none
Ověření doménového účtu 2008 XP SP3 neprojde přes VPN

    Dotaz

  • Na router mám spojenou OpenVPN, klient s XP SP3 dostane IP od routeru a informaci o DNS a WINS, které jsou na 2008 serveru. (Ten má momentálně vypnutý firewall) data tečou krásně, nslookup pohoda, ping přes VPN do 3ms, ale když chci otevřít sdílený prostředek... ( \\server nebo synchornizovat outlook ) vypadne to, že cesta v síti nenalezena.. přitom zjevně neověří jméno a heslo.

    Na OWA se bez potíží dostanu, stejně, jako na spoustu jiných zařízení v síti, ale 2008 server mě odmítá ověřit jako člena domény. Pokud stejný počítač z domény vyřadím, zeptá se mě na pověření a pokud ho zadám, vše funguje.. pokud ho přidám do domény a naloguju se na doménovej účet, zas nic neověří. Samozřejmě na lokální síti všechno funguje bez chyby. Ještě přemýšlím, že může být problém v tom SP3 na stanici, ale pokud má někdo myšlenku, budu rád, už nad tim sedim dost dlouho Sad

     

    15. října 2008 1:20

Odpovědi

  •  

    Takže z neznámého důvodu na některých stanicích prošlo MTU 1400 na nadaptérů, který měl nastaveno 1500. Na stanicích s Vistou se MTU upravilo samo korektně na XP SP3 jen na některých. Dál byl problém s eSET Smart Security, které doslova žralo packety o nestandardním MTU a po obnovení například z režimu spánku znemožnilo korektní navázání VPN. Sice v pravidlech byl uvedený port i protokol, na poprvé to prošlo , ale obnovení se téměř nikdy nezdařilo.

    Bylo třeba nastavit na VPN serveru MSFIX na 1450 , MTU size na 1400  .. MTU discovery na OFF a na stanicích na TAP adaptéru MTU 1400 a v nastavení spojení také.

    Po tomto nastavení a nahrazení SmartSecurity NODem 32 a standardním MS firewallem vše funguje korektně.

    Přes OpenVPN TUN nyní prochází vše včetně Upnp, Netbiosu a dalších radostí. Tato velikost MTU není sice možná optimální vzhledem k využití rachlosti spojení, ale VPN s ní drží i na CDMA nebo GPRS spojení a vzdálené DNS, WINS atd.. se přejímají okamžitě.

    22. října 2008 8:16

Všechny reakce

  • zkus na klientu stary dobry dommon.exe z RK. Na server se nedostanes ani pres jeho \\ip.adre.es.u ? NSLookup jde na kratke (NetBIOS) i dlouhe (FQDN) jmeno? Pouzivas NetBIOS (asi ano kdyz pouzivas WINS). Ve WINS vidis server, domenu/DC, browsemaster i klienta?

     

    Take muzes zkusit na serveru docasne zakazat SMB2 (http://www.petri.co.il/how-to-disable-smb-2-on-windows-vista-or-server-2008.htm). Jak mas (GP) vubec nastaveneho MS Network klienta a server (http://support.microsoft.com/kb/823659) ?

     

    MP

     

    15. října 2008 5:57
    Moderátor
  •  

    dommon.exe sem bohužel nenašel v žádném RK co mám k disposici.
    nslookup jde na jakékoli jméno, dokonce si můžu přidat záznam na nadřazené DNS a přeložit si co chci jak místním, tak  předávaným DNS. WINS sem nechal zapnuté kvůlivá starším HW prvkům a dalšímu balastu, NB nad TCP/IP funguje v místní síti normálně záznam z VPN klienta se mi promítne do DNS serverů v tom problém není. Zkusim sem to dnes na SP2 a jde to bez problémů , z toho vyvozuji, že problém se netýká přímo serveru 2008, ale následného ověřování po aplikaci některého hotfixu, snažím se přijít na to, který to je, zatím čistý SP3 na anglické verzi běží. Začnu tam cpát další updaty..  Jen mám pocit, že mi to začíná vybočovat z tématu servery.. co s vláknem ?

    15. října 2008 13:56
  • Vlakno bych neresil, to je pomerne casty jev ze prava podstata problemu pada jinam nez puvodni dotaz.

    dommon je v NT4 (!) RK pokud se nepletu stejne jako browmon a dalsi. V SP3 se zmenila autentikace (bylo oddeleno wifi a ethernet zabezpeceni, pribyla podpora NAP), nicmene pokud to s CISTYM SP3 jde jsem taky mimo misu.

    Zkusil bych spustit MS Network Monitor na funkcnim a nefunkcnim pocitaci, pozastavovat co se da a zachytit komunikaci pri dejmetomu net use \\server\ipc$ /user:user@domena zda se nedeje neco principielne odlisneho

    MP
    15. října 2008 15:52
    Moderátor
  • Tak sem dělal nějaké další testy a zjistil následující hrůzu.

    Notebook, který sem začal instalovat od SP2 se zapnutou VPN má momentálně uplně všechny aktualizace i SP3 a funguje naprosto bez problémů.

    Problém je s ověřením jména a hesla, kdy stanice tvrdí následující věci.

    Vyskočí zadání pověření,kde když dám název domény ve tvaru domena\jmeno a heslo, řekne, tato pověření jsou stejná, jako ta se kterými jste přihlášeni. řadič pro ověření v této toméně není k disposici. ALE když zadám domena.local\jmeno a heslo, ověří se to a komunikace už probíhá normálně. Pokud v tomto okamžiku zkusím znovu zavést počítač do domény tvrdí, že řadič pro domena.local neexistuje a pro domena tvrdí, že mám už jiná pověření a nelze..

    na dodaz nslookup  set q=srv pro

    _ldap._tcp.dc._msdcs.domena.local

    dostanu odezvu nazevpdc.domena.local priority=0 weight=100 port=389 srvhostname= nazevpdc.domena.local

    na dotaz _ldap._tcp.dc._msdcs.domena

    dostanu odpověď nelze nalézt adresu pro ...

     

    buď je někde poskákaný záznam, nebo nevim, co tam má bejt, protože místo ._msdcs je ve stromu 200á serveru jen odkaz stejný jako nadřezený a v nadřezaném je teprve celá větev. chápu, že je to vlastnost nového členění, ale nechápu, proč mi to nefunguje, nebo co tam chybí.´

     

    Teď už snad někdo bude vědět, už mi to leze na mozek.

    Než sem se dobral, na čem to vázne, musel sem vyřešit problém s několika firewally po cestě a zpožděným vkládáním routy, takže se omlouvám, že sem se hned nemohl zeptat na konkrétní věc.

    16. října 2008 13:16
    1. Jen pro jistotu: mas spravny default domain suffix na tom klientskem PC (domena.local)? Necpes do VPN pripojeni nejaky (JINY) suffix?
    2. net use * /delete (abys urcite nemel 2 pripojeni k DC s ruznymi ucty)

     

    MP

     

     

     

    16. října 2008 13:20
    Moderátor
  • na ipconfig /all  vyede na daném TAP adaptéru domena.local a když použiju redirect gateway a cpu do tunelu všecho, je situace stejná.

    na net use mám prázdný seznam položek dokud tedy nezadám domena.local\jmeno a neprihlasim se.. což někdy vůbec nejde, protože se pokouší ověřit přes aktuální pověření, které někdy selže hned a někdy až za dlouho.

    Už mě to pěkně vytáčí.

     

    16. října 2008 23:16
  •  

    Takže z neznámého důvodu na některých stanicích prošlo MTU 1400 na nadaptérů, který měl nastaveno 1500. Na stanicích s Vistou se MTU upravilo samo korektně na XP SP3 jen na některých. Dál byl problém s eSET Smart Security, které doslova žralo packety o nestandardním MTU a po obnovení například z režimu spánku znemožnilo korektní navázání VPN. Sice v pravidlech byl uvedený port i protokol, na poprvé to prošlo , ale obnovení se téměř nikdy nezdařilo.

    Bylo třeba nastavit na VPN serveru MSFIX na 1450 , MTU size na 1400  .. MTU discovery na OFF a na stanicích na TAP adaptéru MTU 1400 a v nastavení spojení také.

    Po tomto nastavení a nahrazení SmartSecurity NODem 32 a standardním MS firewallem vše funguje korektně.

    Přes OpenVPN TUN nyní prochází vše včetně Upnp, Netbiosu a dalších radostí. Tato velikost MTU není sice možná optimální vzhledem k využití rachlosti spojení, ale VPN s ní drží i na CDMA nebo GPRS spojení a vzdálené DNS, WINS atd.. se přejímají okamžitě.

    22. října 2008 8:16