Laboratoire Microsoft |  CertifExpress 
 Le Forum de Réfèrence sur les Technologies Microsoft - http://www.forum-microsoft.org

DCOM erreur système EventID 10009

Modérateurs : Modérateurs, Modérateurs_Systèmes

DCOM erreur système EventID 10009

Message par fotit » Dim 12 Juin 2016, 17:50

Bonjour
depuis plusieurs jours que cherche sur le net, sans avoir trouvé une approche fiable pour attaquer l'analyse de cette erreur.
En fait, c'est une erreur qui se répète chaque minute ou quelques minutes dans le journal système:

DCOM n’a pas pu communiquer avec l’ordinateur 169.254.215.86 en utilisant les protocoles configurés.
Source:DistributedCOM
Evenement: 10009
Niveau : Erreur

J'ai deux vlans, un pour les clients Win 7 Pro, et l'autre pour les 04 serveurs Win 2008 Server R2, dont deux sont des contrôleurs de domaine.
l'erreur apparait uniquement sur les DCS et on peut dire que c'est les memes erreurs au meme moment sur les deux DCs.

J'ai pris en haut un exemple pour une adresse
Faut savoir que les adresses concernés par l'erreur sont:
- Adresses APIPA
- 04 adresses d'imprimantes réseaux configuré sur le serveur d'impression sur l'autre VLAN
- 02 Jusqu'à 5 adresses postes clients.

J'ai utilisé whireshark et l'outil Microsoft message anlalyzer, mais sans résultat utile, c'est à dire je trouve bien que les cartes réseaux des deux DCs envoient des broadcasts par des adr
fotit
Full Member
Full Member
 
Message(s) : 136
Inscription : Ven 30 Déc 2011, 20:29

Re: DCOM erreur système EventID 10009

Message par fotit » Lun 13 Juin 2016, 11:32

Bonjour,
la demande complète:
Bonjour
depuis plusieurs jours que cherche sur le net, sans avoir trouvé une approche fiable pour attaquer l'analyse de cette erreur.
En fait, c'est une erreur qui se répète chaque minute ou quelques minutes dans le journal système:

DCOM n’a pas pu communiquer avec l’ordinateur 169.254.215.86 en utilisant les protocoles configurés.
Source:DistributedCOM
Evenement: 10009
Niveau : Erreur

J'ai deux vlans, un pour les clients Win 7 Pro, et l'autre pour les 04 serveurs Win 2008 Server R2, dont deux sont des contrôleurs de domaine.
l'erreur apparait uniquement sur les DCS et on peut dire que c'est les mêmes erreurs au même moment sur les deux DCs.

J'ai pris en haut un exemple pour une adresse apipa ( y'en a beaucoup)
Faut savoir que les destinations concernées par l'erreur sont:
- Adresses APIPA (fréquent)
- 04 adresses d'imprimantes réseaux configuré sur le serveur d'impression sur l'autre VLAN (fréquent)
- 02 Jusqu'à 5 adresses postes clients. ( pas fréquent)

donc c'est le message qui se répète: DCOM n’a pas pu communiquer avec l’ordinateur <Les types d'adresses ci-dessus> en utilisant les protocoles configurés

J'ai utilisé wireshark et microsoft message analyzer, mais sans résultat utile, c'est à dire je trouve bien que les cartes réseaux des deux DCs envoient des broadcasts vers différentes adresses APIPA ( je ne vois pas pourquoi d'ailleurs)...mais je n'arrive pas à exploiter cela pour corriger le problème.

merci svp de votre aide.
fotit
Full Member
Full Member
 
Message(s) : 136
Inscription : Ven 30 Déc 2011, 20:29

Re: DCOM erreur système EventID 10009

Message par ndietrich » Mar 14 Juin 2016, 23:35

Bonjour fotit,

DCOM permet d'exécuter des composants (objets COM distants) la plupart du temps à travers RPC. Il a donc besoin d'une communication sur l'endpoint mapper RPC (TCP ou UDP 135) pendant lequel il va négocier un port dynamique qui sera ensuite utilisé. S'il ne parvient pas à communiquer entre tes deux VLANs, je suppose que ton problème est soit que la communication sur ces ports ne passe pas de ton VLAN serveur vers celui des clients, soit un problème d'authentification, c'est à dire que le compte serveur utilisé n'est pas reconnu/autorisé à exécuter l'objet sur le client.

Deuxième point, d'où vient cette communication surtout si elle est à heure precise..? Je n'ai pas la réponse, je ne peux que te recommender de vérifier tes tâches planifiées, les utilitaires d'impression installés, et les autres évènements du journal application qui pourrait te donner des pistes sur l'application qui les génère. Si ça ne suffit pas, à partir de la trace réseau il faudrait que tu identifies le traffic RPC vers le endpoint mapper, et que tu en extraits l'interface DCOM qui tente d'être active (un GUID marshallé), et là c'est pas le plus simple..cf https://www.microsoft.com/msj/0398/dcom.aspx
Nicolas Dietrich
Software Development Manager Oracle - Oracle Database Clusterware Team
Ex-Directeur R&D Secib
Ex-Microsoft (Internet Developer Escalation Engineer & Technical Account Manager Dev)
Ex-MSDN Blog: http://blogs.msdn.com/nicd/
ndietrich
Grand Master Flash
Grand Master Flash
 
Message(s) : 2586
Inscription : Mer 30 Jan 2002, 8:23

Re: DCOM erreur système EventID 10009

Message par fotit » Mer 15 Juin 2016, 10:49

Bonjour
Tout le flux est ouvert entre le vlan serveurs et vlan client..aucun traffic n'est configuré en refus.
Le journal d'applications d'après ses logs est totalement indifférent à ces erreurs dans le journal système.

Cordialement,
fotit
Full Member
Full Member
 
Message(s) : 136
Inscription : Ven 30 Déc 2011, 20:29

Re: DCOM erreur système EventID 10009

Message par ndietrich » Mer 15 Juin 2016, 22:24

Si en théorie tous les flux sont autorisés entre tes deux VLANs, cherches dans ta trace wireshark si tu as bien du traffic correspondant (je pense un filter d'affichage "dcom || dcerpc" ou "tcp.port eq 135 or udp.port eq 135". Vois si ce traffic est visible ou non dans la trace, si les requêtes reçoivent des réponses ou semblent bloquer, et si tu n'as pas dans la réponse une erreur comme un access denied.

Si l'event log et les tâches planifiées ne t'aident pas à identifier qui génère ce traffic, tu peux soit revoir tous les objets DCOM déclarés sur la machine de destination et en chercher un qui soit un point commun à ces imprimantes / postes clients (dcomcnfg.exe puis Component Services, DCOM Config et tu révises les objets déclarés. Si c'est à heure fixe et prévisible, je te recommanderais aussi de lancer processmonitor sur les DCs juste avant qu'elle n'envoie ces requêtes, puis de chercher quel process semble initier ce traffic. Sinon encore une fois de tenter d'extraire de la trace Ethereal le GUID de l'ApplicationID qui tente d'être active sur la machine distante.

Bon courage.
Nicolas Dietrich
Software Development Manager Oracle - Oracle Database Clusterware Team
Ex-Directeur R&D Secib
Ex-Microsoft (Internet Developer Escalation Engineer & Technical Account Manager Dev)
Ex-MSDN Blog: http://blogs.msdn.com/nicd/
ndietrich
Grand Master Flash
Grand Master Flash
 
Message(s) : 2586
Inscription : Mer 30 Jan 2002, 8:23


Retour vers Windows 2008 R2 Server

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 7 invité(s)



Accueil | News | Articles | Tips | Outils | Certification | Easters Eggs
Essentiels | Glossaire | Vidos | Whitepapers | Essentiels | Bote Scripts
Conditions d'utilisation & Copyright | Respect de la vie prive