленная обработка входа / поиск в AD.
Диагностика: dcdiag /test:advertising /test:fsmocheck, repadmin /latency, мониторинг ресурсов DC.
Траблшутинг: Дефрагментация базы AD (ntdsutil), оптимизация индексов ГП, проверка сетевых задержек.
Проблемы с сертификатами (AD CS).
Диагностика: certutil -viewstore "ldap:///cn=...", журналы AD CS.
Траблшутинг: Перевыпустить сертификаты, проверить шаблоны и права, убедиться в доступности http://<ca>/certsrv.
"Критическая" ошибка репликации (USN rollback).
Диагностика: Event ID 2095, dcdiag /test:replications с ошибкой lingering objects.
Траблшутинг: Не перезагружать! Использовать repadmin /replsummary для поиска проблемного DC. Восстановить из бекапа или использовать repadmin /removelingeringobjects.
DHCP (РОЛЬ WINDOWS SERVER)
Окончание пула адресов.
Диагностика: Консоль DHCP -> Область -> Статистика. Event ID 1002.
Траблшутинг: Увеличить диапазон, уменьшить время аренды (lease), проверить на наличие посторонних DHCP-серверов.
Конфликт IP-адресов.
Диагностика: Event ID 50 в журнале DHCP-сервера, жалобы пользователей.
Траблшутинг: Включить проверку конфликтов в свойствах области (Conflict Detection Attempts > 1), очистить аренды.
DHCP-сервер не отвечает.
Диагностика: Служба DHCP Server остановлена, Event ID 1000. netstat -an | findstr :67.
Траблшутинг: Запустить службу, проверить авторизацию сервера в AD (dhcpexim.exe), правила брандмауэра для портов 67,68.
Клиенты не получают адрес (ошибка "Нет доступных DHCP-серверов").
Диагностика: ipconfig /release, ipconfig /renew. Проверить ретрансляцию DHCP (IP Helper) на маршрутизаторах.
Траблшутинг: Настроить DHCP Relay (агент ретрансляции) на роутерах/L3-коммутаторах, указав адрес DHCP-сервера.
Некорректные параметры (шлюз, DNS).
Диагностика: ipconfig /all на клиенте, проверить параметры области в консоли DHCP.
Траблшутинг: Исправить 003 Маршрутизатор (шлюз) и 006 DNS-серверы в настройках области или параметрах сервера.
Отказ отказовоустойчивости (failover).
Диагностика: Консоль DHCP -> Фильтр "Состояние отношений". Event ID 26 (разрыв связи).
Траблшутинг: Проверить сетевую связность между партнерами, перезапустить службу DHCP, перезагрузить отношения failover.
Проблемы с динамическим обновлением DNS.
Диагностика: ipconfig /registerdns на клиенте. В консоли DHCP: Свойства сервера -> DNS.
Траблшутинг: Включить опцию "Всегда обновлять DNS". Проверить учетные данные для безопасного обновления (права в DNS).
Невозможно авторизовать сервер в AD.
Диагностика: Сервер в статусе "Не авторизован" (красный крест). Event ID 1046.
Траблшутинг: Убедиться, что сервер член домена. Добавить сервер в группу Enterprise Admins, использовать netsh dhcp add server.
Ошибки при миграции или восстановлении.
Диагностика: Отсутствуют области после восстановления.
Траблшутинг: Использовать netsh dhcp server export/import. Восстановить из бекапа с помощью Windows Server Backup.
Утечка адресов из-за резервирований.
Диагностика: Адреса из пула заняты резервированиями для несуществующих устройств.
Траблшутинг: Провести аудит резервирований (Адреса -> Зарезервированные адреса), удалить устаревшие.
DNS (РОЛЬ WINDOWS SERVER)
Невозможно разрешить имена с клиентов.
Диагностика: nslookup google.com, ping -a <IP>, dcdiag /test:dns.
Траблшутинг: Проверить ipconfig /all (правильные DNS-серверы на клиенте). Перезапустить службу DNS Client и DNS Server. Очистить кэш (ipconfig /flushdns, dnscmd /clearcache).
Ошибки репликации зон (AD-integrated).
Диагностика: В консоли DNS зона с красным значком. repadmin /replsummary.
Траблшутинг: Проверить репликацию AD (см. выше). Убедиться, что все DC являются DNS-серверами.
Ошибка "Сервер не ответил" или таймаут.
Диагностика: nslookup, Test-NetConnection -ComputerName <dns-server> -Port 53.
Траблшутинг: Проверить запуск службы DNS Server, правила брандмауэра для порта 53 (TCP/UDP), сетевое подключение.
Некорректное делегирование подзоны.
Диагностика: nslookup sub.domain.com возвращает ошибку non-existent domain.
Траблшутинг: Проверить в родительской зоне наличие и корректность записей NS и A (glue) для подзоны.
Проблемы с обратными зонами (PTR).
Диагностика: nslookup <ip-адрес> не возвращает имя.
Траблшутинг: Создать/проверить наличие обратной зоны (например, 10.in-addr.arpa). Настроить автоматическое обновление из прямой зоны.
Не обновляются динамические записи.
Диагностика: Новые компьютеры не появляются в DNS. Журнал событий DNS (Event ID 4015).
Траблшутинг: Проверить свойства зоны -> "Разрешить безопасные и небезопасные обновления". Проверить права Authenticated Users на запись в зону.
Некорректные корневые подсказки (root hints).
Диагностика: Не работает разрешение внешних имен (nslookup yandex.ru.), но внутренние работают.
Траблшутинг: Проверить/обновить корневые подсказки (Сервер -> Свойства -> Корневые подсказки). Указать корректные forwarders.
Циклическая зависимость DNS.
Диагностика: Сервер указывает на себя как на DNS, служба зависает или долго запускается.
Траблшутинг: В свойствах сетевого адаптера сервера указать другой DNS (другой DC) или свой обратный адрес (127.0.0.1) вторичным.
Не разрешаются имена после настройки Conditional Forwarder.
Диагностика: Запросы к определенному домену не проходят.
Траблшутинг: Проверить корректность IP-адресов целевых серверов в условной пересылке. Проверить сетевую связность с ними.
Переполнение кэша или устаревшие записи.
Диагностика: DNS возвращает старый (неверный) IP-адрес для ресурса.
Траблшутинг: Очистить кэш сервера (dnscmd /clearcache). Уменьшить время жизни (TTL) для часто меняющихся записей.
ACTIVE DIRECTORY
Топ-10 неисправностей и алгоритмы их устранения:
1. Проблемы входа в домен
Диагностика:
nltest /sc_verify:domain.com
Что делает: Проверяет состояние безопасного канала (secure channel) между локальным компьютером и контроллером домена (DC).
Зачем для траблшутинга: Убедиться, что доверительные отношения между рабочей станцией и доменом не нарушены.
Разбор команды: nltest — диагностическая утилита сетевого входа; /sc_verify — проверка защищенного канала для указанного домена.
dcdiag /test:netlogons
Что делает: Проверяет, готов ли контроллер домена выполнять функции входа (проверка общих папок Netlogon и Sysvol).
Зачем для траблшутинга: Исключить проблемы на стороне сервера при невозможности логина пользователей.
Разбор команды: dcdiag — основной инструмент диагностики DC; /test:netlogons — запуск конкретного теста сетевой службы входа.
w32tm /query /status
Что делает: Показывает текущий статус службы времени и источник синхронизации.
Зачем для траблшутинга: Kerberos (протокол аутентификации AD) не работает, если разница во времени между клиентом и DC более 5 минут.
Разбор команды: w32tm — утилита управления временем Windows; /query /status — запрос текущего состояния.
Траблшутинг:
Проверить сетевое подключение к DC, синхронизировать время, перезапустить службу Netlogon, проверить наличие SRV-записей в DNS.
2. Ошибки репликации между DC
Диагностика:
repadmin /replsummary
Что делает: Выводит сводную таблицу состояния репликации для всех контроллеров в лесу.
Зачем для траблшутинга: Быстро найти "отставшие" или недоступные DC по количеству ошибок и времени последней репликации.
Разбор команды: repadmin — основной инструмент управления репликацией AD; /replsummary — краткая сводка.
repadmin /showrepl
Что делает: Показывает подробный отчет о входящей репликации для конкретного DC.
Зачем для траблшутинга: Увидеть конкретные коды ошибок (например, "Access Denied" или "RPC Server Unavailable").
dcdiag /test:replications
Что делает: Проверяет наличие ошибок репликации в журналах событий сервера.
Зачем для траблшутинга: Автоматизированный поиск проблем в инфраструктуре репликации.
Траблшутинг:
repadmin /syncall /AdeP
Что делает: Запускает принудительную репликацию на всех разделах со всеми партнерами.
Разбор ключей: A — все разделы; d — по именам серверов; e — между сайтами; P — push (отправка изменений).
Использовать repadmin /removelingeringobjects для очистки "мусорных" объектов, которые мешают репликации.
3. Проблемы с DNS (в контексте AD)
Диагностика:
nslookup dc1.domain.com
Что делает: Прямой запрос к DNS для разрешения имени контроллера домена.
Зачем для траблшутинга: Проверить, работает ли разрешение имен базовых узлов сети.
dcdiag /test:dns
Что делает: Комплексная проверка DNS: регистрация записей, делегирование, форвардеры.
Зачем для траблшутинга: Обнаружить отсутствие критических SRV-записей, без которых AD не функционирует.
Траблшутинг:
dnscmd /clearcache
Что делает: Очищает кэш сервера DNS.
Зачем для траблшутинга: Удалить устаревшие или неверные записи из памяти сервера.
4. Ошибки групповых политик (GPO)
Диагностика:
gpresult /h report.html
Что делает: Генерирует визуальный HTML-отчет о примененных (и непримененных) политиках.
Зачем для траблшутинга: Понять, почему конкретная настройка не применилась к пользователю или компьютеру.
Разбор команды: /h — формат вывода HTML.
rsop.msc
Что делает: Запускает графическую оснастку "Результирующая политика".
Зачем для траблшутинга: Интерактивный просмотр итоговых настроек GPO.
Траблшутинг:
gpupdate /force
Что делает: Принудительно обновляет групповые политики, игнорируя оптимизацию (перечитывает всё даже если не было изменений).
7. Блокировка учетных записей
Диагностика:
Event ID 4740 в журнале событий "Безопасность" на DC.
Что делает: Содержит информацию о том, с какого компьютера пришел запрос, вызвавший блокировку.
Зачем для траблшутинга: Найти источник (забытый пароль в мобильном телефоне, старая служба или скрипт).
Траблшутинг:
net accounts /domain
Что делает: Показывает текущие настройки политики паролей и блокировок в домене.
DHCP (РОЛЬ WINDOWS SERVER)
Топ-10 неисправностей и алгоритмы их устранения:
1. Окончание пула адресов
Диагностика:
Event ID 1002 в журнале приложений. Свидетельствует о нехватке свободных IP.
Траблшутинг:
Увеличить диапазон (Scope), уменьшить время аренды (Lease time), чтобы неиспользуемые адреса быстрее возвращались в пул.
3. DHCP-сервер не отвечает
Диагностика:
netstat -an | findstr :67
Что делает: Проверяет, прослушивает ли сервер порт 67 (UDP).
Зачем для траблшутинга: Если порт не слушается, служба DHCP либо остановлена, либо зависла.
Разбор команды: findstr :67 — фильтрация по номеру порта DHCP.
Траблшутинг:
Перезапустить службу, проверить авторизацию сервера в AD через netsh dhcp add server (сервер не будет раздавать IP, пока не авторизован в домене).
4. Клиенты не получают адрес (Relay Agent)
Диагностика:
ipconfig /release и ipconfig /renew на стороне клиента.
Что делает: Освобождает текущий IP и запрашивает новый.
Траблшутинг:
Если клиент в другой подсети — настроить DHCP Relay (IP Helper) на маршрутизаторе, чтобы широковещательные запросы клиента доходили до сервера.
DNS (РОЛЬ WINDOWS SERVER)
Топ-10 неисправностей и алгоритмы их устранения:
1. Невозможно разрешить имена с клиентов
Диагностика:
nslookup google.com
Что делает: Проверяет работу DNS-сервера (разрешение имен).
Разбор вывода: Если выдает Server failed или Timed out, проблема либо в форвардерах, либо в доступности DNS-сервера.
Траблшутинг:
ipconfig /flushdns
Что делает: Очищает локальный кэш имен на компьютере клиента. Это решает проблему, если в кэше "застрял" неверный IP-адрес.
3. Сервер не ответил (порт 53)
Диагностика:
Test-NetConnection <IP> -Port 53
Что делает: Проверяет доступность порта 53 по протоколам TCP/UDP (в современных ОС Windows).
Зачем для траблшутинга: Проверка брандмауэра и сетевой доступности службы.
5. Проблемы с обратными зонами (PTR)
Диагностика:
nslookup <IP-адрес>
Что делает: Пытается найти имя хоста по его IP (обратный запрос).
Зачем для траблшутинга: Многие сервисы (почтовые серверы, логирование) требуют корректной PTR-записи.
Общий совет по Windows ролям: Всегда начинайте диагностику с просмотра Event Viewer (Журнал событий), обращая внимание на критические ошибки в разделах System, Directory Service (для AD), DNS Server и DHCP.
WSUS (Windows Server Update Services)
Клиенты не подключаются/не видят сервер.
Диагностика: На клиенте wuauclt /detectnow, gpresult /h, журналы WindowsUpdate.log.
Траблшутинг: Проверить Настройки->Обновление->Дополнительные параметры->Выбрать источник обновлений. Убедиться, что в GPO или реестре (WUServer) указан правильный адрес WSUS.
Ошибка синхронизации с Microsoft Update.
Диагностика: В консоли WSUS: Синхронизации, статус "Ошибка". Журнал событий Application с источником Windows Server Update Services.
Траблшутинг: Проверить сетевой доступ сервера к update.microsoft.com. Проверить настройки прокси в Параметры->Основные->Прокси-сервер. Очистить SSL-кэш.
База данных WSUS переполнена/нестабильна (WID/SQL).
Диагностика: Медленная работа консоли, ошибки SQL, диск C: переполнен.
Траблшутинг: Запустить скрипт очистки WSUS (wsusutil cleanup). Перенести базу на другой диск, настроить сжатие SQL.
Обновления не скачиваются/зависают при загрузке.
Диагностика: В консоли WSUS: статус обновлений "Загрузка не запущена". Ошибки в журнале WSUS.
Траблшутинг: Проверить свободное место на диске хранения обновлений. Перезапустить службы Update Services и WSUS. Сбросить хранилище обновлений.
Обновления не утверждаются автоматически.
Диагностика: В консоли: Параметры->Автоматические утверждения. Правила не срабатывают.
Траблшутинг: Проверить, что правило включено, корректно настроены классификации продуктов. Запустить задание ScheduledInstallTask в Планировщике заданий на WSUS.
Клиенты имеют статус "Не требуется" на критических обновлениях.
Диагностика: В отчетах WSUS клиенты не устанавливают обновления.
Траблшутинг: На клиенте: wuauclt /resetauthorization /detectnow. Удалить папку SoftwareDistribution и перезапустить службу Windows Update. Проверить состояние клиента в оснастке Target Computers.
Ошибки криптографии/SSL (особенно при использовании HTTPS).
Диагностика: Ошибки 0x80244022 на клиентах. В журнале событий SSL-ошибки.
Траблшутинг: Убедиться, что SSL-сертификат доверенный и не просрочен. Импортировать корневой сертификат ЦС в хранилище Доверенные корневые центры сертификации клиентов.
Не скачиваются обновления для определенных продуктов.
Диагностика: В отчетах нет обновлений для конкретной ОС (Windows 11, Server 2025).
Траблшутинг: В Параметры->Продукты и классификации отметить нужные продукты. Перезапустить синхронизацию.
Проблемы с группировкой компьютеров.
Диагностика: Клиенты не попадают в нужные группы в консоли WSUS.
Траблшутинг: Проверить GPO (Enable client-side targeting) или настройки на самом сервере WSUS (Target group). Убедиться, что клиент перезагружен после применения политики.
Ошибки установки обновлений на клиентах.
Диагностика: На клиенте: код ошибки в центре обновлений (например, 0x80070...). Журнал C:\Windows\WindowsUpdate.log.
Траблшутинг: Запустить Устранение неполадок с обновлением Windows. Остановить службу Windows Update, удалить папку C:\Windows\SoftwareDistribution, перезапустить службу.
Print Server (Сервер печати)
Принтер не добавляется на сервер.
Диагностика: Ошибка "Драйвер недоступен" или "Не удалось подключиться".
Траблшутинг: Установить драйвер вручную (x64 для сервера, x86 для 32-битных клиентов). Проверить сетевой доступ к принтеру (ping, порт 9100). Добавить через IP-порт.
Клиенты не могут подключиться к общему принтеру.
Диагностика: Ошибка "Нет доступа" при добавлении сетевого принтера.
Траблшутинг: Проверить общий доступ (Свойства принтера->Доступ). Проверить разрешения NTFS и общего доступа. Отключить брандмауэр для теста (File and Printer Sharing).
Очередь печати зависает/принтер не печатает.
Диагностика: Задания в статусе "Печатается" или "Ожидание". Остановлена служба Диспетчер печати.
Траблшутинг: Перезапустить службу Spooler. Очистить папку C:\Windows\System32\spool\PRINTERS. Перезагрузить принтер физически.
Ошибка "Нет подходящего драйвера" для клиентов разных архитектур.
Диагностика: 32-битный клиент не находит драйвер для принтера с сервера.
Траблшутинг: На сервере: Свойства сервера->Драйверы->Добавить драйвер и выбрать дополнительные архитектуры (x86, ARM64).
Задания печати пропадают или не отправляются.
Диагностика: Задание исчезает из очереди без печати.
Траблшутинг: Проверить настройки принтера: "Использовать очередь…" должен быть включен. Проверить драйвер, заменить на "Универсальный драйвер печати (v4)".
Медленная печать или искаженный вывод.
Диагностика: Текст печатается криво, графики рыхлые.
Траблшутинг: Сменить драйвер на более новый или PCL/PS версию. В настройках принтера отключить "Встраивание шрифтов". Увеличить объем памяти принтера в настройках порта.
Проблемы с правами и делегированием управления.
Диагностика: Пользователи не могут управлять своими заданиями, администраторы не могут удалять чужие.
Траблшутинг: Настроить права безопасности на самом объекте принтера (Управление документами, Управление принтером) для нужных групп.
Сервер печати не публикуется в Active Directory.
Диагностика: Принтер не отображается при поиске в AD.
Траблшутинг: В свойствах принтера на вкладке "Доступ" поставить галочку "Перечислить в каталоге". Убедиться, что служба Диспетчер печати запущена под учетной записью домена.
Проблемы после миграции сервера печати.
Диагностика: Клиенты не печатают после переноса очередей.
Траблшутинг: Использовать PrintBRM для экспорта/импорта настроек. Обновить GPO, указывающие на старый сервер печати. Перезапустить службу Spooler на клиентах.
Ошибки "Диск spool переполнен".
Диагностика: Ошибки в журнале событий, задания не добавляются.
Траблшутинг: Освободить место на системном диске. Перенести каталог очереди печати на другой диск через реестр (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers).
File Server (Файловый сервер)
"Нет доступа к папке" / "Отказано в доступе".
Диагностика: icacls <путь> или Get-Acl. Проверить эффективные права через "Свойства->Безопасность->Дополнительно->Просмотр эффективных прав".
Траблшутинг: Проверить наследование (включить/отключить). Упростить структуру прав (группы вместо пользователей). Проверить группу "Пользователи домашней группы" в запрещающих правилах.
Блокировка файлов открытой сессией (SMB).
Диагностика: Нельзя удалить/переименовать файл. Оснастка Управление компьютером->Общие папки->Открытые файлы.
Траблшутинг: Найти и отключить сессию пользователя. В крайнем случае — net session \client /delete. Настроить Shadow Copies для обхода блокировок.
Достигнуто ограничение на длину пути (260 символов).
Диагностика: Ошибка при копировании файлов с глубокой вложенностью.
Траблшутинг: Включить поддержку длинных путей через GPO (Политика локального компьютера->Административные шаблоны->Система->Файловая система->Win32->Включить длинные пути). Использовать \\?\ префикс.
Медленная передача файлов по сети.
Диагностика: robocopy с таймингом. Get-SmbConnection. Анализ загрузки сети (Performance Monitor).
Траблшутинг: Отключить SMB signing если сеть доверенная. Обновить драйверы сетевой карты. Увеличить размер окна SMB (Set-SmbServerConfiguration -MaxMpxCount 1024). Перейти на SMB 3.1.1.
Проблемы с квотами (дисковыми квотами).
Диагностика: Ошибка "Недостаточно места на диске" при наличии свободного.
Траблшутинг: В Свойства диска->Квоты проверить и изменить лимиты. Отключить квоты временно. Очистить корзину $RECYCLE.BIN.
DFS Replication (DFSR) не реплицирует данные.
Диагностика: В оснастке DFS Management статус репликации "Ошибка". Журналы DFS Replication.
Траблшутинг: Проверить сетевое подключение между узлами. Очистить папку ConflictAndDeleted и PreExisting. Запустить dfsrdiag для диагностики.
Сбои теневых копий (Shadow Copies/VSS).
Диагностика: В Свойства тома->Теневые копии ошибки создания.
Траблшутинг: Освободить место на томе (минимум 10%). Проверить службу Volume Shadow Copy. Изменить расписание и лимит места.
Ошибки при доступе из разных версий ОС (SMB1/SMB2).
Диагностика: Windows XP/старое оборудование не видит общие папки.
Траблшутинг: НЕ РЕКОМЕНДУЕТСЯ. Только временно: включить SMB1 через "Добавление ролей и компонентов->Служба поддержки SMB 1.0". Лучшее решение — обновить клиента.
Проблемы с символическими ссылками (симлинками) и их безопасностью.
Диагностика: Пользователь получает доступ к файлам вне разрешенного каталога.
Траблшутинг: Отключить следование симлинкам через политики безопасности (Policies\Windows Settings\Security Settings\Local Policies\Security Options — Вызовы подсистемы POSIX). Использовать Access-Denied Assistance.
Ошибки после миграции файлового сервера или изменения прав.
Диагностика: Утеряны владельцы файлов (S-1-5-21... вместо имен).
Траблшутинг: Восстановить права через icacls /restore. Использовать SetACL для массового сброса. При миграции использовать robocopy /copyall /secfix.
Архивация данных (Backup)
Недостаточно места на целевом хранилище (диске/ленте).
Диагностика: Ошибка в отчете архивации. Проверить емкость целевого диска/пула.
Траблшутинг: Добавить новые диски в пул. Очистить старые/ненужные бекапы. Увеличить емкость хранилища.
Архивация не запускается (ошибка планировщика/задачи).
Диагностика: Задача в планировщике не выполнена. Журнал событий Task Scheduler.
WSUS (Windows Server Update Services)
Топ-10 неисправностей и алгоритмы их устранения:
1. Клиенты не подключаются/не видят сервер
Диагностика:
wuauclt /detectnow (на клиенте)
Что делает: Ускоряет обнаружение доступных обновлений и проверку конфигурации клиента.
Зачем для траблшутинга: Заставляет клиента немедленно проверить политики WSUS вместо ожидания стандартного цикла (20+ минут).
Разбор команды: /detectnow — это ключ, который имитирует событие "обнаружение" и запускает проверку.
gpresult /h report.html (на клиенте)
Что делает: Создает HTML-отчет с полной информацией о примененных групповых политиках.
Зачем для траблшутинга: Проверить, что политика обновлений WSUS (например, "Укажите расположение службы обновления Microsoft в интрасети") действительно применена к компьютеру.
Ключевые параметры GPO: WUServer и WUStatusServer в реестре (путь: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate).
WindowsUpdate.log (старый формат) или события в Журнале событий (новые версии Windows)
Что делает: Записывает все шаги процесса обновления — от обнаружения сервера до установки.
Зачем для траблшутинга: Конкретные коды ошибок (например, 0x80244022 — проблема с SSL или доступом к серверу).
Траблшутинг:
Проверить настройки клиента:
Убедиться, что в GPO или локально в реестре указан правильный адрес WSUS (например, http://wsus-server:8530)
Проверить, что клиент находится в домене (если используется групповые политики)
Проверить сетевое подключение к серверу WSUS (порт 8530 для HTTP, 8531 для HTTPS)
2. Ошибка синхронизации с Microsoft Update
Диагностика:
В консоли WSUS: Синхронизации > Последние результаты
Что делает: Показывает статус последней попытки синхронизации с внешним сервером Microsoft.
Зачем для траблшутинга: Быстро определить, есть ли проблемы на стороне сервера WSUS (например, "Не удалось получить обновления").
Ошибки: Часто связаны с сетью, SSL или конфигурацией прокси.
Траблшутинг:
Проверить сетевой доступ:
ping update.microsoft.com — базовый тест
Test-NetConnection -ComputerName update.microsoft.com -Port 443 — проверка HTTPS порта
Проверить прокси в WSUS:
Консоль WSUS > Параметры > Основные > Прокси-сервер
Убедиться, что прокси настроен правильно (если используется в сети)
Очистить SSL-кэш:
Команда на сервере WSUS: netsh winhttp reset proxy — очищает кэш прокси/SSL
Перезапустить службу WSUS после этого
3. База данных WSUS переполнена/нестабильна (WID/SQL)
Диагностика:
Медленная работа консоли — операции занимают минуты вместо секунд
Ошибки SQL в журналах событий (например, "не удалось подключиться к базе данных")
Диск C: переполнен — файлы базы данных WID находятся в C:\Windows\Microsoft.NET\Framework\...\Data
Траблшутинг:
wsusutil cleanup
Что делает: Удаляет старые, неиспользуемые обновления и очищает базу данных.
Зачем для траблшутинга: Освободить место на диске и улучшить производительность.
ВАЖНО: Выполнять на сервере WSUS из командной строки с правами администратора.
Перенос базы на другой диск:
Для WID: использовать wsusutil movecontent <путь>
Для SQL: перестроить базу на другом диске через SQL Management Studio
4. Обновления не скачиваются/зависают при загрузке
Диагностика:
В консоли WSUS: Обновления > Статус "Загрузка не запущена"
Фильтр по статусу загрузки показывает обновления, которые не начали скачиваться
Журнал WSUS (Application событий) — ошибки типа "не удалось скачать файл"
Траблшутинг:
Проверить свободное место на диске хранения обновлений:
Обычно в C:\WSUS\WSUSContent или настроенном пути
Минимум 100 GB свободного пространства рекомендуется
Перезапустить службы:
Update Services (главная служба WSUS)
WSUS (дополнительные службы)
Сбросить хранилище обновлений:
В крайнем случае: удалить содержимое папки WSUSContent и разрешить повторную загрузку
5. Обновления не утверждаются автоматически
Диагностика:
В консоли WSUS: Параметры > Автоматические утверждения
Проверить, что правила активны (галочка "Включено")
Проверить классификации продуктов (например, включены "Критические обновления", "Обновления безопасности")
Траблшутинг:
Проверить планировщик заданий на WSUS:
Открыть Планировщик заданий > Microsoft > Windows > Windows Server Update Services
Убедиться, что задача ScheduledInstallTask запускается регулярно
Перезапустить автоматическое утверждение:
Временно отключить правило, затем включить снова
Проверить журнал автоматических утверждений в консоли WSUS
6. Клиенты имеют статус "Не требуется" на критических обновлениях
Диагностика:
В отчетах WSUS: Компьютеры > Конкретный компьютер > Статус обновлений
Фильтр по статусу "Не требуется" показывает обновления, которые клиент считает ненужными (часто из-за проблем с оценкой состояния)
Траблшутинг:
На клиенте выполнить:
wuauclt /resetauthorization — сбросить авторизацию с сервером WSUS
wuauclt /detectnow — немедленно выполнить обнаружение
Очистить папку SoftwareDistribution на клиенте:
Остановить службу Windows Update
Удалить папку C:\Windows\SoftwareDistribution
Запустить службу Windows Update
Проверить состояние клиента в оснастке WSUS:
Целевые компьютеры > Состояние клиента (убедиться, что клиент "активен")
7. Ошибки криптографии/SSL (особенно при использовании HTTPS)
Диагностика:
Ошибка 0x80244022 на клиентах — означает проблему с SSL/TLS
Журнал событий на сервере WSUS: SSL-ошибки в журнале Application
Траблшутинг:
Проверить SSL-сертификат:
Убедиться, что сертификат не просрочен
Проверить, что сертификат доверенный (выпущен доверенным ЦС)
Импортировать корневой сертификат на клиенты:
Если используется внутренний ЦС, корневой сертификат должен быть в хранилище "Доверенные корневые центры сертификации" на всех клиентах
Можно распространить через групповые политики
8. Не скачиваются обновления для определенных продуктов
Диагностика:
В отчетах WSUS: отсутствие обновлений для конкретной ОС (например, Windows 11 или Server 2025)
Фильтр по продуктам показывает только старые версии Windows
Траблшутинг:
В консоли WSUS: Параметры > Продукты и классификации
Продукты: выбрать нужные операционные системы (например, "Windows 11", "Windows Server 2025")
Классификации: выбрать типы обновлений ("Критические", "Обновления безопасности", "Драйверы")
Перезапустить синхронизацию после изменения настроек
В консоли WSUS: Синхронизация > Синхронизировать сейчас
Print Server (Сервер печати)
Топ-10 неисправностей и алгоритмы их устранения:
1. Принтер не добавляется на сервер
Диагностика:
Ошибка "Драйвер недоступен" — означает, что сервер не может найти подходящий драйвер
Ошибка "Не удалось подключиться" — сетевые проблемы или неправильный порт
Траблшутинг:
Установить драйвер вручную:
Для сервера: x64 драйверы (64-битная система)
Для клиентов 32-bit: добавить x86 драйверы через "Дополнительные драйверы" в свойствах сервера
Проверить сетевой доступ:
ping <IP-принтера> — проверка доступности
Test-NetConnection -ComputerName <IP-принтера> -Port 9100 — проверка порта печати (обычно 9100)
Добавить через IP-порт:
Вместо автоматического обнаружения добавить принтер как "TCP/IP порт" с указанием IP адреса
?????????????????,???:
Траблшутинг (вторая часть):
2. Клиенты не могут подключиться к общему принтеру
Диагностика:
Ошибка "Нет доступа" при попытке добавить сетевой принтер с сервера
Проверить журнал событий безопасности на сервере для событий отказа в доступе
Траблшутинг:
Проверить общий доступ:
В Свойства принтера > Доступ убедиться, что галочка "Общий доступ к этому принтеру" активна
Проверить имя общего ресурса (например, "HP_LaserJet")
Проверить разрешения:
NTFS права на папке драйвера (обычно C:\Windows\System32\spool\drivers)
Права общего доступа — группа "Все" должна иметь право "Чтение"
Временное отключение брандмауэра:
Для теста отключить правила брандмауэра для "File and Printer Sharing"
Если печать начинает работать — настроить корректные правила брандмауэра
3. Очередь печати зависает/принтер не печатает
Диагностика:
Задания в статусе "Печатается" без реальной печати
Задания в статусе "Ожидание" — очередь не продвигается
Служба Диспетчер печати (Spooler) остановлена или перезапускается
Траблшутинг:
Перезапустить службу Spooler:
services.msc > найти "Диспетчер печати"
Остановить службу > запустить службу
Очистить папку PRINTERS:
Удалить все файлы в C:\Windows\System32\spool\PRINTERS
ВНИМАНИЕ: это удаляет все ожидающие задания!
Перезагрузить принтер физически:
Отключить питание принтера > подождать 30 секунд > включить
Проверить сетевое подключение принтера (если сетевой)
File Server (Файловый сервер)
"Нет доступа к папке" / "Отказано в доступе".
Диагностика: icacls <путь> или Get-Acl. Проверить эффективные права через "Свойства->Безопасность->Дополнительно->Просмотр эффективных прав".
Траблшутинг: Проверить наследование (включить/отключить). Упростить структуру прав (группы вместо пользователей). Проверить группу "Пользователи домашней группы" в запрещающих правилах.
Блокировка файлов открытой сессией (SMB).
Диагностика: Нельзя удалить/переименовать файл. Оснастка Управление компьютером->Общие папки->Открытые файлы.
Траблшутинг: Найти и отключить сессию пользователя. В крайнем случае — net session \client /delete. Настроить Shadow Copies для обхода блокировок.
Достигнуто ограничение на длину пути (260 символов).
Диагностика: Ошибка при копировании файлов с глубокой вложенностью.
Траблшутинг: Включить поддержку длинных путей через GPO (Политика локального компьютера->Административные шаблоны->Система->Файловая система->Win32->Включить длинные пути). Использовать \\?\ префикс.
Медленная передача файлов по сети.
Диагностика: robocopy с таймингом. Get-SmbConnection. Анализ загрузки сети (Performance Monitor).
Траблшутинг: Отключить SMB signing если сеть доверенная. Обновить драйверы сетевой карты. Увеличить размер окна SMB (Set-SmbServerConfiguration -MaxMpxCount 1024). Перейти на SMB 3.1.1.
Проблемы с квотами (дисковыми квотами).
Диагностика: Ошибка "Недостаточно места на диске" при наличии свободного.
Траблшутинг: В Свойства диска->Квоты проверить и изменить лимиты. Отключить квоты временно. Очистить корзину $RECYCLE.BIN.
DFS Replication (DFSR) не реплицирует данные.
Диагностика: В оснастке DFS Management статус репликации "Ошибка". Журналы DFS Replication.
Траблшутинг: Проверить сетевое подключение между узлами. Очистить папку ConflictAndDeleted и PreExisting. Запустить dfsrdiag для диагностики.
Сбои теневых копий (Shadow Copies/VSS).
Диагностика: В Свойства тома->Теневые копии ошибки создания.
Траблшутинг: Освободить место на томе (минимум 10%). Проверить службу Volume Shadow Copy. Изменить расписание и лимит места.
Ошибки при доступе из разных версий ОС (SMB1/SMB2).
Диагностика: Windows XP/старое оборудование не видит общие папки.
Траблшутинг: НЕ РЕКОМЕНДУЕТСЯ. Только временно: включить SMB1 через "Добавление ролей и компонентов->Служба поддержки SMB 1.0". Лучшее решение — обновить клиента.
Проблемы с символическими ссылками (симлинками) и их безопасностью.
Диагностика: Пользователь получает доступ к файлам вне разрешенного каталога.
Траблшутинг: Отключить следование симлинкам через политики безопасности (Policies\Windows Settings\Security Settings\Local Policies\Security Options — Вызовы подсистемы POSIX). Использовать Access-Denied Assistance.
Ошибки после миграции файлового сервера или изменения прав.
Диагностика: Утеряны владельцы файлов (S-1-5-21... вместо имен).
Траблшутинг: Восстановить права через icacls /restore. Использовать SetACL для массового сброса. При миграции использовать robocopy /copyall /secfix.
Архивация данных (Backup)
Недостаточно места на целевом хранилище (диске/ленте).
Диагностика: Ошибка в отчете архивации. Проверить емкость целевого диска/пула.
Траблшутинг: Добавить новые диски в пул. Очистить старые/ненужные бекапы. Увеличить емкость хранилища.
Архивация не запускается (ошибка планировщика/задачи).
Диагностика: Задача в планировщике не выполнена. Журнал событий Task Scheduler.
Траблшутинг: Проверить учетные данные задачи архивации. Перезапустить службу планировщика (Schedule). Пересоздать задачу архивации.
Ошибка "Источник архивации недоступен".
Диагностика: Архивация данных с сетевой папки или другого сервера завершается с ошибкой.
Траблшутинг: Проверить сетевой доступ и права NTFS/Share на исходном ресурсе. Проверить, открыты ли файлы (блокировка SMB). Использовать VSS для блочных бекапов.
Ошибка записи на целевое устройство (I/O error).
Диагностика: Ошибки ввода-вывода в отчете. Журнал событий системы.
Траблшутинг: Проверить физическое состояние дисков/лент (chkdsk, SMART). Попробовать другой порт/контроллер. Заменить поврежденное устройство.
Ошибка создания теневой копии (VSS).
Диагностика: Ошибка при архивации открытых файлов или системных файлов (например, Active Directory).
Траблшутинг: Проверить и перезапустить службы Volume Shadow Copy и Microsoft Software Shadow Copy Provider. Освободить место на исходном томе (минимум 300-500MB). Обновить драйверы VSS для приложений.
Архивация завершается успешно, но восстановление невозможно.
Диагностика: Файлы в бекапе повреждены или отсутствуют. Проверить контрольные суммы.
Траблшутинг: Проверить процесс архивации на наличие ошибок на ранних этапах. Включить проверку данных после записи в ПО архивации. Провести тестовое восстановление.
Ошибки при архивации базы данных (SQL/AD) из-за незакрытых транзакций.
Диагностика: Бекап базы данных возвращает ошибку транзакций.
Траблшутинг: Для SQL: использовать режим архивации COPY_ONLY или WITH CHECKSUM. Для AD: убедиться, что архив запущен на DC и службы AD работают. Использовать wbadmin с флагом -backupTarget.
Конфликт ПО архивации с антивирусом/брандмауэром.
Диагностика: Архивация зависает или очень медленная. Ошибки доступа к файлам.
Траблшутинг: Настроить исключения в антивирусе для процессов и папок ПО архивации. Проверить правила брандмауэра для сетевого архивации.
Автоматическая очистка старых бекапов не работает.
Диагностика: Хранилище переполняется старыми архивами. Правила ротации не выполняются.
Траблшутинг: Проверить настройки политики ротации (GFS, Incremental). Проверить разрешения ПО на удаление файлов. Перезапустить службу архивации.
Ошибка при архивации в облако (сетевая/SSL).
Диагностика: Бекапы в облако (S3, Azure) завершаются с ошибкой сети или сертификата.
Траблшутинг: Проверить сетевой доступ к облачному endpoint. Проверить SSL-сертификаты и срок их действия. Проверить ограничения на скорость/трафик от облачного провайдера.
File Server (Файловый сервер)
1. "Нет доступа к папке" / "Отказано в доступе".
* Диагностика: Использовать icacls <путь> или Get-Acl в PowerShell. Проверить эффективные права через "Свойства -> Безопасность -> Дополнительно -> Просмотр эффективных прав".
* Траблшутинг: Проверить и настроить наследование прав (включить/отключить). Упростить структуру: использовать группы вместо прямых назначений пользователям. Проверить наличие запрещающих (Deny) правил для группы "Пользователи домашней группы" или других групп.
2. Блокировка файлов открытой сессией (SMB).
* Диагностика: Файл нельзя удалить или переименовать. Использовать оснастку "Управление компьютером -> Общие папки -> Открытые файлы".
* Траблшутинг: Найти и отключить сессию пользователя, который блокирует файл. В крайнем случае — использовать команду net session \client /delete. Для долгосрочного решения настроить Shadow Copies (теневое копирование), чтобы обходить блокировки при резервном копировании или работе с файлами.
3. Достигнуто ограничение на длину пути (260 символов).
* Диагностика: Ошибка при копировании, создании или открытии файлов с очень глубокой структурой папок.
* Траблшутинг: Включить поддержку длинных путей через групповую политику (GPO): "Политика локального компьютера -> Административные шаблоны -> Система -> Файловая система -> Win32 -> Включить длинные пути". Для непосредственной работы можно использовать префикс \\?\ в пути (например, \\?\C:\очень\длинный\путь).
4. Медленная передача файлов по сети.
* Диагностика: Использовать robocopy с таймингом для измерения скорости. Проверить активные соединения через Get-SmbConnection. Анализировать загрузку сети с помощью Performance Monitor (монитор производительности).
* Траблшутинг: В доверенной сети можно отключить SMB signing для увеличения скорости. Обновить драйверы сетевой карты на сервере и клиентах. Увеличить размер окна SMB (команда Set-SmbServerConfiguration -MaxMpxCount 1024). Если возможно, перейти на использование более современных версий SMB, например 3.1.1.
5. Проблемы с квотами (дисковыми квотами).
* Диагностика: Пользователь получает ошибку "Недостаточно места на диске", хотя на самом диске есть свободное место.
* Траблшутинг: В "Свойствах диска -> Квоты" проверить и изменить лимиты для пользователя или группы. Временно отключить квоты для решения проблемы. Также очистить корзину ($RECYCLE.BIN), которая может учитываться в квотах.
6. DFS Replication (DFSR) не реплицирует данные.
* Диагностика: В оснастке DFS Management статус репликации показывает "Ошибка". Проверить журналы DFS Replication в Event Viewer.
* Траблшутинг: Проверить сетевое подключение и доступ между узлами репликации. Очистить системные папки репликации ConflictAndDeleted и PreExisting. Использовать диагностическую команду dfsrdiag для глубокого анализа проблемы.
7. Сбои теневых копий (Shadow Copies/VSS).
* Диагностика: В "Свойства тома -> Теневые копии" появляются ошибки при создании точек восстановления.
* Траблшутинг: Освободить место на томе (рекомендуется минимум 10% свободного пространства). Проверить состояние и запустить службу Volume Shadow Copy. Изменить расписание создания копий и лимит места, выделяемого для них.
8. Ошибки при доступе из разных версий ОС (SMB1/SMB2).
* Диагностика: Старые клиенты (Windows XP, устаревшее оборудование) не видят общие папки с современного сервера.
* Траблшутинг: НЕ РЕКОМЕНДУЕТСЯ из-за уязвимостей SMB1. Только как временное решение: включить SMB1 через "Добавление ролей и компонентов -> Служба поддержки SMB 1.0". Лучшее и безопасное решение — обновить клиентское оборудование или ОС.
9. Проблемы с символическими ссылками (симлинками) и их безопасностью.
* Диагностика: Пользователь получает доступ к файлам вне разрешенного каталога через симлинки.
* Траблшутинг: Отключить следование симлинкам через политики безопасности: "Policies\Windows Settings\Security Settings\Local Policies\Security Options — Вызовы подсистемы POSIX". Использовать функцию Access-Denied Assistance для управления доступом.
10. Ошибки после миграции файлового сервера или изменения прав.
* Диагностика: Владельцы файлов отображаются как SID (например, S-1-5-21…) вместо имен пользователей, права потеряны.
* Траблшутинг: Восстановить права из резервной копии с помощью icacls /restore. Использовать инструменты типа SetACL для массового сброса и исправления прав. При миграции использовать robocopy с ключами /copyall и /secfix для сохранения разрешений.
Архивация данных (Backup)
11. Недостаточно места на целевом хранилище (диске/ленте).
* Диагностика: Ошибка в отчете системы архивации. Проверить емкость целевого диска или пула хранения.
* Траблшутинг: Добавить новые диски в пул хранения. Очистить старые или ненужные бекапы в соответствии с политикой ротации. Увеличить емкость хранилища.
12. Архивация не запускается (ошибка планировщика/задачи).
* Диагностика: Задача в планировщике задач не выполнена. Проверить журнал событий Task Scheduler.
* Траблшутинг: Проверить и обновить учетные данные (пароль) задачи архивации. Перезапустить службу планировщика (Schedule). Пересоздать задачу архивации с корректными параметрами.
13. Ошибка "Источник архивации недоступен".
* Диагностика: Архивация данных с сетевой папки или другого сервера завершается с ошибкой недоступности.
* Траблшутинг: Проверить сетевой доступ (ping, сетевые пути) и права NTFS/Share на исходном ресурсе. Проверить, не блокируются ли файлы открытой SMB-сессией. Использовать VSS для создания блочных бекапов, чтобы обойти проблему.
14. Ошибка записи на целевое устройство (I/O error).
* Диагностика: Ошибки ввода-вывода в отчете архивации. Проверить журнал событий системы.
* Траблшутинг: Проверить физическое состояние дисков/лент (chkdsk, статус SMART). Попробовать другой порт или контроллер для устройства. Заменить поврежденное устройство.
15. Ошибка создания теневой копии (VSS).
* Диагностика: Ошибка при архивации открытых файлов или системных файлов (например, Active Directory).
* Траблшутинг: Проверить и перезапустить службы Volume Shadow Copy и Microsoft Software Shadow Copy Provider. Освободить место на исходном томе (рекомендуется минимум 300-500MB свободного пространства). Обновить драйверы VSS для приложений (например, SQL Writer).
16. Архивация завершается успешно, но восстановление невозможно.
* Диагностика: Файлы в бекапе повреждены или отсутствуют. Проверить контрольные суммы архива.
* Траблшутинг: Проверить процесс архивации на наличие скрытых ошибок на ранних этапах. Включить проверку данных после записи в программном обеспечении для архивации. Регулярно проводить тестовое восстановление части данных.
17. Ошибки при архивации базы данных (SQL/AD) из-за незакрытых транзакций.
* Диагностика: Бекап базы данных возвращает ошибку связанную с транзакциями.
* Траблшутинг: Для SQL Server использовать режим архивации COPY_ONLY или параметр WITH CHECKSUM. Для Active Directory убедиться, что архивация запущена на контроллере домена (DC) и службы AD работают. Использовать wbadmin с флагом -backupTarget.
18. Конфликт ПО архивации с антивирусом/брандмауэром.
* Диагностика: Процесс архивации зависает или работает очень медленно. Возникают ошибки доступа к файлам.
* Траблшутинг: Настроить исключения в антивирусном ПО для процессов и рабочих папок ПО архивации. Проверить и настроить правила брандмауэра для сетевого трафика архивации.
19. Автоматическая очистка старых бекапов не работает.
* Диагностика: Хранилище переполняется старыми архивами. Правила ротации (GFS, инкрементальные) не выполняются.
* Траблшутинг: Проверить настройки политики ротации архивации. Проверить разрешения ПО архивации на удаление файлов в целевой папке. Перезапустить службу архивации.
20. Ошибка при архивации в облако (сетевая/SSL).
* Диагностика: Бекапы в облако (Amazon S3, Azure Blob) завершаются с ошибкой сети или SSL-сертификата.
* Траблшутинг: Проверить сетевой доступ к облачному endpoint (URL-адресу). Проверить SSL-сертификаты и срок их действия. Проверить ограничения на скорость или трафик от облачного провайдера.
Database Server (на примере SQL Server)
База данных не доступна / в состоянии RECOVERY PENDING.
Диагностика: Ошибка при подключении. В sys.databases состояние не ONLINE.
Траблшутинг: Проверить наличие свободного места на диске для логов. Попробовать ALTER DATABASE db SET EMERGENCY; ALTER DATABASE db SET SINGLE_USER; DBCC CHECKDB; ALTER DATABASE db SET MULTI_USER;.
Недостаточно свободного места на диске для логов или данных.
Диагностика: Ошибки роста файлов. Счетчики Free Space.
Траблшутинг: Расширить файлы данных/логов. Очистить старые данные. Сжать файлы данных (DBCC SHRINKFILE). Настроить автоматический рост.
Медленные запросы / высокий показатель WAIT STATS.
Диагностика: sys.dm_exec_requests, sys.dm_os_wait_stats. Показатели Avg Disk Sec/Read.
Траблшутинг: Найти и оптимизировать медленные запросы (поиск по execution_time). Добавить индексы. Проверить фрагментацию индексов. Обновить статистику.
Ошибки блокировки (deadlock).
Диагностика: Журнал ошибок SQL с сообщениями о deadlock. sys.dm_tran_locks.
Траблшутинг: Найти причины через трассировку (Trace Flag 1222). Изменить порядок транзакций. Использовать SET DEADLOCK_PRIORITY. Увеличить уровень изоляции (но осторожно).
Проблемы подключения клиентов (network/Auth).
Диагностика: Ошибки "Cannot connect to server". sys.dm_exec_connections.
Траблшутинг: Проверить включен ли протокол TCP/IP в конфигурации SQL. Проверить порт (обычно 1433). Проверить режим аутентификации (Mixed Mode). Проверить правила брандмауэра.
Сбой автоматического обслуживания (backup/job failures).
Диагностика: Задачи в SQL Agent не выполнены. Журнал SQL Server Agent.
Траблшутинг: Проверить учетные записи для запуска заданий. Проверить доступ к целевым папкам для бекапов. Перезапустить службу SQL Server Agent.
Ошибки при восстановлении базы данных из бекапа.
Диагностика: Команда RESTORE DATABASE завершается с ошибкой (несовпадение путей, версий).
Траблшутинг: Проверить, что файлы бекапа не повреждены. Использовать WITH MOVE для указания новых путей. Проверить версию SQL Server (бекап с более высокой версии нельзя восстановить на более низкую).
Высокая загрузка CPU сервера базы данных.
Диагностика: Мониторинг CPU через Performance Monitor или sys.dm_exec_query_stats.
Траблшутинг: Найти запросы с наибольшим total_worker_time. Оптимизировать их (добавить индексы, переписать). Проверить наличие проблем с статистикой или параметризацией.
Проблемы с зеркалированием/репликацией.
Диагностика: Состояние зеркала не SYNCHRONIZED. Ошибки в журнале.
Траблшутинг: Проверить сетевой доступ между серверами. Перезапустить зеркалирование (ALTER DATABASE db SET PARTNER RESUME). Проверить наличие свободного места на логах на principal и mirror.
Ошибки совместимости после обновления версии SQL Server.
Диагностика: После обновления некоторые функции не работают. Ошибки в запросах.
Траблшутинг: Проверить уровень совместимости базы (ALTER DATABASE db SET COMPATIBILITY_LEVEL = ...). Проверить deprecated features. Использовать режим QUERY_OPTIMIZER_COMPATIBILITY_LEVEL.
POSTFIX
Почта не отправляется / застревает в очереди (queue).
Диагностика: mailq показывает застрявшие письма. postfix.log с ошибками.
Траблшутинг: Проверить сетевую доступность целевого MX. Проверить конфигурацию transport и relayhost. Проверить проблемы с DNS (поиск MX записей). Очистить очередь (postsuper -d ALL).
Ошибки аутентификации SMTP (для отправки через relay).
Диагностика: Ошибки "authentication failed" в логах.
Траблшутинг: Проверить правильность учетных данных в sasl_passwd. Проверить, что smtpd_sasl_auth_enable = yes. Проверить шифрование паролей (postmap sasl_passwd).
Почта не принимается от внешних серверов.
Диагностика: Ошибки "relay access denied" в логах.
Траблшутинг: Настроить правильно mynetworks и smtpd_recipient_restrictions. Для получения извне: permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination.
Ошибки DNS (поиск MX, PTR записи).
Диагностика: Ошибки "Name service error" или отказы из-за отсутствия PTR.
Траблшутинг: Проверить, что у IP-адреса сервера есть правильная PTR запись. Проверить работу локального DNS resolver. Добавить disable_dns_lookups = no если нужно.
Проблемы с SSL/TLS (шифрование соединений).
Диагностика: Ошибки "SSL_CTX_set_tmp_dh failed" или клиенты не могут подключиться по TLS.
Траблшутинг: Проверить наличие и корректность сертификатов (smtpd_tls_cert_file). Проверить поддержку TLS в main.cf (smtpd_tls_security_level). Обновить OpenSSL.
Ошибки разбора адресов (aliases, virtual domains).
Диагностика: Письма для виртуальных доменов не доходят или перенаправляются неправильно.
Траблшутинг: Проверить файлы virtual_alias_maps, virtual_mailbox_domains. Перестроить карты (postmap virtual_alias_maps). Проверить порядок поиска в virtual_mailbox_maps.
Задержки в обработке почты (high latency).
Диагностика: Письма долго лежат в очереди перед отправкой.
Траблшутинг: Увеличить количество процессов smtpd и smtp. Проверить ограничения default_process_limit. Проверить производительность диска (почта в /var/spool/postfix).
Ошибки фильтрации (spamassassin, policyd-weight).
Диагностика: Фильтры блокируют всю почту или пропускают спам.
Траблшутинг: Проверить подключение и конфигурацию фильтров в master.cf. Проверить настройки интеграции в main.cf. Уменьшить строгость фильтрации временно.
Проблемы с локальной доставкой (mailbox).
Диагностика: Письма для локальных пользователей не попадают в их почтовые ящики.
Траблшутинг: Проверить local_transport и mailbox_command. Проверить права на почтовые ящики (обычно /var/mail/). Проверить наличие пользователя в системе (getent passwd).
Конфигурационные ошибки после изменений в main.cf.
Диагностика: После редактирования main.cf Postfix не запускается или работает некорректно.
Траблшутинг: Проверить синтаксис postfix check. Перезапустить Postfix (postfix reload). Проверить логи сразу после перезапуска. Использовать postconf -n для проверки текущих настроек.
ТЕХНОЛОГИЯ: Dovecot в Linux
Топ-10 неисправностей:
Ошибки аутентификации пользователей
Диагностика: Проверка /var/log/dovecot.log, команда doveadm auth test user@domain
Траблшутинг:
Проверить настройки auth_mechanisms в 10-auth.conf
Убедиться в корректности бэкенда (passwd, SQL, LDAP)
Проверить наличие пользователя в системе
Проблемы с SSL/TLS сертификатами
Диагностика: openssl s_client -connect localhost:993, проверка логов
Траблшутинг:
Проверить пути к сертификатам в 10-ssl.conf
Обновить просроченные сертификаты
Проверить права доступа к файлам ключей
Дисковые квоты не работают
Диагностика: doveadm quota get -u user, проверка логов на "Quota exceeded"
Траблшутинг:
Активировать плагин quota в 10-mail.conf
Настроить 90-quota.conf
Проверить поддержку квот файловой системой
Сервис не запускается
Диагностика: systemctl status dovecot, journalctl -xe
Траблшутинг:
Проверить синтаксис: dovecot -n
Проверить конфликты портов
Проверить наличие необходимых файлов конфигурации
Медленная работа/высокая нагрузка
Диагностика: doveadm who, мониторинг процессов
Траблшутинг:
Настроить лимиты процессов в 10-master.conf
Оптимизировать индексы
Включить кэширование
Проблемы с индексами почтовых ящиков
Диагностика: Отсутствие писем в клиенте, ошибки в логах
Траблшутинг:
Перестроить индексы: doveadm index -u user INBOX
Удалить поврежденные файлы dovecot.index*
Проверить права доступа
Ошибки доставки через LDA/LMTP
Диагностика: Проверка логов почтовой системы
Траблшутинг:
Проверить настройки Postfix/Exim
Настроить сокет LMTP
Проверить права пользователя vmail
Проблемы с репликацией
Диагностика: doveadm replicator status, логи dsync
Траблшутинг:
Проверить сетевую связность
Настроить аутентификацию между серверами
Проверить конфигурацию doveadm sync
Ошибки Sieve фильтров
Диагностика: Письма не сортируются, логи Pigeonhole
Траблшутинг:
Проверить синтаксис скриптов: sievec script.sieve
Активировать плагин sieve
Проверить права на .dovecot.sieve
Проблемы с внешней аутентификацией (LDAP/SQL)
Диагностика: Ошибки подключения к внешнему источнику
Траблшутинг:
Проверить сетевую доступность сервера LDAP/SQL
Проверить учетные данные для подключения
Проверить корректность запросов/фильтров
Database Server (на примере SQL Server)
1. База данных недоступна / в состоянии RECOVERY PENDING.
Диагностика: Ошибка при попытке подключения. Запрос SELECT name, state_desc FROM sys.databases показывает состояние, отличное от ONLINE.
Траблшутинг: Проверить наличие свободного места на диске (особенно для файлов логов LDF). Если база повреждена, использовать цепочку команд: перевести в аварийный режим ALTER DATABASE db SET EMERGENCY;, ограничить доступ ALTER DATABASE db SET SINGLE_USER;, выполнить проверку и исправление DBCC CHECKDB ('db', REPAIR_ALLOW_DATA_LOSS);, вернуть в обычный режим ALTER DATABASE db SET MULTI_USER;.
2. Недостаточно свободного места на диске для логов или данных.
Диагностика: Ошибки в журнале событий о невозможности расширения файлов. Мониторинг счетчиков "Free Space" и объема папок с БД.
Траблшутинг: Физически расширить дисковое пространство. Очистить старые данные или архивы. Сжать файлы (команда DBCC SHRINKFILE). Настроить корректные параметры авторасширения (Autogrowth), чтобы избежать фрагментации диска.
3. Медленные запросы / высокий показатель WAIT STATS.
Диагностика: Анализ через системные представления sys.dm_exec_requests, sys.dm_os_wait_stats. Проверка показателей времени отклика диска (Avg Disk Sec/Read).
Траблшутинг: Выявить ресурсозатратные запросы по execution_time. Провести оптимизацию кода запросов, добавить недостающие индексы. Проверить уровень фрагментации существующих индексов и выполнить их дефрагментацию/перестройку. Обновить статистику распределения данных.
4. Ошибки взаимной блокировки (Deadlock).
Диагностика: Журнал ошибок SQL Server содержит записи о "Transaction was deadlocked". Мониторинг через sys.dm_tran_locks.
Траблшутинг: Включить флаг трассировки Trace Flag 1222 для записи подробной информации о дедлоках в лог. Оптимизировать порядок доступа к таблицам в транзакциях. Использовать SET DEADLOCK_PRIORITY для управления приоритетом процессов. Рассмотреть повышение уровня изоляции (например, Snapshot Isolation).
5. Проблемы подключения клиентов (Network/Auth).
Диагностика: Ошибки "Cannot connect to server". Проверка активных соединений через sys.dm_exec_connections.
Траблшутинг: Убедиться, что в SQL Server Configuration Manager включен протокол TCP/IP. Проверить доступность порта (по умолчанию 1433). Проверить режим проверки подлинности (Windows vs Mixed Mode). Настроить правила брандмауэра для разрешения входящего трафика на порт SQL.
6. Сбой автоматического обслуживания (Backup/Job failures).
Диагностика: Статус задач в SQL Server Agent — "Failed". Анализ журнала "History" конкретного задания.
Траблшутинг: Проверить права учетной записи, от которой запускается служба SQL Agent. Убедиться в наличии прав на запись в целевые папки для резервных копий. Перезапустить службу SQL Server Agent.
7. Ошибки при восстановлении базы данных из бекапа.
Диагностика: Команда RESTORE DATABASE прерывается с ошибкой (например, несовпадение версий или путей).
Траблшутинг: Проверить целостность файла бекапа (RESTORE VERIFYONLY). Использовать опцию WITH MOVE для перемещения файлов данных в новые каталоги. Помнить, что бекап с более новой версии SQL Server невозможно восстановить на более старую версию.
8. Высокая загрузка CPU сервера базы данных.
Диагностика: Мониторинг процессора через Task Manager или sys.dm_exec_query_stats.
Траблшутинг: Найти запросы с максимальным total_worker_time. Оптимизировать их (индексы, переписывание логики). Проверить, не вызвана ли нагрузка отсутствием актуальной статистики, что заставляет оптимизатор строить неэффективные планы.
9. Проблемы с зеркалированием или репликацией.
Диагностика: Статус зеркала "Disconnected" или "Suspended". Проверка ошибок в журнале SQL.
Траблшутинг: Проверить сетевую доступность между основным (Principal) и зеркальным (Mirror) серверами (порты 5022). Возобновить сессию командой ALTER DATABASE db SET PARTNER RESUME. Проверить место под логи на обоих серверах.
10. Ошибки совместимости после обновления версии SQL Server.
Диагностика: Код запросов, работавший ранее, выдает ошибки. Некорректное поведение функций.
Траблшутинг: Проверить уровень совместимости БД и при необходимости изменить его: ALTER DATABASE db SET COMPATIBILITY_LEVEL = .... Проверить наличие устаревших (deprecated) функций. Использовать настройку QUERY_OPTIMIZER_COMPATIBILITY_LEVEL для сохранения старой логики работы оптимизатора.
POSTFIX (Почтовый сервер)
11. Почта не отправляется / застревает в очереди (Queue).
Диагностика: Команда mailq показывает накопление писем. Проверка /var/log/mail.log или postfix.log.
Траблшутинг: Проверить связь с MX-серверами получателей. Проверить настройки relayhost и таблицу transport. Убедиться в корректности работы DNS. Для полной очистки очереди (осторожно!): postsuper -d ALL.
12. Ошибки аутентификации SMTP (при отправке через Relay).
Диагностика: Сообщения "authentication failed" в системных логах.
Траблшутинг: Сверить учетные данные в файле sasl_passwd. Убедиться, что параметр smtpd_sasl_auth_enable = yes активен. После правок обновить базу паролей командой postmap /etc/postfix/sasl_passwd и перезапустить службу.
13. Почта не принимается от внешних серверов.
Диагностика: Ошибки "Relay access denied" в логах при попытке входящего соединения.
Траблшутинг: Настроить параметры mynetworks и ограничения smtpd_recipient_restrictions. Убедиться, что в правилах присутствуют permit_mynetworks, permit_sasl_authenticated и в конце reject_unauth_destination.
14. Ошибки DNS (MX, PTR-записи).
Диагностика: Ошибки "Name service error" или блокировки со стороны других серверов из-за отсутствия обратной записи.
Траблшутинг: Проверить наличие правильной PTR-записи для внешнего IP сервера. Проверить работоспособность локального резолвера. Убедиться, что в main.cf установлено disable_dns_lookups = no.
15. Проблемы с SSL/TLS (шифрование).
Диагностика: Ошибки "SSL_CTX failed" или невозможность подключения клиентов по защищенным портам.
Траблшутинг: Проверить пути к SSL-сертификатам в параметре smtpd_tls_cert_file. Убедиться, что smtpd_tls_security_level настроен корректно (may/encrypt). Обновить OpenSSL и проверить сроки действия сертификатов.
16. Ошибки разбора адресов (Aliases/Virtual Domains).
Диагностика: Почта для виртуальных доменов не доставляется или возвращается отправителю.
Траблшутинг: Проверить файлы virtual_alias_maps и virtual_mailbox_domains. После изменений обязательно выполнять postmap для всех таблиц. Проверить логику поиска в virtual_mailbox_maps.
17. Задержки в обработке почты (High Latency).
Диагностика: Письма долго находятся в статусе ожидания в очереди.
Траблшутинг: Увеличить количество одновременно работающих процессов в master.cf. Проверить default_process_limit. Убедиться, что дисковая подсистема в /var/spool/postfix справляется с нагрузкой.
18. Ошибки фильтрации (SpamAssassin, Policyd).
Диагностика: Массовая блокировка легитимной почты или резкий рост спама.
Траблшутинг: Проверить интеграцию фильтров в master.cf. Проверить статус служб фильтрации. Временно отключить сложные проверки в main.cf для выявления компонента, вызывающего сбой.
19. Проблемы с локальной доставкой (Mailbox).
Диагностика: Postfix рапортует об успешной доставке, но писем нет в папках пользователей.
Траблшутинг: Проверить настройки local_transport и mailbox_command. Убедиться в наличии прав доступа postfix к папкам в /var/mail/. Проверить существование локальных пользователей через getent passwd.
20. Конфигурационные ошибки после изменений.
Диагностика: Postfix не запускается или выдает критические ошибки в лог.
Траблшутинг: Выполнить проверку синтаксиса командой postfix check. Применить изменения через postfix reload. Использовать postconf -n для просмотра только тех настроек, которые отличаются от стандартных.
DOVECOT (IMAP/POP3 сервер)
21. Ошибки аутентификации пользователей.
Диагностика: Проверка /var/log/dovecot.log, тест через doveadm auth test user@domain.
Траблшутинг: Проверить разрешенные механизмы в 10-auth.conf. Сверить настройки бэкенда (LDAP/SQL/Passwd). Убедиться, что пользователь существует в базе данных или системе.
22. Проблемы с SSL/TLS сертификатами.
Диагностика: Команда openssl s_client -connect localhost:993, аудит логов.
Траблшутинг: Проверить корректность путей к сертификату и ключу в 10-ssl.conf. Обновить сертификаты, если срок действия истек. Проверить права доступа (ключ должен быть доступен только root или dovecot).
23. Дисковые квоты не работают.
Диагностика: Ошибки "Quota exceeded", проверка через doveadm quota get -u user.
Траблшутинг: Включить плагин quota в 10-mail.conf. Настроить лимиты в 90-quota.conf. Проверить, поддерживает ли файловая система квоты и установлены ли соответствующие утилиты в ОС.
24. Сервис не запускается.
Диагностика: systemctl status dovecot, просмотр вывода journalctl -xe.
Траблшутинг: Проверить синтаксические ошибки через dovecot -n. Проверить, не заняты ли порты 143/993 другим процессом. Убедиться в наличии всех конфигурационных файлов.
25. Медленная работа / Высокая нагрузка.
Диагностика: Команда doveadm who, мониторинг системных ресурсов.
Траблшутинг: Отрегулировать лимиты процессов и соединений в 10-master.conf. Проверить настройки индексации. Включить кэширование (например, fscache).
26. Проблемы с индексами почтовых ящиков.
Диагностика: Письма не отображаются в клиенте при их физическом наличии на диске. Ошибки индексации в логах.
Траблшутинг: Выполнить перестроение индексов: doveadm index -u user INBOX. Если не помогает — удалить файлы dovecot.index* в папке пользователя (они пересоздадутся автоматически).
27. Ошибки доставки через LDA/LMTP.
Диагностика: Ошибки в логах MTA (Postfix) при попытке передать письмо Dovecot.
Траблшутинг: Проверить настройки LMTP в Dovecot и соотвествующие параметры в Postfix. Проверить права доступа пользователя (обычно vmail) к хранилищу писем.
28. Проблемы с репликацией.
Диагностика: Команда doveadm replicator status, ошибки в логах процесса dsync.
Траблшутинг: Проверить сетевую связность между серверами. Убедиться в корректности SSH-ключей или паролей для синхронизации. Проверить конфигурацию в секции replication.
29. Ошибки Sieve-фильтров.
Диагностика: Сортировка писем не работает, ошибки в логах компонента Pigeonhole.
Траблшутинг: Проверить скрипты на синтаксис: sievec script.sieve. Убедиться, что плагин sieve активирован. Проверить права на файл .dovecot.sieve в домашней директории.
30. Проблемы с внешней аутентификацией (LDAP/SQL).
Диагностика: Ошибки связи в логах при попытке входа пользователя.
Траблшутинг: Проверить доступность сервера LDAP/SQL по сети. Сверить логин/пароль системного пользователя для подключения к БД. Проверить корректность SQL-запросов или LDAP-фильтров в конфигурационных файлах Dovecot.
ТЕХНОЛОГИЯ: Roundcube в Linux
Топ-10 неисправностей:
Ошибка подключения к IMAP/SMTP
Диагностика: Проверка /var/log/roundcube/errors, тест подключения
Траблшутинг:
Проверить вПроверитьнастройкиУбедитьсявдоступностипортовПустаястраницабелыйэкранДиагностикаЛогилогиТраблшутингВключитьотладкувконфигеПроверитьправанафайлыипапкиПроверитьверсиюирасширенияОшибкиотправкипочтыДиагностикаСообщениеобошибкелогиТраблшутингПроверить
config['smtp_host'] и учетные данные
Настроить аутентификацию SMTP
Проверить лимиты почтового сервера
Проблемы с базой данных
Диагностика: Ошибка "DB Error: CONNECT"
Траблшутинг:
Проверить параметры ПроверитьдоступностьИнициализироватьБДскриптомНеотображаютсяписьмаконтактыДиагностикаПустыеспискивинтерфейсеТраблшутингПроверитькодировкуБДинастроекПроверитьналичиеданныхвтаблицахПроверитьправапользователяБДНеработаютвложенияДиагностикаОшибкипризагрузкескачиванииТраблшутингУвеличитьвПроверитьправанапапкуПроверитьнастройкитиповПроблемыскэшированиемДиагностикаУстаревшиеданныемедленнаяработаТраблшутингНастроитьвконфигеОчиститькэшвпапкеОптимизироватьнастройкисессийНеработаютплагиныДиагностикаОтсутствуютфункцииплагиновТраблшутингПроверитьактивациюв
config['plugins']
Проверить совместимость версий
Проверить логи на ошибки инициализации
Проблемы безопасности
Диагностика: Предупреждения безопасности, сканеры уязвимостей
Траблшутинг:
Обновить до последней версии
Удалить папку installer/
Настроить корректные права файловой системы
Проблемы с производительностью
Диагностика: Медленная загрузка страниц
Траблшутинг:
Включить сжатие в веб-сервере
Оптимизировать настройки PHP
Настроить кэширование БД
ТЕХНОЛОГИЯ: Roundcube в Linux
Топ-10 неисправностей:
Ошибка подключения к IMAP/SMTP
Диагностика: Проверка /var/log/roundcube/errors, тест подключения
Траблшутинг:
Проверить $config['imap_host'] в config.inc.php
Проверить настройки SSL/TLS
Убедиться в доступности портов 143/993 (команда: telnet mail.server.com 143)
Тогда я смогу объяснить каждую команду (в данном примере — telnet), как это было сделано ранее.
ТЕХНОЛОГИЯ: OpenVPN в Linux
Топ-10 неисправностей:
Сервис не запускается
Диагностика: systemctl status openvpn, /var/log/openvpn.log
Траблшутинг:
Проверить конфигурационный файл
Проверить наличие ключей и сертификатов
Проверить порты (1194/udp)
Проверить сетевые интерфейсы
Клиент не может подключиться
Диагностика: Логи клиента и сервера
Траблшутинг:
Проверить сетевую доступность сервера
Проверить брандмауэр на сервере и клиенте
Проверить версии OpenVPN (совместимость)
Проверить конфигурацию клиента
Ошибки TLS/сертификатов
Диагностика: Логи "TLS handshake failed"
Траблшутинг:
Проверить цепочку сертификатов CA
Проверить срок действия сертификатов
Проверить соответствие ключей и certs
Регенерировать сертификаты если нужно
Нет маршрутизации после подключения
Диагностика: Клиент подключен, но трафик не идет
Траблшутинг:
Проверить push "route ..." в конфиге сервера
Проверить iptables правила на сервере
Проверить сетевые интерфейсы (tun/tap)
Проверить маршруты на клиенте ip route
Нет интернета в VPN сети
Диагностика: Клиенты не могут выходить в интернет
Траблшутинг:
Проверить NAT правила на сервере
Проверить push "redirect-gateway"
Проверить DNS серверы в VPN
Проверить маршрутизацию на сервере
Проблемы с DNS в VPN
Диагностика: Не резолвятся доменные имена
Траблшутинг:
Проверить push "dhcp-option DNS"
Проверить доступность DNS серверов
Проверить файл /etc/resolv.conf клиента
Настроить локальный DNS resolver
Низкая скорость соединения
Диагностика: Замеры скорости, ping
Траблшутинг:
Проверить сетевую задержку
Настроить proto udp для скорости
Увеличить sndbuf и rcvbuf
Проверить нагрузку на сервере
Множественные подключения не работают
Диагностика: Только один клиент может подключиться
Траблшутинг:
Проверить параметр duplicate-cn
Проверить использование отдельных конфигов
Проверить уникальные сертификаты клиентов
Проверить лимиты подключений
Ошибки шифрования/алгоритмов
Диагностика: Логи "cipher negotiation failed"
Траблшутинг:
Проверить совместимость cipher настроек
Настроить одинаковые алгоритмы на клиенте и сервере
Проверить поддержку алгоритмов в версии OpenVPN
Использовать стандартные cipher suites
Соединение нестабильное/разрывается
Диагностика: Периодические дисконнекты
Траблшутинг:
Увеличить keepalive параметры
Проверить сетевую стабильность
Настроить reneg-sec для TLS
Проверить таймауты и reconnect
ТЕХНОЛОГИЯ: NTP в Linux
Топ-10 неисправностей:
Сервис не запускается
Диагностика: systemctl status ntpd, /var/log/ntp.log
Траблшутинг:
Проверить конфигурационный файл /etc/ntp.conf
Проверить порты (123/udp)
Проверить права на файлы
Проверить зависимость от сетевых интерфейсов
Не может синхронизироваться с источниками
Диагностика: ntpq -pn, ntpstat
Траблшутинг:
Проверить доступность NTP серверов
Проверить брандмауэр на клиенте и серверах
Проверить сетевую маршрутизацию
Проверить список серверов в ntp.conf
Большая десинхронизация времени
Диагностика: ntpdate -q server, разница времени
Траблшутинг:
Проверить системное время: date
Использовать ntpdate для резкой синхронизации
Проверить tinker panic параметр
Проверить вмешательство других служб времени
Ошибки "stratum" или "no valid sources"
Диагностика: ntpq -pn показывает ошибки stratum
Траблшутинг:
Проверить stratum источников
Проверить server и pool настройки
Проверить доступность DNS для pool серверов
Настроить локальные источники если нужно
Сервер отклонен как источник
Диагностика: Сервер в списке, но не используется
Траблшутинг:
Проверить restrict правила
Проверить аутентификацию если настроена
Проверить геолокацию и задержки
Проверить корректность серверов
Проблемы с клиентами при использовании как NTP сервер
Диагностика: Клиенты не могут синхронизироваться
Траблшутинг:
Проверить restrict правила для клиентов
Проверить брандмауэр на сервере
Проверить сетевую доступность
Проверить конфигурацию клиентов
Высокая задержка/джиттер
Диагностика: ntpq -pn показывает high jitter
Траблшутинг:
Проверить сетевую стабильность
Добавить больше источников времени
Использовать локальные серверы с низкой задержкой
Настроить minpoll и maxpoll
Конфликты с другими службами времени
Диагностика: NTP и chrony конфликтуют
Траблшутинг:
Проверить наличие нескольких служб времени
Отключить конфликтующие службы
Настроить использование только одной
Проверить системные настройки времени
Ошибки при использовании в виртуальных машинах
Диагностика: VM не синхронизируется правильно
Траблшутинг:
Настроить паравиртуализацию времени
Использовать disable kernel настройки
Проверить гипервизорные настройки времени
Рассмотреть использование chrony для VM
Проблемы после перезагрузки
Диагностика: Время сбивается после reboot
Траблшутинг:
Проверить сохранение времени в hardware clock
Настроить синхронизацию при старте системы
Проверить порядок запуска служб
Использовать hwclock для сохранения
АЛГОРИТМ ТРАБЛШУТИНГА ДЛЯ ЛЮБОЙ ТЕХНОЛОГИИ:
ЛОГИ: Проверить системные и сервисные логи
КОНФИГ: Проверить конфигурационные файлы
СТАТУС: Проверить статус сервиса и процессов
СЕТЬ: Проверить сетевую доступность и порты
ПРАВА: Проверить права доступа и пользователей
РЕСУРСЫ: Проверить использование ресурсов
ВЕРСИИ: Проверить совместимость версий
БЕКАП: Использовать резервные конфигурации
ТЕСТ: Протестировать минимальную конфигурацию
МОНИТОР: Установить мониторинг для предупреждения
Вот практическая шпаргалка с конкретными командами для каждой проблемы:
?? OpenVPN: Практические команды для траблшутинга
1. Сервис не запускается
bash
# Проверка состояния сервиса
sudo systemctl status openvpn@server.service
# Логи сервиса
sudo journalctl -u openvpn@server.service -n 50
# Проверка конфигурации
sudo openvpn --config /etc/openvpn/server.conf --test
# Проверка файлов
sudo ls -la /etc/openvpn/
sudo ls -la /etc/openvpn/server/
# Проверка портов
sudo netstat -tulpn | grep 1194
sudo ss -tulpn | grep openvpn
sudo firewall-cmd --list-all | grep 1194
2. Клиент не может подключиться
bash
# Логи сервера
sudo grep "client" /var/log/openvpn/server.log | tail -30
sudo grep -E "(failed|error|timeout)" /var/log/openvpn/server.log
# Доступность сервера (с клиента)
ping VPN_SERVER_IP
nc -uv VPN_SERVER_IP 1194
# Версия OpenVPN
openvpn --version
sudo apt show openvpn
3. Ошибки TLS/сертификатов
bash
# Проверка цепочки сертификатов
openssl verify -CAfile ca.crt client.crt
# Проверка сроков
openssl x509 -in client.crt -noout -dates
openssl x509 -in server.crt -noout -dates
# Проверка соответствия ключей и сертификатов
openssl x509 -in client.crt -noout -modulus | openssl md5
openssl rsa -in client.key -noout -modulus | openssl md5
4. Нет маршрутизации
bash
# Маршруты на клиенте
ip route
ip route show table all
# Маршруты на сервере
sudo ip route
sudo ip -4 route
# NAT на сервере
sudo iptables -L -t nat -n
sudo iptables-save | grep VPN_SUBNET
# Туннельный интерфейс
sudo ip addr show tun0
sudo ip -s link show tun0
5. Нет интернета в VPN сети
bash
# Проверка NAT
sudo iptables -L -t nat -n | grep MASQUERADE
# Проверка маршрута по умолчанию на клиенте
ip route | grep default
# Проверка DNS
sudo grep "dhcp-option DNS" /etc/openvpn/server.conf
sudo grep "redirect-gateway" /etc/openvpn/server.conf
# Тест маршрутизации на сервере
sudo traceroute -n 8.8.8.8
sudo ping -c 3 8.8.8.8
6. Проблемы с DNS в VPN
bash
# Проверка DNS на клиенте
cat /etc/resolv.conf
nslookup google.com
dig google.com @DNS_SERVER
# Тест DNS серверов
ping -c 2 8.8.8.8
nc -zv DNS_SERVER_IP 53
# Проверка DNS логов (если есть local resolver)
sudo journalctl -u systemd-resolved
7. Низкая скорость соединения
bash
# Замеры скорости (с клиента)
iperf3 -c VPN_SERVER_IP -p 5201 -t 30
speedtest-cli
# Проверка задержки
ping -c 20 VPN_SERVER_IP
# Проверка буферов в конфиге
sudo grep -E "(sndbuf|rcvbuf|tun-mtu)" /etc/openvpn/server.conf
# Нагрузка на сервере
top -b -n 1 | grep openvpn
ps aux | grep openvpn
8. Множественные подключения не работают
bash
# Проверка duplicate-cn
sudo grep "duplicate-cn" /etc/openvpn/server.conf
# Проверка уникальных клиентских сертификатов
ls /etc/openvpn/client/
cat /etc/openvpn/client/client1.conf
# Проверка лимитов (если настроены)
sudo grep -E "(max-clients|max-users)" /etc/openvpn/server.conf
9. Ошибки шифрования/алгоритмов
bash
# Проверка cipher в конфиге
sudo grep -E "(cipher|data-ciphers|auth)" /etc/openvpn/server.conf
# Проверка версии OpenVPN (поддержка алгоритмов)
openvpn --version | grep "OpenVPN"
# Тест минимальной конфигурации
sudo openvpn --config /etc/openvpn/test.conf --test --verb 3
10. Соединение нестабильное
bash
# Проверка keepalive параметров
sudo grep -E "(keepalive|ping|ping-restart)" /etc/openvpn/server.conf
# Проверка reneg-sec
sudo grep "reneg-sec" /etc/openvpn/server.conf
# Логи разрывов
sudo grep -E "(restarting|reconnecting)" /var/log/openvpn/server.log | tail -20
# Статистика соединения
sudo cat /var/log/openvpn/status.log
?? NTP: Практические команды для траблшутинга
1. Сервис не запускается
bash
sudo systemctl status ntpd
sudo journalctl -u ntpd -n 30
sudo cat /var/log/ntp.log | tail -20
sudo netstat -tulpn | grep 123
sudo ls -la /etc/ntp.conf
sudo chown ntp:ntp /var/lib/ntp/ntp.drift
2. Не может синхронизироваться с источниками
bash
sudo ntpq -pn
sudo ntpstat
sudo ntpdate -q pool.ntp.org
sudo ping -c 3 time.google.com
sudo firewall-cmd --list-all | grep 123
sudo grep "^server" /etc/ntp.conf
3. Большая десинхронизация времени
bash
date
hwclock --show
sudo ntpdate -d pool.ntp.org
sudo grep "tinker" /etc/ntp.conf
sudo timedatectl status
sudo systemctl list-units | grep -E "(time|chrony|ntp)"
4. Ошибки "stratum" или "no valid sources"
bash
sudo ntpq -pn | grep -E "(refid|stratum)"
sudo grep -E "^server|^pool" /etc/ntp.conf
nslookup pool.ntp.org
sudo grep "^server 127.127.1.0" /etc/ntp.conf # локальный источник
5. Сервер отклонен как источник
bash
sudo ntpq -pn | grep -E "(\*|\+|\-|x)"
sudo grep -E "^restrict" /etc/ntp.conf
sudo grep "key" /etc/ntp.conf
sudo ntpdc -c peers
6. Проблемы с клиентами при использовании как NTP сервер
bash
# На сервере:
sudo grep "restrict" /etc/ntp.conf
sudo firewall-cmd --list-all | grep 123
sudo netstat -tulpn | grep 123
sudo ntpq -c clients
# На клиенте:
sudo ntpq -pn
sudo ntpdate -q NTP_SERVER_IP
7. Высокая задержка/джиттер
bash
sudo ntpq -pn | grep -E "(delay|jitter|offset)"
sudo ping -c 10 time.google.com
sudo grep -E "^server|^pool" /etc/ntp.conf
sudo grep -E "(minpoll|maxpoll)" /etc/ntp.conf
sudo traceroute -n time.google.com
8. Конфликты с другими службами времени
bash
sudo systemctl list-units | grep -E "(ntp|chrony|timedatectl)"
sudo systemctl status chronyd
sudo systemctl stop chronyd # временно остановить
sudo timedatectl set-ntp false # отключить systemd-timesyncd
9. Ошибки в виртуальных машинах
bash
sudo grep "disable kernel" /etc/ntp.conf
sudo systemctl cat ntpd | grep -E "(Condition|After)"
sudo vmware-toolbox-cmd timesync status # для VMware
sudo grep -E "(tinker|panic)" /etc/ntp.conf
sudo apt install chrony # попробовать chrony вместо ntpd
10. Проблемы после перезагрузки
bash
hwclock --show
sudo hwclock --systohc
sudo grep -E "(init|boot|start)" /etc/ntp.conf
sudo systemctl list-units --type=service | grep -E "(ntp|time)"
sudo timedatectl set-local-rtc 0
??? АЛГОРИТМ ТРАБЛШУТИНГА: Практические команды
ЛОГИ
bash
sudo journalctl -u SERVICE_NAME -n 50
sudo journalctl --since "10 minutes ago" | grep SERVICE_NAME
sudo tail -100 /var/log/SERVICE.log
sudo grep -E "(error|failed|critical)" /var/log/SERVICE.log
КОНФИГ
bash
sudo cat /etc/SERVICE.conf
sudo grep -v "^#" /etc/SERVICE.conf | grep -v "^$"
sudo ls -la /etc/SERVICE/
sudo diff /etc/SERVICE.conf /etc/SERVICE.conf.backup
СТАТУС
bash
sudo systemctl status SERVICE_NAME
sudo systemctl is-active SERVICE_NAME
sudo systemctl is-enabled SERVICE_NAME
ps aux | grep SERVICE_NAME
sudo systemctl list-dependencies SERVICE_NAME
СЕТЬ
bash
sudo netstat -tulpn | grep SERVICE_PORT
sudo ss -tulpn | grep SERVICE_PORT
sudo firewall-cmd --list-all | grep SERVICE_PORT
sudo iptables -L -n | grep SERVICE_PORT
ping -c 3 SERVICE_HOST
nc -zv SERVICE_HOST SERVICE_PORT
ПРАВА
bash
sudo ls -la /etc/SERVICE/
sudo ls -la /var/log/SERVICE.log
sudo ls -la /var/lib/SERVICE/
sudo grep "User=" /etc/systemd/system/SERVICE.service
sudo id SERVICE_USER
РЕСУРСЫ
bash
top -b -n 1 | grep SERVICE_NAME
ps aux | grep SERVICE_NAME | head -10
free -h
df -h /var/lib/SERVICE/
sudo systemd-cgtop | grep SERVICE_NAME
ВЕРСИИ
```bash
SERVICE_NAME --version
sudo apt show SERVICE_NAME
sudo rpm -qi SERVICE_NAME
dpkg -l |
ТЕХНОЛОГИЯ: Firewall (iptables / nftables / ufw)
Блокировка SSH (основная ошибка)
Диагностика: Потеря доступа к серверу.
Траблшут: Доступ через KVM/VNC консоль провайдера, iptables -F (с осторожностью).
Порядок правил (Chain Priority)
Диагностика: Правило «разрешить» не работает из-за «запретить» выше.
Траблшут: Использовать -I (insert) для добавления в начало списка.
Несохраненные правила после перезагрузки
Диагностика: После перезагрузки правила исчезают.
Траблшут: Использовать iptables-save > /etc/iptables/rules.v4 / iptables-persistent.
Неправильный интерфейс (Interface Binding)
Диагностика: Правила применяются, но не действуют (напр., блокировка идет на eth1 вместо eth0).
Траблшут: ip link show — уточнить имя интерфейса.
Отсутствие политики DROP на INPUT
Диагностика: Все порты открыты по умолчанию.
Траблшут: iptables -P INPUT DROP, затем последовательно разрешить нужные (ssh, http, etc).
Блокировка трафика loopback
Диагностика: Не работают локальные сервисы (базы данных, сокеты).
Траблшут: iptables -A INPUT -i lo -j ACCEPT.
Разрыв ESTABLISHED соединений
Диагностика: Все работает, но через 2 минуты сессии обрываются.
Траблшут: Обязательно добавить: iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT.
Проблемы с NAT (Masquerading)
Диагностика: Машина в локальной сети не имеет выхода в интернет.
Траблшут: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE.
ICMP блокировка
Диагностика: Сервер не "пингуется", хотя сайты работают.
Траблшут: Разрешить ping: iptables -A INPUT -p icmp -j ACCEPT.
Применение правил без проверки
Диагностика: Система зависла или связь пропала навсегда.
Траблшут: Использовать iptables-apply или скрипт с sleep 60 && iptables -F.
Алгоритм диагностики для любого Сетевого сервиса:
Проверка портов: ss -tulpn или netstat -tulpn.
Проверка правил фаервола: iptables -vnL или nft list ruleset.
Проверка трафика: tcpdump -i any port 1194 (или другой нужный порт).
Проверка маршрутов: ip route.
Логи: /var/log/syslog или /var/log/messages (искать по названию сервиса).
ТЕХНОЛОГИЯ: Zabbix в Linux
Топ-10 неисправностей и алгоритмы их решения:
Агент не отправляет данные на сервер
Диагностика: zabbix_agentd -t "system.uptime", проверить /var/log/zabbix/zabbix_agentd.log
Алгоритм:
Проверить коннективность: telnet zabbix_server 10051
Проверить Server= в /etc/zabbix/zabbix_agentd.conf
Проверить файрвол: iptables -L -n | grep 10050|10051
Перезапустить агент: systemctl restart zabbix-agent
Zabbix сервер не запускается (проблемы с БД)
Диагностика: systemctl status zabbix-server, journalctl -u zabbix-server
Алгоритм:
Проверить подключение к БД: mysql -u zabbix -p zabbix
Проверить пароль в /etc/zabbix/zabbix_server.conf (параметры DBPassword)
Проверить доступность БД: systemctl status mariadb/mysql
Проверить свободное место на диске для БД
Проблемы с веб-интерфейсом (502/504 ошибки)
Диагностика: tail -f /var/log/nginx/error.log, systemctl status php-fpm
Алгоритм:
Проверить PHP-FPM: systemctl restart php-fpm
Увеличить лимиты PHP в /etc/php-fpm.d/zabbix.conf
Проверить сессии PHP: ls -la /var/lib/php/session/
Очистить кеш Zabbix: zabbix_server -R housekeeper_execute
Высокая нагрузка на сервер Zabbix
Диагностика: Медленный веб-интерфейс, high load
Алгоритм:
Проверить количество элементов: SELECT COUNT(*) FROM items
Оптимизировать интервалы опроса, отключить ненужные items
Увеличить параметры в конфиге: StartPollers, StartPreprocessors
Настроить пассивные проверки вместо активных
Проблемы с мониторингом по SNMP
Диагностика: Данные не собираются, ошибки "Timeout"
Алгоритм:
Проверить SNMP локально: snmpwalk -v2c -c community host_ip system
Проверить версию SNMP в настройках хоста
Проверить OID: snmpget -v2c -c community host_ip OID
Увеличить таймаут в настройках SNMP интерфейса
Дублирование триггеров/событий
Диагностика: Одна проблема создает множество событий
Алгоритм:
Проверить зависимые триггеры
Настроить корреляции событий
Использовать event.acknowledged в действиях
Проверить интервалы проверок триггеров
Проблемы с автоматическим обнаружением (autoregistration)
Диагностика: Новые хосты не добавляются автоматически
Алгоритм:
Проверить настройки авторегистрации в Administration > Actions
Проверить, что на агенте указан правильный HostMetadata
Проверить права доступа для автоматически создаваемых хостов
Проверить фильтры в действиях авторегистрации
Ошибки в графиках "No data to display"
Диагностика: Графики пустые, но данные в Latest Data есть
Алгоритм:
Проверить исторические данные: SELECT * FROM trends LIMIT 10
Проверить настройки хранения history/trends в конфиге
Запустить сбор данных вручную: zabbix_server -R config_cache_reload
Проверить права на директорию /tmp для графиков
Проблемы с отправкой уведомлений
Диагностика: Триггеры срабатывают, но алерты не приходят
Алгоритм:
Проверить медиа типы пользователей
Проверить Actions > Operations > Send message
Тестировать медиа: Administration > Media types > Test
Проверить лог: tail -f /var/log/zabbix/zabbix_server.log
Проблемы с шаблонами и наследованием
Диагностика: Изменения в шаблоне не применяются к хостам
Алгоритм:
Принудительно обновить: Configuration > Hosts > Mass update > Update
Проверить связи шаблонов: Configuration > Templates
Использовать zabbix_server -R config_cache_reload
Проверить макросы на уровне хоста
ТЕХНОЛОГИЯ: Firewall (iptables / nftables / ufw)
1. Блокировка SSH (основная ошибка)
Траблшут: iptables -F
Что делает и зачем: Полностью очищает (удаляет) все правила во всех цепочках выбранной таблицы. Помогает в траблшутинге тем, что мгновенно снимает все блокировки фаервола, позволяя восстановить доступ к серверу, если вы ошибочно заблокировали сами себя.
Разбор слов:
iptables — утилита управления фильтром пакетов IPv4.
-F (Flush) — команда на очистку всех правил.
2. Порядок правил (Chain Priority)
Траблшут: Использовать -I (insert).
Что делает и зачем: Вставляет правило в начало списка (или по конкретному номеру). В траблшутинге это критично, так как iptables читает правила сверху вниз до первого совпадения. Если в конце стоит «запретить всё», то ваше новое правило «разрешить», добавленное в конец, не сработает.
Разбор:
-I (Insert) — вставить правило (по умолчанию в самое начало, позиция №1).
3. Несохраненные правила после перезагрузки
Траблшут: iptables-save > /etc/iptables/rules.v4
Что делает и зачем: Выводит текущую конфигурацию правил из памяти в файл. Используется для сохранения настроек, чтобы после перезагрузки сервера фаервол не стал «пустым».
Разбор слов:
iptables-save — утилита для экспорта текущих правил в текстовый формат.
> — оператор перенаправления вывода в файл.
/etc/iptables/rules.v4 — стандартный путь к файлу, откуда автозагрузчик берет правила.
4. Неправильный интерфейс
Траблшут: ip link show
Что делает и зачем: Показывает список всех сетевых интерфейсов и их состояние (UP/DOWN). Помогает понять, как именно называется ваш сетевой адаптер (eth0, ens3, и т.д.), чтобы не применить правила к «пустому» интерфейсу.
Разбор слов:
ip — основной инструмент управления сетью в Linux.
link — объект управления (канальный уровень).
show — команда отображения информации.
5. Отсутствие политики DROP на INPUT
Траблшут: iptables -P INPUT DROP
Что делает и зачем: Устанавливает «политику по умолчанию». Если пакет не подошел ни под одно разрешающее правило, он будет отброшен. Это основа безопасности (модель «запрещено всё, что не разрешено»).
Разбор слов:
-P (Policy) — установить политику.
INPUT — цепочка входящего трафика.
DROP — действие «отбросить пакет без ответа».
6. Блокировка трафика loopback
Траблшут: iptables -A INPUT -i lo -j ACCEPT
Что делает и зачем: Разрешает любой входящий трафик на локальную «петлю» (локальный хост). Помогает, когда сервисы (например, Zabbix и База Данных) на одном сервере не могут «общаться» друг с другом.
Разбор слов:
-A (Append) — добавить правило в конец цепочки.
INPUT — цепочка входящих пакетов.
-i (Interface) — фильтр по входящему интерфейсу.
lo — loopback (локальный интерфейс 127.0.0.1).
-j (Jump) — что сделать с пакетом.
ACCEPT — разрешить проход.
7. Разрыв ESTABLISHED соединений
Траблшут: iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
Что делает и зачем: Разрешает пакеты, которые являются частью уже открытых или связанных сессий. Это критически важное правило: без него вы сможете отправить запрос на сайт, но сервер не пустит к вам ответный трафик.
Разбор слов:
-m conntrack — использовать модуль отслеживания соединений.
--ctstate — критерий состояния соединения.
ESTABLISHED — пакет принадлежит уже установленному соединению.
RELATED — пакет открывает новое соединение, связанное с уже существующим (например, передача данных в FTP).
8. Проблемы с NAT (Masquerading)
Траблшут: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Что делает и зачем: Включает механизм трансляции адресов, чтобы локальные машины могли выходить в интернет через IP этого сервера.
Разбор слов:
-t nat — работать с таблицей NAT (трансляция адресов).
POSTROUTING — цепочка правил, применяемых на выходе из сервера.
-o (Out-interface) — через какой интерфейс пакет уходит в мир (eth0).
MASQUERADE — «маскировка», замена локального IP на внешний IP сервера.
9. ICMP блокировка
Траблшут: iptables -A INPUT -p icmp -j ACCEPT
Что делает и зачем: Разрешает протокол ICMP. Используется для диагностики: позволяет серверу отвечать на команду ping, что помогает проверить "жив" ли хост.
Разбор слов:
-p icmp — фильтрация по протоколу ICMP (Internet Control Message Protocol).
10. Применение правил без проверки
Траблшут: sleep 60 && iptables -F
Что делает и зачем: Это «страховка». Команда подождет 60 секунд и очистит правила. Если вы ввели команду, связь оборвалась, вы ничего не делаете — через минуту фаервол откроется, и вы сможете зайти снова. Если связь не пропала, вы просто отменяете команду очистки.
Разбор слов:
sleep 60 — ждать 60 секунд.
&& — выполнить следующую команду только если первая завершилась успешно.
АЛГОРИТМ ДИАГНОСТИКИ СЕТЕВОГО СЕРВИСА
Проверка портов: ss -tulpn
Что делает: Показывает, какие программы «слушают» сетевые порты.
Разбор: ss (socket statistics), -t (TCP), -u (UDP), -l (слушающие), -p (название процесса/PID), -n (числовые значения вместо имен сервисов).
Проверка правил: iptables -vnL
Что делает: Выводит список правил с подробностями.
Разбор: -v (verbose/подробно), -n (numeric/числами), -L (list/список). Флаг -v полезен в траблшутинге, так как показывает счетчики пакетов (видно, "попадают" ли пакеты в правило).
Проверка трафика: tcpdump -i any port 1194
Что делает: Перехватывает и показывает пакеты в реальном времени. Позволяет увидеть, доходит ли трафик до сервера вообще.
Разбор: tcpdump — сниффер трафика, -i any — слушать на всех интерфейсах, port 1194 — фильтровать только пакеты порта 1194 (например, OpenVPN).
Проверка маршрутов: ip route
Что делает: Показывает таблицу маршрутизации (куда сервер отправляет пакеты для разных сетей).
Логи: journalctl -u zabbix-server
Что делает: Показывает системные логи конкретного сервиса.
Разбор: journalctl — инструмент работы с системным журналом, -u (unit) — фильтрация по юниту (сервису).
ТЕХНОЛОГИЯ: Zabbix в Linux
1. Проверка агента
Траблшут: zabbix_agentd -t "system.uptime"
Что делает: Тестовый запуск агента для проверки конкретного ключа. Помогает понять, может ли агент сам собрать данные локально.
Разбор: -t (test) — проверить указанный элемент данных и выйти.
Траблшут: telnet zabbix_server 10051
Что делает: Проверяет, открыт ли сетевой путь до сервера на нужный порт.
Траблшут: systemctl restart zabbix-agent
Что делает: Перезагружает сервис агента для применения настроек из файла конфигурации.
2. Проблемы с БД
Траблшут: mysql -u zabbix -p zabbix
Что делает: Попытка входа в консоль базы данных под пользователем zabbix. Проверяет корректность пароля и прав доступа.
Разбор: -u (user), -p (запросить пароль), zabbix (имя базы данных в конце).
3. Проблемы с веб-интерфейсом
Траблшут: tail -f /var/log/nginx/error.log
Что делает: Выводит последние строки лог-файла веб-сервера и «следит» за ними в реальном времени. Позволяет увидеть ошибки 502/504 в момент их появления.
Траблшут: zabbix_server -R housekeeper_execute
Что делает: Принудительно запускает процесс очистки базы данных («хаускипер»). Помогает, если база переполнена старыми данными.
Разбор: -R (runtime_control) — управление запущенным процессом.
5. Мониторинг по SNMP
Траблшут: snmpwalk -v2c -c community host_ip system
Что делает: Опрашивает устройство по протоколу SNMP и выводит дерево данных. Помогает понять, отвечает ли конечное устройство (роутер/коммутатор) вообще.
Разбор: -v2c — версия протокола, -c — community string (пароль), system — раздел данных для проверки.
8. Ошибки в графиках
Траблшут: zabbix_server -R config_cache_reload
Что делает: Заставляет сервер немедленно перечитать конфигурацию из базы данных в свою память (RAM). Помогает, когда вы внесли изменения, но они «не подхватились».
ТЕХНОЛОГИЯ: Dr.Web в Linux
Топ-10 неисправностей и алгоритмы их решения:
Антивирус не запускается после обновления
Диагностика: systemctl status drweb, /var/log/drweb/error.log
Алгоритм:
Проверить ядро: uname -r, совместимость с модулями drweb
Пересобрать модули: /opt/drweb/update_modules.sh
Проверить лицензию: /opt/drweb/drweb-ctl license --show
Откатить обновление: apt install drweb=версия или yum downgrade
Высокая нагрузка на ЦП от drwebd
Диагностика: top, ps aux | grep drweb, нагрузка > 50% постоянно
Алгоритм:
Проверить сканирование в реальном времени
Настроить исключения для системных директорий
Оптимизировать расписание полного сканирования
Обновить до последней версии (возможен баг)
Конфликт с другими антивирусами/SELinux
Диагностика: Ошибки в логах, периодические падения
Алгоритм:
Проверить наличие других AV: ps aux | grep -i antivir
Настроить SELinux: setsebool -P drweb_can_network on
Проверить аудит SELinux: ausearch -m avc -ts recent
Добавить исключения в политики SELinux
Проблемы с обновлением вирусных баз
Диагностика: Базы устарели, ошибки при update
Алгоритм:
Проверить интернет-соединение: ping update.drweb.com
Проверить DNS: nslookup update.drweb.com
Проверить прокси-настройки в /etc/drweb/drweb32.ini
Загрузить базы вручную с сайта Dr.Web
Ложные срабатывания (false positives)
Диагностика: Легитимные файлы определяются как вирусы
Алгоритм:
Добавить файл/директорию в исключения
Отправить файл на анализ в Dr.Web
Обновить базы сигнатур
Настроить эвристический анализ менее агрессивно
Проблемы с почтовым сканером (drweb-ms)
Диагностика: Почта не сканируется, задерживается
Алгоритм:
Проверить службу: systemctl status drweb-ms
Проверить конфиг /etc/drweb/drweb-ms.ini
Проверить интеграцию с Postfix/Exim
Проверить права на сокеты и пайпы
Ошибки при сканировании больших файлов
Диагностика: Сканирование прерывается, таймауты
Алгоритм:
Увеличить таймауты в настройках
Исключить файлы по размеру (> 2GB)
Проверить свободное место в /tmp
Оптимизировать расписание сканирования
Проблемы с веб-интерфейсом (Dr.Web Enterprise)
Диагностика: Недоступность web-консоли, ошибки 500
Алгоритм:
Проверить tomcat: systemctl status tomcat
Проверить логи: /var/log/drweb/server.log
Проверить БД: systemctl status postgresql
Очистить кеш веб-интерфейса
Конфликты с Docker/контейнерами
Диагностика: Контейнеры не запускаются, ошибки доступа
Алгоритм:
Исключить директории Docker: /var/lib/docker
Отключить сканирование в реальном времени для docker.sock
Настроить политики для overlay2 файловой системы
Использовать on-demand сканирование вместо real-time
Проблемы с лицензией
Диагностика: "License expired", антивирус отключается
Алгоритм:
Проверить срок: /opt/drweb/drweb-ctl license --show
Обновить лицензию: /opt/drweb/drweb-ctl license --update
Активировать ключ: /opt/drweb/drweb-ctl license --set ключ
Проверить дату системы: date (если сбита)
ТЕХНОЛОГИЯ: WireGuard в Linux
Топ-10 неисправностей и алгоритмы их решения:
Интерфейс wg0 не поднимается
Диагностика: ip link show wg0, systemctl status wg-quick@wg0
Алгоритм:
Проверить наличие модуля: lsmod | grep wireguard
Загрузить модуль: modprobe wireguard
Проверить конфиг: wg-quick strip /etc/wireguard/wg0.conf
Проверить права: chmod 600 /etc/wireguard/wg0.conf
Проблемы с ключами
Диагностика: wg show показывает ошибки ключей
Алгоритм:
Сгенерировать новые ключи: wg genkey, wg pubkey
Проверить соответствие публичного и приватного ключей
Убедиться, что на сервере - публичный ключ клиента, и наоборот
Пересоздать все ключи и переконфигурировать всех клиентов
Нет подключения (handshake не завершается)
Диагностика: wg show показывает 0 байт, last handshake давно
Алгоритм:
Проверить доступность порта: nc -zu server_ip 51820
Проверить файрвол: iptables -L -n | grep 51820
Проверить маршрутизацию: traceroute server_ip
Проверить Endpoint в конфиге (IP:PORT)
Подключение есть, но трафик не проходит
Диагностика: Handshake успешен, но ping не работает
Алгоритм:
Проверить маршруты: ip route show table all
Проверить AllowedIPs в конфигах (должны быть взаимные)
Включить IP forwarding: sysctl net.ipv4.ip_forward=1
Проверить NAT: iptables -t nat -L POSTROUTING
Проблемы с DNS в VPN
Диагностика: Пинг по IP работает, по доменам - нет
Алгоритм:
Добавить в конфиг: DNS = 8.8.8.8
Проверить resolv.conf: cat /etc/resolv.conf
Использовать systemd-resolved: resolvectl dns wg0 1.1.1.1
Проверить DNS утечки через dnsleaktest.com
Утечка IPv6 трафика
Диагностика: IPv6 трафик идет вне VPN
Алгоритм:
Отключить IPv6: sysctl net.ipv6.conf.all.disable_ipv6=1
Или настроить IPv6 в WireGuard
Проверить AllowedIPs = 0.0.0.0/0, ::/0
Настроить IPv6 маршрутизацию
Высокий пинг/потери пакетов
Диагностика: Нестабильное соединение, лаги
Алгоритм:
Проверить MTU: ping -M do -s 1400 server_ip
Установить MTU в конфиге: MTU = 1420
Проверить сетевую стабильность без VPN
Сменить порт или протокол (если провайдер ограничивает)
Конфликт подсетей
Диагностика: Локальная сеть клиента совпадает с сетью VPN
Алгоритм:
Изменить подсеть VPN (например, 10.10.0.0/24)
Использовать UniqueLocalIP для каждого клиента
Настроить маршрутизацию через PostUp скрипты
Разделить таблицы маршрутизации
Проблемы с PersistentKeepalive
Диагностика: Соединение обрывается при простое
Алгоритм:
Добавить: PersistentKeepalive = 25
Проверить NAT таймауты на роутерах
Увеличить интервал до 60 секунд
Проверить логи роутера клиента
Проблемы с системными службами (systemd)
Диагностика: Интерфейс не поднимается при загрузке
Алгоритм:
Включить автозагрузку: systemctl enable wg-quick@wg0
Проверить зависимости: systemctl list-dependencies wg-quick@wg0
Добавить задержку: [Unit] After=network-online.target Wants=network-online.target
Проверить сетевой менеджер (NetworkManager может конфликтовать)
Универсальный алгоритм диагностики сетевых сервисов:
Проверка служб: systemctl status <service>
Логи: journalctl -u <service> -f, /var/log/
Сеть: ss -tulpn, ping, traceroute
Конфиги: Синтаксис, права, корректность настроек
Рестарт: systemctl restart <service> (после бэкапа конфигов)
ТЕХНОЛОГИЯ: Dr.Web в Linux
1. Антивирус не запускается после обновления
Траблшут: uname -r
Зачем: Показывает версию текущего ядра Linux. Антивирусы часто используют модули ядра, которые жестко привязаны к его версии. Если ядро обновилось, Dr.Web может не запуститься.
Разбор: uname (unix name) — системная утилита, -r (release) — флаг для вывода именно версии релиза ядра.
Траблшут: /opt/drweb/update_modules.sh
Зачем: Скрипт пересборки модулей под текущее окружение. Помогает, если системные библиотеки или ядро изменились.
Траблшут: /opt/drweb/drweb-ctl license --show
Зачем: Проверка статуса лицензии. Помогает понять, не заблокирована ли работа антивируса из-за истечения срока ключа.
Разбор: drweb-ctl — основной инструмент управления Dr.Web, license — объект управления, --show — команда отображения.
Траблшут: apt install drweb=версия
Зачем: Принудительная установка старой (рабочей) версии пакета (откат).
Разбор: apt — менеджер пакетов, install — установка, = — указание конкретной версии.
2. Высокая нагрузка на ЦП
Траблшут: top / ps aux | grep drweb
Зачем: Позволяет увидеть нагрузку в реальном времени и ID процессов (PID), которые потребляют ресурсы.
Разбор: ps (process status), aux (показать процессы всех пользователей и системные), grep — поиск строки "drweb" в списке.
3. Конфликт с SELinux
Траблшут: setsebool -P drweb_can_network on
Зачем: Разрешает Dr.Web работу с сетью на уровне системы безопасности SELinux. Без этого антивирус может «падать» при попытке обновиться.
Разбор: setsebool — установить булево значение безопасности, -P (persistent) — сохранить после перезагрузки, drweb_can_network — имя правила.
Траблшут: ausearch -m avc -ts recent
Зачем: Ищет в логах SELinux недавние отказы (запреты). Помогает понять, какое именно действие Dr.Web заблокировала система.
Разбор: ausearch (audit search), -m avc — искать сообщения об отказе доступа (Access Vector Cache), -ts recent (time start) — за последнее время.
4. Проблемы с обновлением
Траблшут: nslookup update.drweb.com
Зачем: Проверка работы DNS. Если сервер не может разрешить имя в IP-адрес, обновление не начнется.
Разбор: nslookup (name server lookup) — утилита запросов к DNS.
ТЕХНОЛОГИЯ: WireGuard в Linux
1. Интерфейс wg0 не поднимается
Траблшут: lsmod | grep wireguard
Зачем: Проверяет, загружен ли модуль WireGuard в ядро Linux. Если модуля нет, интерфейс не создастся.
Разбор: lsmod (list modules) — список модулей в памяти.
Траблшут: modprobe wireguard
Зачем: Принудительная загрузка модуля в ядро.
Траблшут: wg-quick strip /etc/wireguard/wg0.conf
Зачем: Команда выводит «чистый» конфиг, который понимает утилита wg. Позволяет проверить синтаксис файла на ошибки до его активации.
Разбор: wg-quick — скрипт быстрой настройки, strip — убрать специфичные для скрипта команды, оставив только ядро настроек.
Траблшут: chmod 600 /etc/wireguard/wg0.conf
Зачем: Устанавливает права доступа. Файлы с приватными ключами должны быть доступны только владельцу, иначе WireGuard может отказаться работать из соображений безопасности.
2. Проблемы с ключами
Траблшут: wg genkey / wg pubkey
Зачем: Генерация пары ключей.
Разбор: wg — утилита управления VPN, genkey (generate key) — создать приватный ключ.
3. Нет подключения (handshake)
Траблшут: nc -zu server_ip 51820
Зачем: Проверка доступности UDP-порта сервера. Поскольку WireGuard работает на UDP, обычный telnet не сработает.
Разбор: nc (netcat), -z (zero-I/O) — просто сканировать, не отправлять данные, -u (UDP) — использовать протокол UDP.
4. Трафик не проходит
Траблшут: sysctl net.ipv4.ip_forward=1
Зачем: Включает пересылку пакетов между интерфейсами (роутинг). Без этого сервер получит пакет от клиента, но не отправит его дальше в интернет.
Разбор: sysctl — управление параметрами ядра во время работы.
5. Проблемы с DNS
Траблшут: resolvectl dns wg0 1.1.1.1
Зачем: Принудительно назначает DNS-сервер для конкретного интерфейса в современных дистрибутивах с systemd.
Разбор: resolvectl — управление службой разрешения имен, dns — параметр настройки серверов.
6. Утечка IPv6
Траблшут: sysctl net.ipv6.conf.all.disable_ipv6=1
Зачем: Полностью отключает поддержку IPv6. Помогает, если трафик уходит "в обход" VPN через IPv6 каналы провайдера.
7. Проверка MTU
Траблшут: ping -M do -s 1400 server_ip
Зачем: Поиск оптимального размера пакета. Помогает выявить "зависание" сессий из-за слишком больших заголовков VPN.
Разбор: -M do — запретить фрагментацию пакета (Path MTU Discovery), -s 1400 — установить размер данных пакета в 1400 байт.
10. Системные службы
Траблшут: systemctl enable wg-quick@wg0
Зачем: Добавляет интерфейс VPN в автозагрузку при старте сервера.
Разбор: enable — включить автозапуск, @wg0 — инстанс сервиса, соответствующий имени вашего файла конфигурации.
Универсальный алгоритм (комментарии к командам)
systemctl status <service> — проверка текущего пульса сервиса (работает/упал + причина падения).
journalctl -u <service> -f — -f (follow) заставляет терминал "прилипнуть" к логу и выводить новые ошибки в реальном времени.
ss -tulpn — -t (tcp), -u (udp), -l (listen), -p (process), -n (numeric). Показывает, какой процесс "занял" порт.
ТЕХНОЛОГИЯ: EasyRSA в Linux
Топ-10 неисправностей и алгоритмы их решения:
Сбой генерации корневого сертификата (CA)
Диагностика: ./easyrsa build-ca завершается с ошибкой
Алгоритм:
Проверить openssl: openssl version
Проверить права на директорию: ls -la pki/
Очистить старые файлы: ./easyrsa init-pki
Проверить наличие конфига vars: cat vars.example
Ошибка "unable to write 'random state'"
Диагностика: OpenSSL не может записать состояние
Алгоритм:
Проверить наличие ~/.rnd: ls -la ~/.rnd
Создать файл: openssl rand -writerand ~/.rnd
Установить права: chmod 600 ~/.rnd
Указать RANDFILE в окружении
Проблемы с истечением срока действия сертификатов
Диагностика: Сертификаты просрочены
Алгоритм:
Проверить срок: openssl x509 -in pki/issued/server.crt -dates
Сгенерировать новые с увеличенным сроком: ./easyrsa --days=3650 build...
Обновить все цепочки доверия
Перевыпустить CRL: ./easyrsa gen-crl
Ошибки при подписании запросов (CSR)
Диагностика: ./easyrsa sign-req возвращает ошибки
Алгоритм:
Проверить CA: ./easyrsa status
Проверить CSR: openssl req -in pki/reqs/client.req -text
Убедиться, что CA не истек
Использовать флаг nopass при подписании
Проблемы с паролями (passphrases)
Диагностика: Запрос пароля при каждой операции
Алгоритм:
Использовать nopass: ./easyrsa build-ca nopass
Создать unprotected ключи
Указать пароль в vars: set_var EASYRSA_BATCH "yes"
Использовать автоматизацию через expect
Неправильные Subject Alternative Names (SAN)
Диагностика: Сертификат не принимается из-за SAN
Алгоритм:
Проверить SAN: openssl x509 -in cert.crt -text | grep DNS
Создать новый с правильными SANs через конфиг
Использовать --subject-alt-name параметр
Пересоздать CSR с полным конфигом
Конфликты версий EasyRSA
Диагностика: Разные версии на клиенте/сервере
Алгоритм:
Проверить версию: ./easyrsa version
Использовать одинаковые версии на всех системах
Экспортировать/импортировать pki структуру
Конвертировать форматы ключей при необходимости
Проблемы с ключами Diffie-Hellman (DH)
Диагностика: Ошибки при генерации DH параметров
Алгоритм:
Сгенерировать отдельно: openssl dhparam -out dh.pem 2048
Использовать готовые параметры
Уменьшить размер для тестов: 1024 бит
Проверить наличие файла: ls pki/dh.pem
Ошибки формата ключей (PEM/DER)
Диагностика: Сервисы не принимают ключи
Алгоритм:
Проверить формат: file key.pem
Конвертировать: openssl rsa -in key.pem -outform PEM
Убрать пароль: openssl rsa -in encrypted.key -out decrypted.key
Проверить начало файла: -----BEGIN RSA PRIVATE KEY-----
Проблемы с цепочкой доверия (chain)
Диагностика: Браузер/клиент не доверяет сертификату
Алгоритм:
Собрать полную цепочку: cat ca.crt intermediate.crt > chain.crt
Проверить цепочку: openssl verify -CAfile ca.crt server.crt
Убедиться, что все промежуточные CA включены
Обновить хранилища доверенных корневых сертификатов
ТЕХНОЛОГИЯ: Samba в Linux
Топ-10 неисправностей и алгоритмы их решения:
Ошибка "NT_STATUS_LOGON_FAILURE"
Диагностика: Не удается войти с валидными учетными данными
Алгоритм:
Проверить пользователя: pdbedit -L -v
Установить пароль: smbpasswd -a username
Проверить логи: tail -f /var/log/samba/log.smbd
Синхронизировать с системными пользователями
Отсутствуют общие папки в сетевом окружении
Диагностика: Шары не видны при просмотре сети
Алгоритм:
Проверить рабочую группу: workgroup = WORKGROUP в smb.conf
Включить discovery: discovery = yes
Проверить master browser: netstat -nap | grep 445
Перезапустить nmbd: systemctl restart nmbd
Проблемы с правами доступа к файлам
Диагностика: Файлы доступны только для чтения
Алгоритм:
Проверить права Linux: ls -la /path/to/share
Настроить force user/group в smb.conf
Установить правильные маски: create mask = 0644
Проверить SELinux: getenforce, setsebool -P samba_export_all_rw on
Медленная скорость передачи файлов
Диагностика: Копирование идет медленно
Алгоритм:
Оптимизировать буферы: socket options = TCP_NODELAY SO_RCVBUF=65536 SO_SNDBUF=65536
Отключить signing: server signing = no
Увеличить размер записи: max xmit = 65536
Проверить сетевую карту: ethtool eth0
Ошибка "tree connect failed"
Диагностика: Не удается подключиться к шаре
Алгоритм:
Проверить существование пути: ls -ld /path
Проверить разрешения в smb.conf: valid users =
Проверить доступность портов: netstat -ltn | grep 445
Проверить файрвол: firewall-cmd --list-services
Проблемы с кириллицей/кодировкой
Диагностика: Русские имена файлов отображаются некорректно
Алгоритм:
Установить кодировку: dos charset = CP1251, unix charset = UTF8
Проверить локаль Linux: locale
Перекодировать имена: convmv -f cp1251 -t utf8 -r /path
Использовать параметр mangled names = no
Конфликты с Windows Defender/брандмауэром
Диагностика: Доступ только с Linux, Windows не подключается
Алгоритм:
Проверить SMB версию: server min protocol = SMB2
Настроить исключения в Windows Firewall
Отключить SMB signing на клиенте Windows
Использовать IP вместо имени хоста
Проблемы с печатью через Samba
Диагностика: Принтеры не видны или не работают
Алгоритм:
Проверить CUPS: systemctl status cups
Настроить printer driver: printcap name = cups
Установить драйверы Windows на сервер
Проверить логи CUPS: /var/log/cups/error_log
Ошибки аутентификации домена (Active Directory)
Диагностика: Не удается присоединиться к домену
Алгоритм:
Проверить DNS: nslookup domain.local
Выполнить join: net ads join -U administrator
Проверить ключи Kerberos: klist
Синхронизировать время: ntpdate dc.domain.local
Samba не запускается после изменения конфига
Диагностика: systemctl status smbd показывает ошибки
Алгоритм:
Проверить синтаксис: testparm -s
Проверить логи: journalctl -u smbd -f
Откатить изменения: cp smb.conf.backup smb.conf
Проверить зависимости: systemctl restart nmbd winbind
Продолжаем углубленный разбор технологий с комментариями к каждой ключевой команде.
ТЕХНОЛОГИЯ: EasyRSA в Linux
Инструмент для управления инфраструктурой публичных ключей (PKI) на базе OpenSSL.
1. Сбой генерации корневого сертификата (CA)
Траблшут: ./easyrsa init-pki
Зачем: Создает чистую структуру директорий для хранения ключей. Решает 90% проблем, связанных с остатками старых конфигураций.
Разбор: init-pki (initialize Public Key Infrastructure) — команда очистки и подготовки среды.
Траблшут: cat vars.example
Зачем: Проверка шаблона переменных (срок действия, параметры организации). Без корректного файла vars EasyRSA использует значения по умолчанию, которые могут не подходить.
2. Ошибка "unable to write 'random state'"
Траблшут: openssl rand -writerand ~/.rnd
Зачем: OpenSSL требуется файл энтропии (случайных данных) для генерации криптографически стойких ключей. Если файл недоступен на запись, генерация прервется.
Разбор: rand — инструмент работы со случайными числами, -writerand — флаг записи в указанный путь.
3. Истечение срока действия
Траблшут: openssl x509 -in pki/issued/server.crt -dates -noout
Зачем: Показывает даты notBefore (начало) и notAfter (конец действия) сертификата.
Разбор: x509 — стандарт формата сертификата, -in — путь к файлу, -dates — фильтр вывода дат, -noout — не выводить само тело сертификата.
8. Проблемы с ключами Diffie-Hellman (DH)
Траблшут: openssl dhparam -out dh.pem 2048
Зачем: Генерация параметров Диффи-Хеллмана для защиты от перехвата трафика (Forward Secrecy). На слабых процессорах это может занимать много времени.
10. Цепочка доверия (Chain)
Траблшут: cat ca.crt intermediate.crt > chain.crt
Зачем: Если используется промежуточный центр сертификации, клиент (браузер) должен видеть весь путь до корня. Конкатенация файлов объединяет их в один бандл.
Траблшут: openssl verify -CAfile ca.crt server.crt
Зачем: Проверка подлинности: подписан ли server.crt именно этим ca.crt.
ТЕХНОЛОГИЯ: Samba в Linux
Реализация протокола SMB/CIFS для общего доступа к файлам и принтерам с Windows-клиентами.
1. Ошибка "NT_STATUS_LOGON_FAILURE"
Траблшут: pdbedit -L -v
Зачем: Выводит список пользователей в базе данных Samba (SAM). Системный пользователь Linux и пользователь Samba — это не одно и то же.
Разбор: pdbedit (password database edit), -L (list), -v (verbose) — подробный вывод.
Траблшут: smbpasswd -a username
Зачем: Добавляет пользователя в базу Samba и устанавливает ему «сетевой» пароль.
3. Проблемы с правами доступа
Траблшут: setsebool -P samba_export_all_rw on
Зачем: Если включен SELinux, он запретит Samba читать файлы вне специфических папок. Эта команда разрешает Samba экспорт любых директорий на чтение/запись.
Траблшут: create mask = 0644 (в smb.conf)
Зачем: Определяет права, с которыми файл будет создан в Linux, если его загрузит Windows-пользователь.
4. Медленная скорость
Траблшут: socket options = TCP_NODELAY
Зачем: Отключает алгоритм Нагла. Позволяет отправлять пакеты сразу, не дожидаясь заполнения буфера, что критично для мелких операций в сети.
Траблшут: ethtool eth0
Зачем: Проверка физической скорости линка (100Mb/1Gb) и режима Duplex.
6. Проблемы с кириллицей
Траблшут: convmv -f cp1251 -t utf8 -r /path
Зачем: Утилита для массового перекодирования имен файлов. Помогает, если архив с Windows был разархивирован в Linux с битой кодировкой.
Разбор: convmv (convert move), -f (from), -t (to), -r (recursive).
9. Ошибки аутентификации домена (AD)
Траблшут: net ads join -U administrator
Зачем: Ввод Linux-сервера в домен Active Directory.
Разбор: net — универсальная утилита Samba, ads (Active Directory Service), join — операция присоединения.
Траблшут: klist
Зачем: Проверка наличия билета Kerberos. Если билет просрочен, доступ к доменным шарам пропадет.
10. Ошибки конфига
Траблшут: testparm -s
Зачем: Проверяет smb.conf на опечатки и логические ошибки. Выводит итоговый конфиг (с учетом всех инклудов), который реально видит демон smbd.
Разбор: testparm (test parameters).
Общий совет по диагностике:
Всегда начинайте с tail -f /var/log/syslog или journalctl -f в одном окне терминала, а в другом делайте systemctl restart <service>. В 99% случаев причина отказа (права доступа, занятый порт или синтаксическая ошибка) мгновенно отобразится в логе.
ТЕХНОЛОГИЯ: rsync в Linux
Топ-10 неисправностей и алгоритмы их решения:
Ошибка "permission denied" при SSH соединении
Диагностика: Rsync через SSH не работает
Алгоритм:
Проверить SSH: ssh user@remote hostname
Использовать ключи вместо пароля
Указать правильный путь: rsync -avz -e "ssh -i key.pem"
Проверить права на файлы: chmod 600 ~/.ssh/id_rsa
Проблемы с символическими ссылками
Диагностика: Ссылки не копируются или ломаются
Алгоритм:
Использовать -L для следования ссылкам
Или -l для копирования ссылок как ссылок
Проверить относительные/абсолютные пути
Использовать --safe-links для безопасности
Rsync застревает на больших файлах
Диагностика: Процесс "висит" на файлах >1GB
Алгоритм:
Использовать --partial для докачки
Добавить --progress для мониторинга
Разбить на части: split -b 500M bigfile
Использовать --timeout=300 для ограничения
Ошибки при синхронизации с Windows
Диагностика: Права, атрибуты не сохраняются
Алгоритм:
Отключить сохранение прав: --no-perms --no-owner --no-group
Использовать cygwin/rsync на Windows
Конвертировать пути: /cygdrive/c/path
Использовать smb вместо rsync
Проблемы с квотами/дисковым пространством
Диагностика: "No space left on device"
Алгоритм:
Проверить свободное место: df -h
Использовать --max-size=100M
Очистить старые файлы перед синхронизацией
Использовать --remove-source-files с осторожностью
Медленная скорость при первом запуске
Диагностика: Rsync проверяет все файлы долго
Алгоритм:
Использовать --existing и --ignore-existing
Применить --fuzzy для поиска похожих файлов
Разделить на несколько запусков
Использовать --inplace для ускорения
Ошибки с UTF-8 и специальными символами
Диагностика: Имена файлов с пробелами/кириллицей
Алгоритм:
Использовать --protect-args или -s
Экранировать пробелы: file\ name
Проверить локаль: export LC_ALL=en_US.UTF-8
Использовать --iconv для конвертации кодировок
Проблемы с rsyncd (демон)
Диагностика: Не удается подключиться к rsyncd
Алгоритм:
Проверить конфиг: /etc/rsyncd.conf
Проверить запуск: systemctl status rsyncd
Проверить порт: netstat -ltn | grep 873
Проверить секции в конфиге: [backup]
Ошибки контроля версий/бэкапа
Диагностика: Неправильная работа --link-dest
Алгоритм:
Проверить абсолютные пути
Убедиться, что директория-источник существует
Использовать rsync -a --link-dest=/backup/yesterday /source/ /backup/today/
Проверить файловую систему на поддержку hardlinks
Автоматизация и cron проблемы
Диагностика: Cron не запускает rsync или завершается с ошибками
Алгоритм:
Указать полный путь: /usr/bin/rsync
Установить переменные окружения в cron
Логировать вывод: >> /var/log/rsync.log 2>&1
Использовать flock для предотвращения параллельных запусков
Универсальные команды диагностики:
Проверка синтаксиса: testparm (Samba), testparm -s (Samba), rsync --dry-run
Логи: journalctl -u service -f, tail -f /var/log/service.log
Сеть: ss -tulpn, tcpdump -i eth0 port 445
Отладка: smbclient -L localhost -U%, rsync -avz --progress --stats
ТЕХНОЛОГИЯ 1: Статический роутинг между несколькими сетями
Топ-10 неисправностей и алгоритмы их диагностики/устранения:
Ошибка в статическом маршруте.
Диагностика: Проверить таблицы маршрутизации на всех пограничных маршрутизаторах (show ip route, ip route show, /ip route print). Убедиться, что сети назначения и шлюзы (next-hop) указаны верно.
Устранение: Исправить ошибочный маршрут. На Cisco: ip route <сеть> <маска> <next-hop|интерфейс>. На Mikrotik: /ip route add dst-address=<сеть/маска> gateway=<шлюз>.
Неверный или отсутствующий обратный маршрут.
Диагностика: Сделать traceroute или tracert с обоих концов. Пакеты доходят до цели, но ответ не возвращается. Проверить таблицу маршрутизации на устройстве в сети назначения до источника.
Устранение: Добавить статический маршрут на противоположном маршрутизаторе, указывающий на сеть источника, либо обеспечить динамическую маршрутизацию для обратного пути.
Проблемы с ARP (не резолвится MAC-адрес next-hop).
Диагностика: На маршрутизаторе проверить ARP-таблицу (show arp, ip neigh). Если next-hop недоступен на L2, ARP-запрос не получит ответа.
Устранение: Проверить физическое соединение, VLAN и настройки L2 между маршрутизатором и next-hop устройством. Убедиться, что нет блокировки ARP-трафика (например, порты в неправильном VLAN).
ACL или Firewall блокируют трафик.
Диагностика: Проверить политики межсетевого экрана на маршрутизаторах (show access-lists, /ip firewall filter print). Использовать ping и traceroute для диагностики.
Устранение: Добавить разрешающие правила для необходимых протоколов (ICMP для диагностики, затем рабочие TCP/UDP порты) между сетевыми сегментами.
Несовпадение MTU (Fragmentation/PMTUD Black Hole).
Диагностика: ping с опцией "Do not Fragment" (ping -M do -s 1472 <адрес> в Linux) с увеличением размера пакета. Если большие пакеты не проходят, а маленькие (например, 500 байт) проходят — проблема в MTU.
Устранение: Установить одинаковый MTU на всех интерфейсах пути или включить fragmentation на маршрутизаторах (нежелательно). Частая причина — туннели (VPN, GRE).
Отказ или перегрузка интерфейса next-hop.
Диагностика: Проверить статус интерфейсов (show interface, ip link show), статистику по ошибкам (errors, drops), загрузку CPU на маршрутизаторах.
Устранение: Восстановить физическое подключение, заменить кабель, очистить очередь ошибок. Если интерфейс "up", но next-hop не отвечает — проверить устройство next-hop.
Неправильная настройка VLAN на транковых портах.
Диагностика: На коммутаторах проверить, разрешен ли нужный VLAN на транковом порту (show interfaces trunk, show vlan). Проверить native VLAN.
Устранение: Добавить VLAN в список разрешенных на транке. Убедиться в соответствии native VLAN на обоих концах.
Ошибка в IP-адресации или маске подсети.
Диагностика: Проверить IP-адреса и маски на интерфейсах маршрутизаторов. Убедиться, что адрес next-hop принадлежит непосредственно подключенной подсети.
Устранение: Исправить IP-адрес или маску на интерфейсе. ip address <адрес/маска> dev <интерфейс>.
Асимметричный маршрут при наличии нескольких путей.
Диагностика: Запустить tcpdump или аналог на интерфейсах источника и назначения. Пакеты идут одним путем, а ответы — другим, где может не быть информации о состоянии сессии (например, для stateful firewall).
Устранение: Скорректировать статические маршруты для обеспечения симметрии или перейти на динамическую маршрутизацию (ECMP). Для firewall настроить сессионную синхронизацию (session sync) или использовать firewall в режиме прозрачного моста.
Проблема с резольвингом DNS-имен, если маршруты указаны на имя.
Диагностика: Проверить, что маршрутизатор может разрешить DNS-имя (nslookup <имя> с устройства). Если next-hop указан как IP, эта проблема не актуальна.
Устранение: Указать next-hop как IP-адрес. Либо проверить настройки DNS (/etc/resolv.conf, DNS-серверы в настройках роутера) и доступность DNS-сервера.
Продолжаем детальный разбор. К вашему списку по rsync добавлены технические нюансы, а раздел по статическому роутингу дополнен практическими командами для Linux-серверов, выступающих в роли роутеров.
ТЕХНОЛОГИЯ: rsync в Linux (дополнение)
Утилита для эффективного копирования и синхронизации файлов с минимизацией передачи данных.
3. Rsync застревает на больших файлах
Траблшут: rsync --partial --inplace --progress
Зачем: --partial сохраняет частично переданный файл, если связь оборвалась. --inplace пишет данные прямо в целевой файл, а не создает временную копию (экономит время и место на диске, но опасно при сбоях).
Траблшут: rsync --bwlimit=5000
Зачем: Ограничение скорости (5000 КБ/с). Часто rsync "выдает" максимум, забивая канал и вызывая отвал SSH-сессии по тайм-ауту.
10. Автоматизация и cron проблемы
Траблшут: flock -n /tmp/rsync.lock -c "rsync ..."
Зачем: Если предыдущая копия не успела завершиться к следующему запуску cron, flock предотвратит запуск второй копии, которая бы создала двойную нагрузку на диск и сеть.
ТЕХНОЛОГИЯ: Статический роутинг (Static Routing)
Настройка прохождения пакетов между сетями на уровне L3 (IP).
1. Ошибка в статическом маршруте
Диагностика (Linux): ip route show
Разбор: Ищите строки типа 192.168.2.0/24 via 10.0.0.1 dev eth1. Если via (шлюз) недоступен, маршрут помечается как dead или просто не работает.
Устранение: ip route add 192.168.5.0/24 via 192.168.1.100
2. Отсутствие обратного маршрута
Диагностика: mtr -n 8.8.8.8 или traceroute.
Зачем: Если пакеты уходят (есть звезды * * *), но ответа нет, скорее всего, удаленный хост получил пакет, но не знает, куда отправить ответ (нет маршрута в вашу сеть).
4. Firewall / IP Forwarding
Диагностика: sysctl net.ipv4.ip_forward
Алгоритм: Если Linux работает как роутер, значение должно быть 1. Если там 0, ядро будет дропать пакеты, приходящие на один интерфейс и предназначенные для другого.
Решение: sysctl -w net.ipv4.ip_forward=1 (и прописать в /etc/sysctl.conf).
5. Несовпадение MTU (MSS Clamping)
Диагностика: ping -s 1472 -M do <IP>
Разбор: Если пакет проходит с размером 1400, но не проходит с 1472 (стандарт для Ethernet), на пути есть туннель.
Решение (iptables): iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1400. Это заставит TCP-сессии подстраиваться под узкий канал.
ТЕХНОЛОГИЯ 2: VLAN (802.1Q) в Linux
Топ-10 неисправностей и алгоритмы их решения:
Отсутствие модуля ядра 8021q
Диагностика: lsmod | grep 8021q не выдает результата.
Алгоритм: Загрузить модуль modprobe 8021q. Добавить в /etc/modules для автозагрузки.
Неправильный синтаксис имени интерфейса
Диагностика: Интерфейс не поднимается.
Алгоритм: Стандарт требует формат eth0.10 (для VLAN 10). Проверить через ip link.
VLAN ID вне диапазона
Диагностика: Ошибка при создании.
Алгоритм: Убедиться, что ID находится в пределах 1-4094.
Транковый порт на стороне коммутатора не настроен
Диагностика: tcpdump -i eth0 видит трафик, а tcpdump -i eth0.10 — нет.
Алгоритм: Проверить настройки порта свича (должен быть trunk, а не access).
Native VLAN Mismatch
Диагностика: Пакеты без тега приходят в неожиданный интерфейс.
Алгоритм: Убедиться, что "немаркированный" трафик на Linux-хосте и коммутаторе принадлежит одной и той же подсети.
Конфликт с NetworkManager
Диагностика: Настройки сбрасываются после перезагрузки.
Алгоритм: Использовать nmcli для настройки VLAN или пометить интерфейс как unmanaged в конфиге NM.
Проблемы с фильтрацией (rp_filter)
Диагностика: Пакеты приходят (видно в tcpdump), но игнорируются системой.
Алгоритм: Отключить Reverse Path Filtering: sysctl -w net.ipv4.conf.all.rp_filter=0.
MTU Overhead
Диагностика: Проблемы со скоростью или обрывы соединений.
Алгоритм: Помните, что тег 802.1Q занимает 4 байта. Иногда нужно уменьшить MTU на VLAN-интерфейсе до 1496.
Ошибки в конфигурации Netplan (Ubuntu)
Диагностика: netplan apply выдает ошибку отступа.
Алгоритм: Проверить иерархию: vlans: -> eth0.10: -> id: 10 -> link: eth0.
Отсутствие трафика между VLAN (Inter-VLAN routing)
Диагностика: Хосты в VLAN 10 не видят хосты в VLAN 20.
Алгоритм: Проверить ip_forward и правила iptables FORWARD (должны быть ACCEPT).
Универсальные команды для VLAN:
Создание: ip link add link eth0 name eth0.10 type vlan id 10
Активация: ip link set dev eth0.10 up
Просмотр: cat /proc/net/vlan/config (в старых дистрибутивах) или bridge vlan show.
ТЕХНОЛОГИЯ 2: Перевод рабочих станций на Linux
Топ-10 неисправностей и алгоритмы их диагностики/устранения:
Отсутствие драйверов для оборудования (Wi-Fi, графика, принтеры, сканеры).
Диагностика: lspci, lsusb, dmesg | grep -i error. Проверить работу устройства. inxi -G для графики, iwconfig для Wi-Fi.
Устранение: Использовать дистрибутив с более новым ядром (например, Fedora, Ubuntu LTS с HWE). Установить проприетарные драйверы (nvidia-driver, firmware пакеты). Поискать драйверы на сайте производителя или в репозитории ppa.
Проблемы с подключением к корпоративной сети (802.1X, WPA2-Enterprise).
Диагностика: Проверить логи NetworkManager (journalctl -u NetworkManager -f). Убедиться, что введены правильные учетные данные.
Устранение: Настроить подключение через nmcli или графический апплет NetworkManager, указав правильный метод аутентификации (PEAP, TLS), CA-сертификат и домен. Установить пакеты network-manager-* для конкретного типа аутентификации.
Несовместимость корпоративных приложений (особенно зависящих от Active Directory или Windows API).
Диагностика: Попробовать запустить приложение через wine или эмулятор. Проверить логи на предмет ошибок.
Устранение: Найти Linux-аналоги (LibreOffice, GIMP, OnlyOffice). Использовать веб-версии приложений. Внедрить тонкие клиенты с доступом к Windows VDI. Настроить интеграцию с AD через realmd/sssd для аутентификации.
Проблемы с доступом к сетевым ресурсам (шары SMB/CIFS).
Диагностика: smbclient -L //server. Проверить наличие пакетов cifs-utils, gvfs-smb. mount -t cifs ...
Устранение: Правильно настроить /etc/fstab или GVFS. Указать версию протокола SMB (vers=3.0). Убедиться, что пакеты для работы с SMB установлены. Решить проблемы с правами (опции uid, gid).
Сложности с аутентификацией в Active Directory.
Диагностика: realm list, id <пользователь>@<домен>. Проверить конфиги /etc/sssd/sssd.conf, /etc/krb5.conf.
Устранение: Использовать realm join --user=admin <domain.name> для ввода в домен. Проверить корректность настроек DNS (SRV-записи). Установить и настроить sssd, krb5-user, adcli.
Отсутствие привычного ПО и сопротивление пользователей.
Диагностика: Опрос пользователей, анализ их рабочих задач.
Устранение: Провести обучение. Создать детальные инструкции. Внедрять поэтапно, начиная с технических отделов. Обеспечить "двойную загрузку" или доступ к Windows VM на начальном этапе.
Проблемы с печатью, особенно через сетевые принтеры.
Диагностика: Проверить доступность принтера в CUPS (localhost:631). Посмотреть логи CUPS (/var/log/cups/error_log).
Устранение: Добавить принтер через CUPS-web интерфейс или lpadmin. Установить PPD-драйвер (из репозитория, foomatic, или с сайта производителя). Использовать драйвер Generic PostScript для теста.
Блокировка политиками безопасности или антивирусом на уровне сети/сервера.
Диагностика: Нельзя получить доступ к ресурсам, доступным с Windows. Проверить логи сервера (например, файрвола).
Устранение: Внести пользовательские агенты Linux или IP-адреса Linux-станций в разрешающие политики на серверах доступа (VPN, Proxy, SharePoint). Настроить совместимый антивирус для Linux, если требуется.
Проблемы с обновлениями и управлением пакетами в гетерогенной среде.
Диагностика: Разные версии ПО на машинах, сбои в установке пакетов.
Устранение: Внедрить единую систему управления (Ansible, Salt, Puppet) для развертывания и обновления ПО. Использовать локальный mirror репозиториев. Стандартизировать дистрибутив и его версию.
Неполадки с мультимедиа (кодеки, веб-камеры, микрофоны в Zoom/Teams).
Диагностика: Проверить работу в разных приложениях. v4l2-ctl --list-devices для камер.
Устранение: Установить пакеты с кодеками (ubuntu-restricted-extras, gstreamer). Для веб-приложений (Teams в браузере) — разрешить доступ к устройствам в настройках браузера. Для проприетарных приложений (Zoom) скачать официальный .deb/.rpm пакет.
ТЕХНОЛОГИЯ 3: Ansible в Linux
Топ-10 неисправностей и алгоритмы их диагностики/устранения:
Проблемы с подключением по SSH (ключи, пароли, права).
Диагностика: Запустить ansible с ключом -vvv для детального вывода. Попробовать подключиться вручную: ssh <user>@<host>. Проверить ~/.ssh/known_hosts.
Устранение: Сгенерировать и развернуть SSH-ключи (ssh-keygen, ssh-copy-id). Убедиться, что ansible_user имеет права на выполнение команд (sudo без пароля, если требуется: NOPASSWD в /etc/sudoers).
Ошибки в синтаксисе YAML (отступы, словари, списки).
Диагностика: ansible-playbook --syntax-check playbook.yml. Валидаторы YAML в IDE. Частая ошибка: использование = вместо :.
Устранение: Использовать редакторы с подсветкой YAML (VSCode, PyCharm). Следовать соглашениям об отступах (2 пробела). Проверять ansible-lint.
Неверные имена или недоступность хостов в inventory.
Диагностика: ansible-inventory --list. ansible all -m ping. Проверить DNS или /etc/hosts.
Устранение: Правильно указать имена хостов, IP-адреса или группы в файле inventory (или динамически). Убедиться, что ansible_host переменная задана.
Несоответствие версий Python на управляющих и целевых хостах.
Диагностика: Ошибки вида "The Python * is not installed". ansible -m raw -a "python3 --version" all.
Устранение: Указать правильный интерпретатор в ansible_python_interpreter переменной (например, /usr/bin/python3). Установить Python2/Python3 на целевые хосты. Использовать модуль raw для начальной установки Python.
Ошибки модулей (модуль не найден, неверные аргументы).
Диагностика: Детальный вывод ошибки при запуске плейбука. Проверить документацию модуля: ansible-doc <module_name>.
Устранение: Установить необходимые Python-библиотеки на целевом хосте (например, pip install boto3 для модулей AWS). Проверить орфографию параметров модуля. Обновить Ansible до актуальной версии.
Проблемы с обработкой переменных (неопределенные переменные, неправильные значения).
Диагностика: Использовать debug модуль: - debug: var=<variable_name>. - debug: msg="{{ variable_name }}".
Устранение: Определить переменные в inventory, group_vars/, host_vars/, или в defaults/main.yml роли. Проверять приоритет переменных. Использовать фильтры, например, default(): {{ my_var | default('value') }}.
Идемпотентность нарушена (повторный прогон плейбука приводит к ошибкам или изменяет то, что не должно).
Диагностика: Запустить плейбук второй раз. Изучить действия, которые выполняются повторно (changed ? 0, когда должен быть 0).
Устранение: Использовать state параметры в модулях (present, absent, latest). Использовать creates или removes в модуле command/shell. Тщательно проектировать задачи для проверки состояния системы перед изменением.
Ошибки при работе с шаблонами (Jinja2): неверная логика, отсутствующие переменные.
Диагностика: - template: src=template.j2 dest=/tmp/test validate='cat %s' — для проверки результата. Локальный рендеринг: ansible all -m template -a "src=template.j2 dest=/tmp/out" --check.
Устранение: Проверять синтаксис Jinja2 ({% ... %}, {{ ... }}). Убедиться, что все переменные, используемые в шаблоне, определены. Экранировать специальные символы.
Низкая производительность или таймауты при управлении большим количеством хостов.
Диагностика: Замер времени выполнения плейбука. Увеличить уровень детализации (-vv).
Устранение: Использовать стратегию free. Увеличить forks в ansible.cfg (по умолчанию 5). Использовать async и poll для длительных задач. Оптимизировать inventory, использовать ansible-pull для очень больших сред.
Проблемы с ролями и зависимостями (Galaxy).
Диагностика: Роль не находится, не загружаются зависимости. ansible-galaxy role list. Проверить meta/main.yml.
Устранение: Явно указать путь к роли в playbook.yml. Установить роль из Galaxy: ansible-galaxy role install <role>. Прописать зависимости в requirements.yml и установить через ansible-galaxy install -r requirements.yml. Проверить корректность roles_path в ansible.cfg.
ТЕХНОЛОГИЯ: Proxmox VE
Топ-10 неисправностей и алгоритмы их диагностики/устранения:
Недостаток места на дисковом хранилище (storage).
Диагностика: В интерфейсе Proxmox: уведомления, статус хранилищ (Storage). Команда: pvesm status. Проверить свободное место: df -h, pvesm free.
Устранение: Расширить хранилище (добавить физический диск в LVM-Thin). Очистить старые резервные копии (Backups). Удалить ненужные образы (ISO, Templates). Переместить часть ВМ на другое хранилище.
ВМ/Контейнер не запускается или зависает при старте.
Диагностика: Проверить статус: qm status <VMID>. Журнал ВМ: qm config <VMID> для параметров, просмотр журнала запуска в интерфейсе Proxmox (Logs). Проверить ресурсы узла (CPU, RAM).
Устранение: Увеличить лимиты RAM/CPU, если не хватает. Проверить параметры загрузки (например, неправильный bootdisk). Пересоздать ВМ из резервной копии. Для контейнеров (LXC) — проверить корректность rootfs и монтирования.
Проблемы с сетью в ВМ (нет связи, неправильный IP).
Диагностика: Внутри ВМ: ip a, ping. На узле Proxmox: Проверить сетевой интерфейс (vmbr0), параметры модели сети ВМ (qm config <VMID>). Проверить корректность брандмауэра Proxmox на узле.
Устранение: В интерфейсе ВМ исправить модель сети (например, virtio). Убедиться, что интерфейс ВМ подключен к правильному vmbr. Проверить настройки IP внутри ВМ (DHCP/статический). Временно отключить брандмауэр Proxmox на порту (pve-firewall stop).
Неисправность кластера Proxmox (нода не видит другие, потеря quorum).
Диагностика: pvecm status. Сообщения в интерфейсе: "No quorum?". Проверить сетевую связность между узлами (ping, порт 800
Продолжаем разбор критических узлов Proxmox VE и переходим к следующей важной технологии мониторинга.
ТЕХНОЛОГИЯ: Proxmox VE (продолжение)
Неисправность кластера (потеря Quorum)
Диагностика: pvecm status. Если значение Quorum: No, это означает, что менее половины узлов в сети. Интерфейс переходит в режим "только чтение".
Устранение: Проверить сеть синхронизации (corosync). Если нужно срочно вернуть управление при живом узле, использовать pvecm expected 1 (временно снижает порог кворума до одного узла). Проверить файл /etc/pve/corosync.conf.
Ошибка обновления (Kernel Panic или сломанные зависимости)
Диагностика: Ошибки при apt dist-upgrade. Система не загружается после обновления ядра.
Устранение: Использовать предыдущее ядро в меню Grub. Удалить некорректные репозитории (например, если подключен Enterprise-репозиторий без подписки). Настроить no-subscription репозиторий. Исправить пакеты: apt --fix-broken install.
Проблемы с миграцией ВМ (Live Migration Failure)
Диагностика: Логи задачи миграции. Ошибка "migration failed: extra drive" или несовпадение версий процессоров.
Устранение: Убедиться, что в ВМ не вставлен локальный ISO-образ. Проверить тип CPU: если узлы разные, выставить тип Host или kvm64 в настройках процессора ВМ. Проверить наличие общего хранилища (Shared Storage).
ZFS Pool degraded/faulted
Диагностика: zpool status. Уведомления о битых секторах.
Устранение: Заменить вышедший из строя диск: zpool replace <pool> <old_dev> <new_dev>. Запустить проверку: zpool scrub <pool>. Мониторить SMART-статус дисков.
Блокировка LVM или I/O Wait
Диагностика: Высокий показатель wa в top. ВМ "фризятся" на несколько секунд.
Устранение: Проверить производительность дисковой подсистемы. Если используется LVM-Thin, убедиться, что метаданные не заполнены (lvs -a). Оптимизировать планировщик ввода-вывода.
Ошибки резервного копирования (VZDump)
Диагностика: Превышение таймаута при создании снимка (snapshot). Ошибка "dirty bitmap".
Устранение: Убедиться, что на целевом хранилище или в /var/tmp достаточно места для сжатия. Установить proxmox-backup-client для инкрементальных бэкапов (рекомендуется Proxmox Backup Server).
Пропали конфигурационные файлы (/etc/pve пуст)
Диагностика: Служба pve-cluster не запущена. Директория /etc/pve (база данных pmxcfs) не смонтирована.
Устранение: Проверить статус: systemctl status pve-cluster. Проверить логи на предмет конфликта версий в БД. Если локальный диск переполнен, pmxcfs не сможет запуститься.
ТЕХНОЛОГИЯ: Zabbix (Мониторинг)
Топ-10 неисправностей и алгоритмы их решения:
Zabbix server is not running
Диагностика: Сообщение в веб-интерфейсе. Проверка процесса: ps aux | grep zabbix_server. Лог: /var/log/zabbix/zabbix_server.log.
Устранение: Проверить соединение с БД (DBHost, DBPassword в zabbix_server.conf). Убедиться, что версия БД поддерживается версией сервера.
Zabbix agent unreachable (Get value от сервера не проходит)
Диагностика: Красный значок "ZBX" в узлах сети. zabbix_get -s <agent_ip> -k agent.ping с сервера.
Устранение: Проверить Server= и ServerActive= в zabbix_agentd.conf (там должен быть IP сервера). Открыть порт 10050 на агенте.
Очередь (Queue) забита ("More than 10 minutes delay")
Диагностика: Administration -> Queue. Видно много элементов, которые "опаздывают".
Устранение: Увеличить количество поллеров (StartPollers=) в конфиге сервера. Оптимизировать интервалы опроса (не опрашивать тяжелые скрипты слишком часто). Проверить производительность БД.
Проблемы с базой данных (Slow Queries / History Table bloat)
Диагностика: Высокий CPU на MySQL/PostgreSQL. Медленная отрисовка графиков.
Устранение: Внедрить Housekeeping (очистка старых данных). Перейти на Partitioning (секционирование таблиц history и trends) — это критически важно для производительности.
Ошибка "Zabbix discoverer processes more than 75% busy"
Диагностика: Дашборд "Zabbix status of internal processes".
Устранение: Увеличить параметр StartDiscoverers= в zabbix_server.conf. Проверить правила автообнаружения (Network Discovery) — возможно, слишком широкие диапазоны IP.
Веб-интерфейс тормозит (Nginx/Apache + PHP-FPM)
Диагностика: Долгая загрузка страниц при нормальной работе сервера.
Устранение: Увеличить memory_limit и max_execution_time в php.ini. Проверить количество воркеров PHP-FPM (pm.max_children).
Zabbix Active Agent не шлет данные
Диагностика: В логах агента: "cannot send list of active checks: host [Hostname] not found".
Устранение: Параметр Hostname= в zabbix_agentd.conf должен строго (с учетом регистра) соответствовать имени узла, прописанному в веб-интерфейсе Zabbix.
Не приходят уведомления (Media Types)
Диагностика: Reports -> Action log. Сообщения об ошибках SMTP или скриптов.
Устранение: Проверить настройки SMTP-сервера или Telegram-бота. Убедиться, что у пользователя в профиле настроено время оповещения (Period).
Конфликты SNMP (Таймауты)
Диагностика: SNMP-устройства то доступны, то нет.
Устранение: Проверить версию SNMP (v2c/v3). Попробовать snmpwalk с сервера. Увеличить Timeout= в zabbix_server.conf (по умолчанию 3с, часто нужно 10-20с для старых свичей).
Проблемы с шаблонами (LDP - Low Level Discovery)
Диагностика: Не создаются новые диски/интерфейсы в мониторинге.
Устранение: Проверить регулярные выражения (Administration -> General -> Regular expressions). Запустить LLD вручную через "Execute now".
Универсальные команды диагностики:
Логи: tail -f /var/log/zabbix/zabbix_server.log
Логи агента: tail -f /var/log/zabbix/zabbix_agentd.log
Проверка порта: nc -zv <IP> 10050 (агент) или 10051 (сервер).
|
|
|
|
admin ®
Gender: Registered: 6 months 19 days Posts: 12872
|
19-Apr-2026 19:40 | #10
· Author (after 7 minutes)
|
|
|
Move to top
Current time is: 01-May 06:56
All times are UTC ± 0
You can post new topics in this forum
You can reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You can download files in this forum
|
|
![[Code]](./styles/templates/default/images/lang/en/icon_code.gif "Code"){kind=icon}
![[Profile]](./styles/templates/default/images/lang/en/icon_profile.gif "View user's profile"){kind=icon}
![[PM]](./styles/templates/default/images/lang/en/icon_pm.gif "Send private message"){kind=icon}