- Remove From My Forums
-
Question
-
we are getting the following error continuously in our window server 2008 r2 server.
event id — 7050
error massage —
The DNS server recv() function failed. The event data contains the error.
Please help to restore the above issue.
Answers
-
-
Proposed as answer by
Wendy Jiang
Tuesday, January 26, 2016 7:45 AM -
Marked as answer by
Ethan HuaMicrosoft contingent staff
Monday, February 15, 2016 8:12 AM
-
Proposed as answer by
All replies
-
-
Proposed as answer by
Wendy Jiang
Tuesday, January 26, 2016 7:45 AM -
Marked as answer by
Ethan HuaMicrosoft contingent staff
Monday, February 15, 2016 8:12 AM
-
Proposed as answer by
-
Hi,
Agree with Burak.
This event occurs when an established connection is shut down for some reason by the remote computer. And it will be hard to find out the exact reason. It may be caused by firewall block, port scanning, or corrupt packets, or misconfigured ISA server.
Anyway, it will be something along those.In general, this event should not affect DNS server functionality.
Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
-
This may be a normal condition, but I am having the same error and my DNS server is so slow that yahoo.com fails to load the first time saying that the site is not found, but after retrying for more time it finally loads. How can this be fixed?
Содержание
- The dns server recv function failed the event data contains the error
- Answered by:
- Question
- Answers
- All replies
- The dns server recv function failed the event data contains the error
- Спрашивающий
- Общие обсуждения
- Все ответы
- Event ID — 7050 The DNS server recv function failed. The event data contains t
- Popular Topics in Active Directory & GPO
- 3 Replies
- Read these next.
- poor wifi, school’s third floor
- Need help crafting a job posting for an IT Pro
- Snap! — AI Eye Contact, Mine Batteries, Headset-free Metaverse, D&D Betrayal
- Spark! Pro series – 13th January 2023
- The dns server recv function failed the event data contains the error
- Вопрос
- Ответы
- Все ответы
- The dns server recv function failed the event data contains the error
- Спрашивающий
- Общие обсуждения
- Все ответы
The dns server recv function failed the event data contains the error
This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.
Answered by:
Question
we are getting the following error continuously in our window server 2008 r2 server.
The DNS server recv() function failed. The event data contains the error.
Please help to restore the above issue.
Answers
For ms event id 7050 , This is a normal condition. No further action is required,
But if you need detailed information i can find this article (but it is old-check to example section)
This posting is provided AS IS with no warranties or guarantees,and confers no rights. Best regards Burak Uğur
- Proposed as answer by Wendy Jiang Tuesday, January 26, 2016 7:45 AM
- Marked as answer by Ethan Hua Microsoft contingent staff Monday, February 15, 2016 8:12 AM
For ms event id 7050 , This is a normal condition. No further action is required,
But if you need detailed information i can find this article (but it is old-check to example section)
This posting is provided AS IS with no warranties or guarantees,and confers no rights. Best regards Burak Uğur
Источник
The dns server recv function failed the event data contains the error
Этот форум закрыт. Спасибо за участие!
Спрашивающий
Общие обсуждения
Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 7050
Дата: 31.05.2010
Время: 7:36:32
Пользователь: Н/Д
Компьютер: SERVERHP
Описание:
Ошибка функции recv() DNS-cервера. Данные события содержат сведения об ошибке.
Дополнительные сведения можно найти в центре справки и поддержки, в «http://go.microsoft.com/fwlink/events.asp».
Данные:
0000: 46 27 00 00 F’..
Такая ошибка появляется с завидной регулярностью. Так как собираемся поднимать резервный контролер домена то хотелось бы от этой ошибки избавится.
Какие соображение специалисты?
- Изменен тип osr_ MVP 31 мая 2010 г. 10:07
- Изменен тип ILYA [ sie ] Sazonov 1 июня 2010 г. 8:32
- Изменен тип Vinokurov Yuriy 15 июня 2010 г. 4:55 Давность и отсутствие активности в теме
- Изменен тип Vinokurov Yuriy 15 июня 2010 г. 4:56
Все ответы
netdom query /verify dc
Verifying secure channel setup for domain members:
Machine Status/Domain Domain Controller
======= ============= =================
\SERVERHP ERROR! ( Указанный домен не существует или к нему н
евозможно подключиться. )
The command completed successfully.
Воть чо пишет. Хотя в домен вводится на ура, все работает. Но вот такие вот ошибочки напрягают(
Хм. Что вы имеете ввиду включить? Как?
Кстати по поводу нетдома, прогнал nltest
вот что получилось:
nltest /SC_query:guse.ru
Flags: 30 HAS_IP HAS_TIMESERV
Trusted DC Name \serverhp.Guse.ru
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully
nltest /SC_verify:guse.ru
Flags: b0 HAS_IP HAS_TIMESERV
Trusted DC Name \serverhp.Guse.ru
Trusted DC Connection Status Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success
The command completed successfully
Выкладываю два евента, за разное время. По остальным евентам в другое время происходит тоже самое.
20100701 08:41:37 688 EVENT 20100701 08:41:37 CA4 PACKET 05B454B0 UDP Rcv 172.16.41.223 3689 Q [0001 D NOERROR] A (6)dnl-16(3)geo(9)kaspersky(3)com(0)
UDP question info
Socket = 576, recvd on port (65535)
Remote addr 172.16.41.223, port 1029
Time Query=711285, Queued=0, Expire=0
Buf length = 0x0500 (1280)
Msg length = 0x002a (42)
Message:
XID 0x3689
Flags 0x0100
QR 0 (QUESTION)
OPCODE 0 (QUERY)
AA 0
TC 0
RD 1
RA 0
Z 0
RCODE 0 (NOERROR)
QCOUNT 1
ACOUNT 0
NSCOUNT 0
ARCOUNT 0
QUESTION SECTION:
Offset = 0x000c, RR count = 0
Name «(6)dnl-16(3)geo(9)kaspersky(3)com(0)»
QTYPE A (1)
QCLASS 1
ANSWER SECTION:
empty
AUTHORITY SECTION:
empty
ADDITIONAL SECTION:
empty
20100701 02:24:36 688 EVENT 20100701 02:24:43 CB4 PACKET 0423C1E0 UDP Rcv 172.16.2.6 04ab Q [0001 D NOERROR] PTR (3)169(3)247(2)39(2)82(7)in-addr(4)arpa(0)
UDP question info
Socket = 576, recvd on port (65535)
Remote addr 172.16.2.6, port 40476
Time Query=688671, Queued=0, Expire=0
Buf length = 0x0500 (1280)
Msg length = 0x002c (44)
Message:
XID 0x04ab
Flags 0x0100
QR 0 (QUESTION)
OPCODE 0 (QUERY)
AA 0
TC 0
RD 1
RA 0
Z 0
RCODE 0 (NOERROR)
QCOUNT 1
ACOUNT 0
NSCOUNT 0
ARCOUNT 0
QUESTION SECTION:
Offset = 0x000c, RR count = 0
Name «(3)169(3)247(2)39(2)82(7)in-addr(4)arpa(0)»
QTYPE PTR (12)
QCLASS 1
ANSWER SECTION:
empty
AUTHORITY SECTION:
empty
ADDITIONAL SECTION:
empty
Из-за этих эвентов и происходит интересующая нас ошибка.
Источник
Event ID — 7050 The DNS server recv function failed. The event data contains t
Am frequently seeing Event ID — 7050 The DNS server recv() function failed. The event data contains the error. on my event viewer how can I solve it
Popular Topics in Active Directory & GPO
- check 146 Best Answers
- thumb_up 345 Helpful Votes
- format_list_bulleted 3 How-tos
Are you running any port scanning software on the network, or do you have debug logging enabled on DNS?
Brand Representative for Lepide
This topic has been locked by an administrator and is no longer open for commenting.
To continue this discussion, please ask a new question.
Read these next.
poor wifi, school’s third floor
I work as a help desk technician at a high school for a school district. Teachers/students on the building’s third floor have been reporting poor wifi, with their Chromebooks/laptops etc experiencing slow connectivity and random disconnections. We hav.
Need help crafting a job posting for an IT Pro
I’d really appreciate some thoughts and advice. I’m looking to hire an IT pro to be our resident go-to for all things IT (device support, SQL Server, network admin, etc) but who also is interested in learning — or even has some experience in — the.
Snap! — AI Eye Contact, Mine Batteries, Headset-free Metaverse, D&D Betrayal
Your daily dose of tech news, in brief. Welcome to the Snap! Flashback: January 13, 1874: Adding Machine Patented (Read more HERE.) Bonus Flashback: January 13, 1990: Astronauts awakened to the song Attack of the Killer Tomatoes (Read mor.
Spark! Pro series – 13th January 2023
Happy Friday the 13th! This day has a reputation for being unlucky, but I hope that you’ll be able to turn that around and have a great day full of good luck and good fortune. Whether you’re superstitious or not, .
Источник
The dns server recv function failed the event data contains the error
Вопрос
we are getting the following error continuously in our window server 2008 r2 server.
The DNS server recv() function failed. The event data contains the error.
Please help to restore the above issue.
Ответы
For ms event id 7050 , This is a normal condition. No further action is required,
But if you need detailed information i can find this article (but it is old-check to example section)
This posting is provided AS IS with no warranties or guarantees,and confers no rights. Best regards Burak Uğur
- Предложено в качестве ответа Wendy Jiang 26 января 2016 г. 7:45
- Помечено в качестве ответа Ethan Hua Microsoft contingent staff 15 февраля 2016 г. 8:12
Все ответы
For ms event id 7050 , This is a normal condition. No further action is required,
But if you need detailed information i can find this article (but it is old-check to example section)
This posting is provided AS IS with no warranties or guarantees,and confers no rights. Best regards Burak Uğur
Источник
The dns server recv function failed the event data contains the error
Этот форум закрыт. Спасибо за участие!
Спрашивающий
Общие обсуждения
Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 7050
Дата: 31.05.2010
Время: 7:36:32
Пользователь: Н/Д
Компьютер: SERVERHP
Описание:
Ошибка функции recv() DNS-cервера. Данные события содержат сведения об ошибке.
Дополнительные сведения можно найти в центре справки и поддержки, в «http://go.microsoft.com/fwlink/events.asp».
Данные:
0000: 46 27 00 00 F’..
Такая ошибка появляется с завидной регулярностью. Так как собираемся поднимать резервный контролер домена то хотелось бы от этой ошибки избавится.
Какие соображение специалисты?
- Изменен тип osr_ MVP 31 мая 2010 г. 10:07
- Изменен тип ILYA [ sie ] Sazonov 1 июня 2010 г. 8:32
- Изменен тип Vinokurov Yuriy 15 июня 2010 г. 4:55 Давность и отсутствие активности в теме
- Изменен тип Vinokurov Yuriy 15 июня 2010 г. 4:56
Все ответы
netdom query /verify dc
Verifying secure channel setup for domain members:
Machine Status/Domain Domain Controller
======= ============= =================
\SERVERHP ERROR! ( Указанный домен не существует или к нему н
евозможно подключиться. )
The command completed successfully.
Воть чо пишет. Хотя в домен вводится на ура, все работает. Но вот такие вот ошибочки напрягают(
Хм. Что вы имеете ввиду включить? Как?
Кстати по поводу нетдома, прогнал nltest
вот что получилось:
nltest /SC_query:guse.ru
Flags: 30 HAS_IP HAS_TIMESERV
Trusted DC Name \serverhp.Guse.ru
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully
nltest /SC_verify:guse.ru
Flags: b0 HAS_IP HAS_TIMESERV
Trusted DC Name \serverhp.Guse.ru
Trusted DC Connection Status Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success
The command completed successfully
Выкладываю два евента, за разное время. По остальным евентам в другое время происходит тоже самое.
20100701 08:41:37 688 EVENT 20100701 08:41:37 CA4 PACKET 05B454B0 UDP Rcv 172.16.41.223 3689 Q [0001 D NOERROR] A (6)dnl-16(3)geo(9)kaspersky(3)com(0)
UDP question info
Socket = 576, recvd on port (65535)
Remote addr 172.16.41.223, port 1029
Time Query=711285, Queued=0, Expire=0
Buf length = 0x0500 (1280)
Msg length = 0x002a (42)
Message:
XID 0x3689
Flags 0x0100
QR 0 (QUESTION)
OPCODE 0 (QUERY)
AA 0
TC 0
RD 1
RA 0
Z 0
RCODE 0 (NOERROR)
QCOUNT 1
ACOUNT 0
NSCOUNT 0
ARCOUNT 0
QUESTION SECTION:
Offset = 0x000c, RR count = 0
Name «(6)dnl-16(3)geo(9)kaspersky(3)com(0)»
QTYPE A (1)
QCLASS 1
ANSWER SECTION:
empty
AUTHORITY SECTION:
empty
ADDITIONAL SECTION:
empty
20100701 02:24:36 688 EVENT 20100701 02:24:43 CB4 PACKET 0423C1E0 UDP Rcv 172.16.2.6 04ab Q [0001 D NOERROR] PTR (3)169(3)247(2)39(2)82(7)in-addr(4)arpa(0)
UDP question info
Socket = 576, recvd on port (65535)
Remote addr 172.16.2.6, port 40476
Time Query=688671, Queued=0, Expire=0
Buf length = 0x0500 (1280)
Msg length = 0x002c (44)
Message:
XID 0x04ab
Flags 0x0100
QR 0 (QUESTION)
OPCODE 0 (QUERY)
AA 0
TC 0
RD 1
RA 0
Z 0
RCODE 0 (NOERROR)
QCOUNT 1
ACOUNT 0
NSCOUNT 0
ARCOUNT 0
QUESTION SECTION:
Offset = 0x000c, RR count = 0
Name «(3)169(3)247(2)39(2)82(7)in-addr(4)arpa(0)»
QTYPE PTR (12)
QCLASS 1
ANSWER SECTION:
empty
AUTHORITY SECTION:
empty
ADDITIONAL SECTION:
empty
Из-за этих эвентов и происходит интересующая нас ошибка.
Источник
3 Replies
-
EminentX
This person is a verified professional.
Verify your account
to enable IT peers to see that you are a professional.ghost chili
Active Directory & GPO Expert
-
check
149
Best Answers -
thumb_up
350
Helpful Votes -
format_list_bulleted
3
How-tos
Are you running any port scanning software on the network, or do you have debug logging enabled on DNS?
Was this post helpful?
thumb_up
thumb_down
-
check
-
I don’t have port scanning software and debug logging is disabled. it always happen when all users login as same time and it works after I restarted the server
Was this post helpful?
thumb_up
thumb_down
-
1 found this helpful
thumb_up
thumb_down
Информационная безопасность
Рекомендация: подборка платных и бесплатных курсов Java — https://katalog-kursov.ru/
Исследователи в области кибербезопасности из компании Check Point раскрыли новую критическую уязвимость, которая затрагивает версии Windows Server 2003–2019 с оценкой критичности 10 из 10 по шкале CVSS.
17-летний программный недостаток приводит к удаленному выполнению кода (CVE-2020-1350), названному Check Point «SigRed» и может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, получить права администратора домена над целевыми серверами и получить полный контроль над ИТ-инфраструктурой организации.
Атакующий может использовать уязвимость SigRed, отправляя специально созданные вредоносные DNS-запросы на DNS-сервер Windows и выполнять произвольный код, позволяя хакеру перехватывать и обрабатывать электронные письма пользователей и сетевой трафик, собирать учетные данные пользователей и многое другое.
В отчете, опубликованном в блоге компании, исследователь Check Point Саги Цадик подтвердил, что этот недостаток имеет ужасный характер, позволяя атакующим начать атаку, которая может распространиться с одного уязвимого компьютера на другой без какого-либо вмешательства человека. Т.е. уязвимость носит явный «wormable»-характер.
После того, как Check Point ответственно сообщила о своих выводах Microsoft, производитель Windows подготовил исправление для этой уязвимости и выпустил его, начиная с сегодняшнего дня, в рамках своего июльского исправления во вторник, которое также включает в себя обновления безопасности для 122 других уязвимостей.
В Microsoft заявили, что не нашли никаких доказательств того, что эта ошибка активно использовалась злоумышленниками, и посоветовали пользователям немедленно устанавливать исправления.
«Windows DNS Server — это основной сетевой компонент. Хотя в настоящее время неизвестно, чтобы эта уязвимость использовалась в активных атаках, важно, чтобы клиенты применяли обновления Windows для ее устранения как можно скорее».
Детали
Переадресованный запрос происходит, когда DNS-сервер не может разрешить IP-адрес для данного доменного имени (например, www.google.com ), в результате чего запрос перенаправляется на официальный DNS-сервер имен (NS).
Чтобы использовать эту архитектуру, SigRed включает в себя настройку записей ресурсов NS домена («deadbeef.fun») для указания на вредоносный сервер имен («ns1.41414141.club») и запрос целевого DNS-сервера для домена, чтобы последний анализировал ответы от сервера имен для всех последующих запросов, связанных с доменом или его поддоменами.
Таким образом злоумышленник может вызвать ошибку целочисленного переполнения в функции, которая анализирует входящие ответы для перенаправленных запросов («dns.exe!SigWireRead»), чтобы отправить ответ DNS, содержащий запись ресурса SIG размером более 64 КБ, и вызвать контролируемое переполнение кучи примерно исходя из небольшого выделенного буфера.
Ошибка выявлена в функции, ответственной за выделение памяти для записи ресурса («RR_AllocateEx»), чтобы генерировать результат размером более 65 535 байт, что вызывает переполнение целых чисел, которое приводит к гораздо меньшему выделению, чем ожидалось.
Но с одним сообщением DNS, ограниченным 512 байтами в UDP (или 4096 байтами, если сервер поддерживает механизмы расширения) и 65 535 байтами в TCP, исследователи обнаружили, что ответа SIG с одной только длинной сигнатурой было недостаточно, чтобы вызвать уязвимость.
Чтобы достичь этого, атака использует преимущества сжатия DNS-имен в ответах DNS, чтобы создать переполнение буфера с использованием вышеупомянутого метода для значительного увеличения размера выделения.
SigRed может быть запущен удаленно через браузер в ограниченных сценариях (например, Internet Explorer и браузеры Microsoft Edge не на основе Chromium), позволяя злоумышленнику злоупотреблять поддержкой DNS-серверов Windows в функциях повторного использования соединений и конвейерной обработки запросов, чтобы «переправить» DNS-запрос внутри полезной нагрузки HTTP-запроса к целевому DNS-серверу при посещении веб-сайта под их контролем.
DNS-клиенты («dnsapi.dll») не подвержены этой ошибке, что заставляет исследователей подозревать, что Microsoft управляет двумя совершенно разными базами кода для DNS-сервера и DNS-клиента и не синхронизирует исправления ошибок между ними.
Исправление
Учитывая серьезность уязвимости и высокие шансы на активную эксплуатацию, пользователям рекомендуется срочно обновить уязвимые DNS-серверы Windows для снижения риска.
В качестве временного обходного пути, максимальная длина сообщения DNS (через TCP) может быть установлена в значение «0xFF00», чтобы исключить вероятность переполнения буфера:
reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f && net stop DNS && net start DNSНикогда такого не было и вот опять (с)
-1
xxx: У нас дыра в безопасности!
yyy: Ну хоть что то у нас в безопасности.
+2
Хабр уже не торт, никто в каментах не упомянул решето.
+3
Всем пофигу. Ну пофиксили в COBOL-64 ошибку переполнения DNS в Windows, и?
0
Учитывая серьезность уязвимости и высокие шансы на активную эксплуатацию, пользователям рекомендуется срочно обновить уязвимые DNS-серверы Windows.
ага, сперва захватываем права, потом фиксим 
+1
2003 и 2008 сервера чем обновить?
Ах, да, они же не поддерживаются больше.
+1
+3
+1
reg add “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters” /v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS
В команде нужно или удалить кавычки или заменить их на нормальные, а также после ‘/f’ дописать ‘&&’:
reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f && net stop DNS && net start DNS
0
0
Ну серьезно, почему вы не протестировали то, что предлагаете своим коллегам выполнить?
Ведь вы же занимаетесь безопасностью. Как можно не протестировать то, что предлагаете другим.
Вы же, надеюсь, знаете про байки про команду rm в Linux.
Думаю, что посты связанные с безопасностью должны проверяться по 10 раз минимум, а лучше по 17 раз… как в российской пословице.
+2
Коллеги должны читать первоисточники, а не Хабр
+1
Jok40, я такой же коммент добавил, только почему-то не видел на момент публикации коммента, что вы это уже написали.
Не вижу, к сожалению, возможности удалить свой дубль.
)))
0
> и вызвать контролируемое переполнение кучи
> примерно
> исходя из небольшого выделенного буфера.
O_o
+2
Как раз вижу в логах DNS сервера событие 7050:
The DNS server recv() function failed. The event data contains the error.
Это с этим связано?
0
+1
17-летний программный недостаток
интересное совпадение, как раз в это время им оставляли сообщение на эту тему
-2
НЛО прилетело и опубликовало эту надпись здесь
Этой ошибки уже 17 лет. И вот только сейчас ее исправили. Видимо кто-то ее активно использовал, но сильно не афишировал это. Умиляет оправдание разработчиков исправления — мы так долго не исправляли по причине того, что в диких условиях это не встречается.
0
Я не был поражен Microsoft. Спасибо!
0
Чтобы использовать эту архитектуру, SigRed включает в себя настройку записей ресурсов NS домена («deadbeef.fun») для указания на вредоносный сервер имен («ns1.41414141.club») и запрос целевого DNS-сервера для домена, чтобы последний анализировал ответы от сервера имен для всех последующих запросов, связанных с доменом или его поддоменами.
Ух! Умеют же люди писать!
+2
Guest
Guest
-
#1
I get this error message in event viewer for my DNS. [The
DNS server recv() function failed. The event data contains
the error.] I am running Win/2000 server with active
directory and only one forward lookup zone. Any help would
be greatly appreciated. Thanks
-
- Mar 31, 2004
-
- 515
-
- 0
-
- 18,980
- 0
-
#2
I got the same thing this afternoon. One 7050 error on
each of my 8 DNS servers in 3 domains (parent + 2 child
domains) this afternoon. The error came only once on each
server — but all within 5 minutes. DNS seems to be working
ok — ran netdiag and dcdiag. Any info would really help.
>——Original Message——
>I get this error message in event viewer for my DNS. [The
>DNS server recv() function failed. The event data
contains
>the error.] I am running Win/2000 server with active
>directory and only one forward lookup zone. Any help
would
>be greatly appreciated. Thanks
>.
>
Guest
Guest
-
#3
In news:1c8b01c48caa$53f10590$a301280a@phx.gbl,
Mary <anonymous@discussions.microsoft.com> made a post then I commented
below
> I got the same thing this afternoon. One 7050 error on
> each of my 8 DNS servers in 3 domains (parent + 2 child
> domains) this afternoon. The error came only once on each
> server — but all within 5 minutes. DNS seems to be working
> ok — ran netdiag and dcdiag. Any info would really help.
Seems to be a rare issue that a DNS probe would cause:
http://www.eventid.net/display.asp?eventid=7050&eventno=4151&source=DNS&phase=1
—
Regards,
Ace
Please direct all replies ONLY to the Microsoft public newsgroups
so all can benefit.
This posting is provided «AS-IS» with no warranties or guarantees
and confers no rights.
Ace Fekay, MCSE 2003 & 2000, MCSA 2003 & 2000, MCSE+I, MCT, MVP
Microsoft Windows MVP — Windows Server — Directory Services
Security Is Like An Onion, It Has Layers
HAM AND EGGS: A day’s work for a chicken;
A lifetime commitment for a pig.
—
=================================
-
- Apr 2, 2004
-
- 41
-
- 0
-
- 18,530
- 0
-
#4
Hi Ace,
I think that was my post at EventID, matches what I submitted. We’ve gotten
a few more 7050 errors that was not my co-worker doing a port probe — the
new 7050 events happened at about 2:30 am and 3:30 am est 6 days apart on
all four DNS servers (two are AD empty root, two are AD child) at HQ.
Interestingly, too, even though all 4 servers in same switch, our 2 AD Root
servers also reported 7050 on two other days at 11 am and 2 pm respectively,
whereas the child servers did not. The 11 am and 2pm I can possibly see as
port probes (most of HQ is software engineers), but 2:30 am and 3:30 am?
None of the DNS servers are public, all internal and AD structure hidden
from Internet. DNS looks fine, no one is having problems, no other errors
(System, Application, Directory Service, NTFS, Security logs).
I still think first occurance was port probe, too much coincidence that 7050
occurred on every DNS server exactly when port probe done. But I’m back to
investigating cause of newest 7050s, if same cause or not. Did a Google
search, saw this thread and thought I’d post the additional info. Still
investigating.
No need to reply.
Regards,
Joan
«Ace Fekay [MVP]»
<PleaseSubstituteMyActualFirstName&LastNameHere@hotmail.com> wrote in
message news:%23oLyYOKkEHA.2668@TK2MSFTNGP10.phx.gbl…
> In news:1c8b01c48caa$53f10590$a301280a@phx.gbl,
> Mary <anonymous@discussions.microsoft.com> made a post then I commented
> below
> > I got the same thing this afternoon. One 7050 error on
> > each of my 8 DNS servers in 3 domains (parent + 2 child
> > domains) this afternoon. The error came only once on each
> > server — but all within 5 minutes. DNS seems to be working
> > ok — ran netdiag and dcdiag. Any info would really help.
>
>
> Seems to be a rare issue that a DNS probe would cause:
>
>
http://www.eventid.net/display.asp?eventid=7050&eventno=4151&source=DNS&phase=1
>
> —
> Regards,
> Ace
>
> Please direct all replies ONLY to the Microsoft public newsgroups
> so all can benefit.
>
> This posting is provided «AS-IS» with no warranties or guarantees
> and confers no rights.
>
> Ace Fekay, MCSE 2003 & 2000, MCSA 2003 & 2000, MCSE+I, MCT, MVP
> Microsoft Windows MVP — Windows Server — Directory Services
>
> Security Is Like An Onion, It Has Layers
> HAM AND EGGS: A day’s work for a chicken;
> A lifetime commitment for a pig.
> —
> =================================
>
>
Guest
Guest
-
#5
In news:%23SjBu9PkEHA.704@TK2MSFTNGP09.phx.gbl,
Joan <anonymous@discussions.microsoft.com> made a post then I commented
below
> Hi Ace,
>
> I think that was my post at EventID, matches what I submitted. We’ve
> gotten a few more 7050 errors that was not my co-worker doing a port
> probe — the new 7050 events happened at about 2:30 am and 3:30 am
> est 6 days apart on all four DNS servers (two are AD empty root, two
> are AD child) at HQ. Interestingly, too, even though all 4 servers in
> same switch, our 2 AD Root servers also reported 7050 on two other
> days at 11 am and 2 pm respectively, whereas the child servers did
> not. The 11 am and 2pm I can possibly see as port probes (most of HQ
> is software engineers), but 2:30 am and 3:30 am?
>
> None of the DNS servers are public, all internal and AD structure
> hidden from Internet. DNS looks fine, no one is having problems, no
> other errors (System, Application, Directory Service, NTFS, Security
> logs).
>
> I still think first occurance was port probe, too much coincidence
> that 7050 occurred on every DNS server exactly when port probe done.
> But I’m back to investigating cause of newest 7050s, if same cause or
> not. Did a Google search, saw this thread and thought I’d post the
> additional info. Still investigating.
>
> No need to reply.
>
> Regards,
> Joan
Hmm, at a lost, because this is a new one and there’s little on it.
According to this article:
http://www.oriweb.com/updateip.htm
It has something to do with dynamic updates. Maybe those are the times that
the netlogon service from a particular DC is trying to update into DNS.
And another link I found, someone mentions it maybe a Winsock driver based
error.
http://www.mail-archive.com/imail_forum@list.ipswitch.com/msg89439.html
Now, if you isolate the machine that is trying the updates (netmon? retina?)
and take a look at the NIC conifig, drivers, etc, maybe that can be a start?
Determine if any DCs or DNS servers have mulitple NICs, or teamed NICs, etc,
for a start as well. Another link mentions the ‘birthday’ attack against
BIND servers. But doesn’t seem likely in your case, since its MS DNS.
—
Regards,
Ace
Please direct all replies ONLY to the Microsoft public newsgroups
so all can benefit.
This posting is provided «AS-IS» with no warranties or guarantees
and confers no rights.
Ace Fekay, MCSE 2003 & 2000, MCSA 2003 & 2000, MCSE+I, MCT, MVP
Microsoft Windows MVP — Windows Server — Directory Services
Security Is Like An Onion, It Has Layers
HAM AND EGGS: A day’s work for a chicken;
A lifetime commitment for a pig.
—
=================================
Guest
Guest
-
#6
In news:%23SjBu9PkEHA.704@TK2MSFTNGP09.phx.gbl,
Joan <anonymous@discussions.microsoft.com> wrote their comments
Then Kevin replied below:
> Hi Ace,
>
> I think that was my post at EventID, matches what I
> submitted. We’ve gotten a few more 7050 errors that was
> not my co-worker doing a port probe — the new 7050
> events happened at about 2:30 am and 3:30 am est 6 days
> apart on all four DNS servers (two are AD empty root, two
> are AD child) at HQ. Interestingly, too, even though all
> 4 servers in same switch, our 2 AD Root servers also
> reported 7050 on two other days at 11 am and 2 pm
> respectively, whereas the child servers did not. The 11
> am and 2pm I can possibly see as port probes (most of HQ
> is software engineers), but 2:30 am and 3:30 am?
>
> None of the DNS servers are public, all internal and AD
> structure hidden from Internet. DNS looks fine, no one is
> having problems, no other errors (System, Application,
> Directory Service, NTFS, Security logs).
>
> I still think first occurance was port probe, too much
> coincidence that 7050 occurred on every DNS server
> exactly when port probe done. But I’m back to
> investigating cause of newest 7050s, if same cause or
> not. Did a Google search, saw this thread and thought I’d
> post the additional info. Still investigating.
Are you using the Advanced logging features? (Advanced tab)
Under higher load DNS will log 7050 events with Advanced logging enabled.
Advanced logging adds considerable load to DNS to write the log. When the
load gets to a certain point DNS just cannot write the log and answer
queries. DNS can handle thousands of queries a minute as long as it doesn’t
have to write a log. If it has to write a log, it slows DNS down way too
much. There was a poster with this event just yesterday, he had advanced
logging turned on, he turned off the logging and it resolved the issue.
—
Best regards,
Kevin D4 Dad Goodknecht Sr. [MVP]
Hope This Helps
================================================
—
When responding to posts, please «Reply to Group»
via your newsreader so that others may learn and
benefit from your issue, to respond directly to
me remove the nospam. from my email address.
================================================
http://www.lonestaramerica.com/
================================================
Use Outlook Express?… Get OE_Quotefix:
It will strip signature out and more
http://home.in.tum.de/~jain/software/oe-quotefix/
================================================
Keep a back up of your OE settings and folders
with OEBackup:
http://www.oehelp.com/OEBackup/Default.aspx
================================================
Guest
Guest
-
#7
In news:eACpzMXkEHA.3988@TK2MSFTNGP14.phx.gbl,
Kevin D. Goodknecht Sr. [MVP] <admin@nospam.WFTX.US> made a post then I
commented below
> Are you using the Advanced logging features? (Advanced tab)
>
> Under higher load DNS will log 7050 events with Advanced logging
> enabled. Advanced logging adds considerable load to DNS to write the
> log. When the load gets to a certain point DNS just cannot write the
> log and answer queries. DNS can handle thousands of queries a minute
> as long as it doesn’t have to write a log. If it has to write a log,
> it slows DNS down way too much. There was a poster with this event
> just yesterday, he had advanced logging turned on, he turned off the
> logging and it resolved the issue.
Curious Kevin, where is that other post? I tried to search on 7050, but no
luck.
Thanks!
Ace
Guest
Guest
-
#8
In news:uHBI4hXkEHA.1652@TK2MSFTNGP09.phx.gbl,
Ace Fekay [MVP] <PleaseSubstituteMyActualFirstName&LastNameHere@hotmail.com>
wrote their comments
Then Kevin replied below:
> Curious Kevin, where is that other post? I tried to
> search on 7050, but no luck.
It is in the windows.server.dns group under this subject line:
Windows 2003 DNS forwarder suddenly doesn’t work anymore
news:436501c4903d$4573d380$a601280a@phx.gbl
—
Best regards,
Kevin D4 Dad Goodknecht Sr. [MVP]
Hope This Helps
================================================
—
When responding to posts, please «Reply to Group»
via your newsreader so that others may learn and
benefit from your issue, to respond directly to
me remove the nospam. from my email address.
================================================
http://www.lonestaramerica.com/
================================================
Use Outlook Express?… Get OE_Quotefix:
It will strip signature out and more
http://home.in.tum.de/~jain/software/oe-quotefix/
================================================
Keep a back up of your OE settings and folders
with OEBackup:
http://www.oehelp.com/OEBackup/Default.aspx
================================================
Guest
Guest
-
#9
In news:eDVn96akEHA.3724@TK2MSFTNGP11.phx.gbl,
Kevin D. Goodknecht Sr. [MVP] <admin@nospam.WFTX.US> made a post then I
commented below
> It is in the windows.server.dns group under this subject line:
> Windows 2003 DNS forwarder suddenly doesn’t work anymore
>
> news:436501c4903d$4573d380$a601280a@phx.gbl
>
Thanks. I couldn’t find it searching the message because I haven’t read the
thread yet, so the messages were never downloaded.
Interesting how advanced logging would do that and mimic a probe.
Ace
-
- Apr 2, 2004
-
- 41
-
- 0
-
- 18,530
- 0
-
#10
Hi Ace, Kevin,
Just found your replies, thanks for info! Will investigate accordingly.
Regards,
Joan
«Ace Fekay [MVP]»
<PleaseSubstituteMyActualFirstName&LastNameHere@hotmail.com> wrote in
message news:uCYgj8bkEHA.3104@TK2MSFTNGP14.phx.gbl…
> In news:eDVn96akEHA.3724@TK2MSFTNGP11.phx.gbl,
> Kevin D. Goodknecht Sr. [MVP] <admin@nospam.WFTX.US> made a post then I
> commented below
> > It is in the windows.server.dns group under this subject line:
> > Windows 2003 DNS forwarder suddenly doesn’t work anymore
> >
> > news:436501c4903d$4573d380$a601280a@phx.gbl
> >
>
> Thanks. I couldn’t find it searching the message because I haven’t read
the
> thread yet, so the messages were never downloaded.
>
> Interesting how advanced logging would do that and mimic a probe.
>
> Ace
>
>
Guest
Guest
-
#11
In news:eEPpIeQlEHA.2884@TK2MSFTNGP09.phx.gbl,
Joan <anonymous@discussions.microsoft.com> made a post then I commented
below
> Hi Ace, Kevin,
>
> Just found your replies, thanks for info! Will investigate
> accordingly.
>
> Regards,
> Joan
>
Please let us know if it helped.
Ace
Guest
Guest
-
#12
I am also having the same problem…. Any answers yet? I am trying to
use Terminal Services….Everyone can log in…. But the remote
control will Not work — including the SHADOW Command.
Thanks
Angela
—
shotz11111
————————————————————————
Posted via http://www.mcse.ms
————————————————————————
View this thread: http://www.mcse.ms/message994513.html
Guest
Guest
-
#13
I am also having the same problem…. Any answers yet? I am trying to
use Terminal Services….Everyone can log in…. But the remote
control will Not work — including the SHADOW Command.
Thanks
Angela
—
shotz11111
————————————————————————
Posted via http://www.mcse.ms
————————————————————————
View this thread: http://www.mcse.ms/message994513.html
Guest
Guest
-
#14
In news:shotz11111.1dohcd@mail.mcse.ms,
shotz11111 <shotz11111.1dohcd@mail.mcse.ms> made a post then I commented
below
> I am also having the same problem…. Any answers yet? I am trying to
> use Terminal Services….Everyone can log in…. But the remote
> control will Not work — including the SHADOW Command.
>
> Thanks
> Angela
Shdow command has nothing to do with DNS. Both users need to be in a session
in order to use remote control (shadow a session). You cannot do it from the
console session.
—
Regards,
Ace
Please direct all replies ONLY to the Microsoft public newsgroups
so all can benefit.
This posting is provided «AS-IS» with no warranties or guarantees
and confers no rights.
Ace Fekay, MCSE 2003 & 2000, MCSA 2003 & 2000, MCSE+I, MCT, MVP
Microsoft Windows MVP — Windows Server — Directory Services
Security Is Like An Onion, It Has Layers
HAM AND EGGS: A day’s work for a chicken;
A lifetime commitment for a pig.
—
=================================
- Advertising
- Cookies Policies
- Privacy
- Term & Conditions
- Topics