none
Windows server 2008 a problemy s prihlasenim do domeny pro uzivatele terminaloveho serveru

    Dotaz

  • Mam problem s windows servem 2008 a prihlasenim uzivatelu (do domeny) na terminalovem serveru.

     

    Popis konfigurace:

    Hardware: 3 moduly v Intel modular serveru, na nich bezi VMWare ESXi 4.1, v nich vsechny servery jako virtualni 

    Domenovy server : WS 2008 enterprise (ENG), domain.company.sk, IP: 192.168.0.105, DNS:192.168.0.3 (firewall server s Kerio FW)

    Terminalovy server: WS 2008 standard CZ, terminal.company.sk, IP:192.168.0.108 , DNS:192.168.0.105

    Mail server: WS 2008 enterprise ENG, mail.company.sk, IP:192.168.0.106, DNS:192.168.0.105

     

    Pracovni stanice jsou stare pocitace, myslim, ze nejsou v domene ani pridane. Pouze se spousti pripojeni na terminal.

     

    Problem, ktery mame, se vyskytuje nepravidelne, nahodne dlouho (10min - 2hod) i trva a vyresi se sam, taky nevim jak.

    Kdyz se uzivatel snazi prihlasit na terminalovy server, zahlasi to:

    Zadaná doména neexistuje nebo není k dispozici.

     

    Kdyz se pokusim prihlasit pomoci domenoveho uctu na mail server (nebo jine servery), problem se nevyskytuje.

    Kdyz se prihlasim na terminal lokalnim uctem, ping na 192.168.0.105 jde bez problemu.

     

    Kdyz se kouknu do logu na terminale, vidim nasledujici problemy (nahodne se objevuji):

    Udalost 1054 / Group Policy / Zpracování zásad skupiny selhalo. Systém Windows nezískal název řadiče domény. Příčinou může být selhání překladu adres IP. Zkontrolujte, že je systém DNS správně nakonfigurován a pracuje správně.

    Udalost 5719 / NETLOGON / Tento počítač nemohl nastavit zabezpečenou relaci s řadičem domény v doméně COMAPNY z následujícího důvodu: 

    Pro vyřízení žádosti o přihlášení nejsou nyní k dispozici žádné přihlašovací servery. 

    A s odstupem 13 minut uz zprava (bez zasahu do systemu):

    Nastavení zásad skupiny bylo pro uživatele úspěšně zpracováno. Od posledního úspěšného zpracování zásad skupiny nebyly zjištěny žádné změny.

     

    Uz jsem zkousel hledat na internetu, ale zatim nepomohlo, nedokazu s tim pohnout. Nevim, jak odladit tuto chybu, jak zjistit, kde muze byt problem.

    Uzivatele se nastesti moc od terminaloveho serveru neodhlasuji, tak s tim dokazi zit, stejne je to ale problem a potreboval bych ho vyresit.

     

    Dekuji

    29. března 2011 8:40

Odpovědi

  • Ahoj,

    opravdu používáte doménu sk? Na doménovém serveru musí být nastaven DNS server POUZE 127.0.0.1. Hostuje ten DC také roli DNS, že ano?

    No a co říkají logy na DNS serveru?

    • Navržen jako odpověď Jiří JanataMember 30. března 2011 11:59
    • Označen jako odpověď Jiří JanataMember 30. března 2011 20:31
    • Zrušeno označení jako odpověď Blazej_D 4. dubna 2011 8:21
    • Zrušeno navržení jako odpověď Blazej_D 4. dubna 2011 8:22
    • Označen jako odpověď Blazej_D 4. dubna 2011 8:22
    29. března 2011 11:38
  • DNS:192.168.0.3 ... tento udaj je chybny. Po jeho oprave dejte

    ipconfig /flushdns

    a jeste prekontrolujte spravnost nastaveni funkci dcdiag.

    29. března 2011 11:50
    Moderátor
  • ... a jste si jistý, že se tam nevyskytují jiná nastavení DNS? když máte jediný DC, tak by mu nemuselo zas až tak vadit, že sám používá špatný DNS server.

    rozhodně jak říkal pan Puchta, všechny DNS musí směřovat na váš .105 počítač, na kterém musíte mít nainstalován DNS server. V tom DNS serveru musíte vidět nějakou zónu _MSDCS.

    mohl byste to také ověřit z toho terminal serveru tak, že se zkusíte dotázat na příslušný SRV záznam pomocí NSLOOKUP:

    NSLOOKUP

    SET Q=SRV

    _ldap._tcp.dc._msdcs.company.sk
    _kerberos._tcp.dc._msdcs.company.sk

    A tohle musí vrátit jen ten jeden počítače "domain.company.sk".

    ondra.


    GOPAS TechEd!!!

    29. března 2011 12:21

Všechny reakce

  • Ahoj,

    opravdu používáte doménu sk? Na doménovém serveru musí být nastaven DNS server POUZE 127.0.0.1. Hostuje ten DC také roli DNS, že ano?

    No a co říkají logy na DNS serveru?

    • Navržen jako odpověď Jiří JanataMember 30. března 2011 11:59
    • Označen jako odpověď Jiří JanataMember 30. března 2011 20:31
    • Zrušeno označení jako odpověď Blazej_D 4. dubna 2011 8:21
    • Zrušeno navržení jako odpověď Blazej_D 4. dubna 2011 8:22
    • Označen jako odpověď Blazej_D 4. dubna 2011 8:22
    29. března 2011 11:38
  • DNS:192.168.0.3 ... tento udaj je chybny. Po jeho oprave dejte

    ipconfig /flushdns

    a jeste prekontrolujte spravnost nastaveni funkci dcdiag.

    29. března 2011 11:50
    Moderátor
  • ... a jste si jistý, že se tam nevyskytují jiná nastavení DNS? když máte jediný DC, tak by mu nemuselo zas až tak vadit, že sám používá špatný DNS server.

    rozhodně jak říkal pan Puchta, všechny DNS musí směřovat na váš .105 počítač, na kterém musíte mít nainstalován DNS server. V tom DNS serveru musíte vidět nějakou zónu _MSDCS.

    mohl byste to také ověřit z toho terminal serveru tak, že se zkusíte dotázat na příslušný SRV záznam pomocí NSLOOKUP:

    NSLOOKUP

    SET Q=SRV

    _ldap._tcp.dc._msdcs.company.sk
    _kerberos._tcp.dc._msdcs.company.sk

    A tohle musí vrátit jen ten jeden počítače "domain.company.sk".

    ondra.


    GOPAS TechEd!!!

    29. března 2011 12:21
  • Dekuju za vsechny rady,  nejaka zpresneni a omluva za nepresnost (company je samozrejme jmeno firmy pro kterou spravuju server)

    Server spravuju v Bratislave, proto je domenou sk. 

    Kdyz otevru System (vlastnosti):

    Computer name: DOMAIN

    Full computer name: DOMAIN.company.sk

    Domain: company.sk

     

    Na domenovem serveru mam nainstalovanou i funkci DNS serveru.

     

    V nastaveni sitoveho radice ma :

    Primary DNS : 192.168.0.105

    Alternate DNS : 192.168.0.3 (todle teda dam pryc)

     

    Pri spusteni dcdiag aktualne nehlasi zadne problemy.(promazal jsem logy abych mel aktualni az budou problemy a nemusel to zas hledat)

     

    Potom, pri spusteni nslookup dostanu nasledujici odezvu:

     

    > _ldap._tcp.dc._msdcs.company.sk

    Server:  domain.company.sk

    Address:  192.168.0.105

     

    _ldap._tcp.dc._msdcs.company.sk       SRV service location:

              priority       = 0

              weight         = 100

              port           = 389

              svr hostname   = domain.company.sk

    domain.company.sk     internet address = 192.168.0.105

     

    > _kerberos._tcp.dc._msdcs.company.sk

    Server:  domain.company.sk

    Address:  192.168.0.105

     

    _kerberos._tcp.dc._msdcs.company.sk   SRV service location:

              priority       = 0

              weight         = 100

              port           = 88

              svr hostname   = domain.company.sk

    domain.company.sk     internet address = 192.168.0.105

    >

    Aktualne neni problem s prihlasenim, ale myslim , ze stejne vysledky jsem dostal i kdyz ty problemy byli.

    V case problemu to samozrejme nenajde ani server s licencemi pro terminalovou sluzbu, to je taky ten domenovej server.

     

     

    Myslim, ze pri hledani reseni jsem pridal uz i reverzni zaznam do dns, predtim to hlasilo neco jako unknown server.

     

    Zarazejici je, ze kdyz mam problem s prihlasenim se jako uzivatel domeny na terminal, neni problem se prihlasit na jine servery, ktere jsou nastaveny ...

    At uz spomenuty Mail server, nebo i stroj s Windows XP (tam bezi software ktery mame pouze licenci pro jednoho uzivatele, aby ho nemohlo vic uzivatelu soucasne pouzivat)

     

    29. března 2011 15:57
  • Jeste bychom meli vyloucit, ze by problem zpusobila multihome configurace domenoveho kontroleru. DC by mel mit jedno sitove rozhrani.
    30. března 2011 6:22
    Moderátor
  • Domenovy server (DC) ma pouze jeden sitovy adapter, vypis pro ipconfig /all

     

    Windows IP Configuration

     

       Host Name . . . . . . . . . . . . : DOMAIN

       Primary Dns Suffix  . . . . . . . : company.sk

       Node Type . . . . . . . . . . . . : Hybrid

       IP Routing Enabled. . . . . . . . : No

       WINS Proxy Enabled. . . . . . . . : No

       DNS Suffix Search List. . . . . . : company.sk

     

    Ethernet adapter Local Area Connection:

     

       Connection-specific DNS Suffix  . :

       Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection

       Physical Address. . . . . . . . . : 00-0C-29-2D-49-CE

       DHCP Enabled. . . . . . . . . . . : No

       Autoconfiguration Enabled . . . . : Yes

       Link-local IPv6 Address . . . . . : fe80::10fb:82e3:60a7:9bb4%10(Preferred)

       IPv4 Address. . . . . . . . . . . : 192.168.0.105(Preferred)

       Subnet Mask . . . . . . . . . . . : 255.255.255.0

       Default Gateway . . . . . . . . . : 192.168.0.3

       DHCPv6 IAID . . . . . . . . . . . : 251661353

       DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-11-F8-73-6D-00-0C-29-03-FC-AA

     

       DNS Servers . . . . . . . . . . . : ::1

                                           192.168.0.105

       NetBIOS over Tcpip. . . . . . . . : Enabled

     

    Tunnel adapter Local Area Connection* 8:

     

       Media State . . . . . . . . . . . : Media disconnected

       Connection-specific DNS Suffix  . :

       Description . . . . . . . . . . . : isatap.{E921F5DD-3005-447D-99AA-8C03AAD7890B}

       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0

       DHCP Enabled. . . . . . . . . . . : No

       Autoconfiguration Enabled . . . . : Yes

     

    Tunnel adapter Local Area Connection* 9:

     

       Media State . . . . . . . . . . . : Media disconnected

       Connection-specific DNS Suffix  . :

       Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface

       Physical Address. . . . . . . . . : 02-00-54-55-4E-01

       DHCP Enabled. . . . . . . . . . . : No

       Autoconfiguration Enabled . . . . : Yes

    30. března 2011 9:31
  • no skvěle, to znamená, že máte už všechno v pořádku. podle mě to bylo tím DNS serverem, i když vy tam máte zapnutou IPv6 DNSku, takže to mělo fungovat v pořádku. ta oprava toho DNSka to mohla vyřešit. když budete mít ještě nějaké problémy, dejte vědět.

    o.

     


    Na GOPAS TechEd je i večerní zábava!

    30. března 2011 10:37
  • Dekuju.

    Zkusim pockat par dni a skontroluju, jestli se ty problemy jeste vyskytujou.

    30. března 2011 12:38
  • Po tydnu zadna zalogovana chyba souvisejici s prihlasenim do domeny.

     

    Takze dekuju za navedeni k zdarnemu konci.

    Problem musel byt skutecne v tom, ze sice primary DNS jsem mel na DC spravne uvedenou adresu DC, ale jako sekundarni DNS jsem mel "internetove rozhrani". Jsem myslel, ze dotazy, na ktere nebude mit DNS (na DC serveru) odpoved, preposle ven.

     

    Nejspis ale obcas DNS dotazy spracoval a obcas je poslal ven, proto to obcas fungovalo a obcas ne.

    4. dubna 2011 8:28
  • Predpokladam ze na wanovem rozhrani nebezelo sdileni a dalsi klicove sluzby, presto mel server v DNS zaregistrovanu LAN i WANovou adresu. Zakladem je na LAN-ovem rozhrani zadat jako adresu DNS adresu tohoto rozhrani a na WANovem ji nechat rucni ale prazdnou. Samozrejme binding DNS pouze na LAN adapter atd.

    Co se nastaveni DNS serveru tyce - z (h)ruzych zkusenosti se stabilitou DNS serveru provideru doporucuji pouzivat REKURZIVNI vyhledavani a ne forwarders.

    MP

    4. dubna 2011 8:44
    Moderátor