none
Nemožnost přihlášení ověřeného doménového uživatele po aktualizaci na Windows 10 build 2004 RRS feed

  • Dotaz

  • Dobrý den,

    předem se omlouvám za specifikaci problému v nadpisu. Teď ale k problému, po aktualizaci na Windows 10 build 2004 u doménových uživatelů fyzicky v doménové síti funguje vše v pořádku, ale až do doby, kdy již ověřený doménový uživatel v PC/NB přijde se svým počítačem mimo doménovou síť, například domů. Po přihlášení se k uživatelskému účtu přetrvává stav uvítací obrazovky a do systému se nedostane, jediná možnost natvrdo vypnout PC, když před přihlášením vypnu internet, tak po zadání hesla se k účtu normálně přihlásím. Poté když se připojím k internetu, tak se PC razantně zpomalí a u připojení k síti mám status "bez internetu". Ve správci úloh je 100% využití CPU službou DNS. Jakmile se PC připojí v doménové síti vše zase korektně funguje. Před aktualizací na Windows 10 build 2004 se dalo mimo doménovou síť vždy k účtu přihlásit. Tento problém mám u většiny uživatelů, dokonce jsem provedl čistou instalaci buildu 2004 a s doménovým účtem je stav stejný. Když jsem doma nastavil v routeru VPN a v konfiguraci TCP/IP jsem ručně nastavil DNS server AD serveru, přihlášení proběhlo, divné je, že když jsem VPN zrušil a DNS server mám nastaven pouze od svého providera, fyzicky se na AD server z práce nedostanu tak potom už se doma přihlásím. Setkal se někdo s podobným problémem? Jedná se mi o problém u cca 100 uživatelů, kteří si notebook nosí domů. Radu použití VPN prosím ne, děkuji.

    pondělí 22. června 2020 15:40

Všechny reakce

  • DNS resolvne mimo firmu domenu / zaznamy DCs, nebo ne? 

    MP

    pondělí 22. června 2020 18:12
    Moderátor
  • Doména je pouze lokální, nic není vystrčeno mimo lokální doménovou síť.
    pondělí 22. června 2020 18:44
  • A ani IP adresy domenove site nejsou z nejakeho bezneho  proflakleho 192.168.x.x rozsahu?

    MP

    pondělí 22. června 2020 20:59
    Moderátor
  • Ano jsou z běžně profláklého rozsahu 10.0.x.x, spíše bych chtěl vědět, jak to spolu souvisí, několik let od Windows XP až po Windows 10 1909 nebyl problém, ale po instalaci Windows 10 build 2004 ano.
    úterý 23. června 2020 5:34
  • Ja typuju na nejakou chybu v detekci site - public, work, domain. Neboli sluzba Network Location Awareness.

    IMHO podle popisu si PC mysli, ze je v domene a hleda DC. Pokud je bez site (offline), prihlaseni projde. Asi na to bude casem oprava.

    A to si opravdu nasadil cele firme (100 lidem) posledni, sotva mesic stary build, aniz si to nejprve na nekom otestoval? Tak to si dabel, hazarder, nebo bezbrehy optimista.



    úterý 23. června 2020 7:22
  • JJ, ale takto se Win chovaly vzdycky - pokud byly mimo domenovou sit, ale nedochazelo jim to, tuhly.

    Takze jak pise Mirek - soustred se na to, proc si Windows mysli, ze jsou doma

    MP

    P.S. sit 10.0. ... nic moc. Budes mit problemy. Pouzivej neco obskurniho, treba 10.255.x.x, nebo 172 ....

    úterý 23. června 2020 9:03
    Moderátor
  • Bohužel se stalo, napřed jsem aktualizaci otestoval sám na sobě, poté na školních PC učebnách cca 50 PC, chovalo se to normálně, postupně se to nainstalovalo i dalším uživatelům a postupně přicházeli problémy. 

    Ad detekce sítě, když už se povede přihlásit, tak síť je detekována správně, doma jako public v práci jako domain.

    Je však divné, že u některých uživatelů to doma funguje normálně. Doufám, že oprava se objeví v brzké době...

    úterý 23. června 2020 9:44
  • Tak zkus udelat maly vyzkum u tech, kterym to doma funguje. At ti sdeli, jakou IP sit doma maji. Muzes si prohlednout obsah registry u funkcnich a nefunkcnich stroju, jak vypadaji jejich sitove profily

    Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles

    Obavam se, ze narazis na to, ze to nefunguje hlavne tem, kteri doma pouzivaji defaultni interenet rozsah (Typicky o2 internet) 10.0.0.0 (stejny jako v domene). A verim, ze to bude doma fungovat hlavne tem, kteri maji druhy "standard" 192.168.1.0

    Nic to samozrejme nemeni na veci, ze stejna IP sit neni duvod, proc by nemelo offline prihlasnei fungovat. NLA kontroluje/ma kontrolovat spoustu hodnot - IP sit, GW, DCHP DNS Suffix...

    EDIT: a stejne trvam na tom, ze mesic stary build do produkce nepatri. Opatrne testovat, a klidne s nekolika mesicnim odstupem instalovat. Neni spech, obzvlast, pokud vse funguje a verze stavajiciho buildu je stale podporovana.

    úterý 23. června 2020 11:38
  • Jak jsem zjistil je jedno jaký IP rozsah je přidělen, na mobilu jsem si vytvořil hotspot a přidělil mi adresu 192.168.1.x, v daný moment okamžitě došlo k vytížení CPU na 100% službou klient DNS. Divil bych se, kdyby to bylo pouze rozsahem 10.0.x.x, protože to nefunguje ani u dalších kolegů, kteří pracují v dalších dvou odlišných lokalitách a IP rozsahy mají 10.1.x.x a 10.2.x.x

    EDIT: každý děláme občas chyby, ze kterých se do budoucna poučíme, prostě jsem si nas... do vlastního hnízda


    úterý 23. června 2020 12:20
  • Pokud sluzbu DNS client VYPNES a ZAKAZES (ten nazev je nesmyslny, neni to DNS client, ale DNS cache), deje se take?

    etc/hosts resp. lmhosts mas prazdne?

    A samozrejme se mrkni (netstat a pod) jaky process se kam smazi konektit.

    DNSka mas nastavena pomoci DHCP? Search suffixy a pod ... nic nestandardniho?

    MP



    úterý 23. června 2020 12:58
    Moderátor
  • Tak teď jsem zkusil pracovní notebook přihlásit doma, kde mám IP 192.168.88.x a stejný stav, stále vidím obrazovku vítejte. Přihlásil jsem se tedy bez připojení k internetu, v registrech jsem službu DNS cache zakázal, provedl jsem restart, nechal před přihlášením připojit k domácí síti a přihlásil se, během pár sekund jsem se k účtu přihlásil, ale po chvilce byl systém zamrznutý, tentokráte CPU na 100% vytížilo: Local Security Authority a pod ním běžely služby Správce zabezpečení účtů, Služba netlogon, Izolace klíče CNG a když jsem ve správci tyto procesy zastavil došlo k tomu, že naskočila hláška, že bude za necelou minutu odhlášen a poté se notebook restartoval. Zkusil jsem tedy možnost číslo 2 a to přihlásit se lokálním účtem ve Windows, zadal jsem účet a heslo a jsem na stejném problému, přihlašovací obrazovka Jiný uživatel a stále se točí kolečko a vítá mne, když jsem před přihlášením k lokálnímu účtu vypnul připojení k internetu tak jsem se k místnímu účtu bez problému připojil, takže teď už tomu nerozumím vůbec, po připojení k internetu opět nepoužitelný systém, nespustím ani task manager.

    Jinak samozřejmě v zaměstnání je DNS přidělena pomocí DHCP, nic nestandartního.

    úterý 23. června 2020 17:01
  • Zdravím, mám stejně se projevující problém. Našli jste už nějaké řešení, nebo se stále čeká... Díky!
    čtvrtek 26. listopadu 2020 0:16
  • Karle, Lukasi: zkuste najit, co mate spolecneho a mene standardniho v konfiguraci, od toho se bude mozne odpichnout.

    MP

    čtvrtek 26. listopadu 2020 6:11
    Moderátor
  • Řeším momentálně na škole to samé. Potřebujeme aby učitelé měli ntb v doméně, ale kvůli distanční výuce je mohli používat i  doma. Aktualizace máme poslední 20H2. Problém se bohužel nevyskytuje u všech.
    pátek 27. listopadu 2020 14:24
  • To same = problem po aktualizaci na 2004?

    101% problemu v AD souvisi s DNS, zacni zde.

    Zkus bezny postup - prihlaseni AD UCTEM BEZ JAKEKOLIV SITOVE KONEKTIVITY (nakesovanymi udaji) funguje, neboi ano?

    MP

    pátek 27. listopadu 2020 22:03
    Moderátor
  • To same = problem po aktualizaci na 2004?

    101% problemu v AD souvisi s DNS, zacni zde.

    Zkus bezny postup - prihlaseni AD UCTEM BEZ JAKEKOLIV SITOVE KONEKTIVITY (nakesovanymi udaji) funguje, neboi ano?

    MP

    Ano přihlášení AD účtem bez konektivity projde. Nicméně jakmile se zalogovaný uživatel připojí na inet, tak dojde k vytížení CPU na 100% klientem DNS viz jak psal v původním dotazu Lukáš Gančarčík.
    neděle 29. listopadu 2020 10:31
  • domena NENI resolvovatelna mimo firemni sit (je to napr. domena firma.local)? IP rozsah "doma" je jiny, nez ve firme? Antivir je Defender? Notebooky Lenovo?

    Podivej se take na nastaveni NRPT policy

    MP

    P.S.Prosim necituj KOMPLETNI BEZPROSTREDNE PREDCHOZI PRISPEVEK


    neděle 29. listopadu 2020 18:32
    Moderátor
  • Ja mam takove neblahe tuseni, ze lokalni AD bude napriklad firma.cz, ktera se vyskytuje na internetu. A navic bude mit nejaky DNS wildcard zaznam, tj je resolvovatelne cokoliv.firma.cz a vede to na nejakou defaultni IP, na ktere nic neni (nebo treba nejaky WEB od ISP, nebo poskytovatele WEBu)

    Muzes mi vyse uvedene domnenky potvrdit?



    neděle 29. listopadu 2020 20:07
  • Tak to jsme 2, jen jsem se snazil nesugerovat tazateli sve myslenky a nechat jej prijit si na to vicemene sam :)

    MP

    neděle 29. listopadu 2020 22:43
    Moderátor
  • Ano, jedná se o lokální doménu neco.cz. Wildcard záznam u vlastníka domény byl, bohužel ho nemáme pod správou. Nicméně i po jeho odstranění ke změně nedošlo. DNS cache promazána. Lokální IP adresa pod kterou je to zkoušeno, je z jiného rozsahu (172.17.0.0), než rozsah kde leží lokální AD (192.168.0.0).
    pondělí 30. listopadu 2020 18:38
  • AD stoji a pada s DNS.

    OSOBNE pro zacatecniky doporucuju pro AD lokalni domenu 2. radu typu neco.local. Pokud chces pouzivat domenu typu neco.cz pro AD i na Internetu, je to ponekud vyssi level. Viz NRPT vyse a pod.

    MP


    pondělí 30. listopadu 2020 21:32
    Moderátor
  • Bohužel to byl požadavek, že musíme přejít na domena.cz. Nikdo nepředpokládal stav, jaký nastal, tzn. notebooky se budou používat i mimo lokální síť. Měly být čistě na cestování po škole. Jak to tedy co nejlépe ošetřit? Co jsem četl a jestli jsem to správně pochopil, tak NRPT souvisí jen s DNSSEC, nebo se pletu? Děkuji za nasměrování
    úterý 1. prosince 2020 8:12
  • a kdo ma vladu nad DNS v internetu? Zde zacnete!

    v NRPT se daji vynutit i generic DNS servers pro vasi AD. Ale to s sebou ponese konsekvence - mimo AD budou servery nepristupne a tedy se nedostanete na internetove adresy z vasi firmy ...

    MP

    úterý 1. prosince 2020 10:54
    Moderátor
  • Ja to zkusim z druhe strany. PC je clenem domeny Firma.cz. Zapne se a zacne cmuchat okolo sebe. Hleda DC v domene firma.cz, jejiz je clenem. V LAN (v praci) to projde, vse je OK. PC spokojene komunikuje s domenou.

    Doma zkusi nejake DNS podstrcene domacim SOHO routerem. A ejhle firma.cz reaguje. A zacne hledani. Externi DNS neobsahuje (asi by ani nemelo) zadne domenove zaznamy. A tedy se DNS system v PC na chvili zblazni z toho, ze musi cekat na timeouty.

    V horsim  pripadne dostava vymatene IP adresy z wildcard zaznamu - ten jste snad zrusili.

    Dalsi neznamou do toho vnese IPv6. Pouzivate? Je v NTB zapnute?


    úterý 1. prosince 2020 12:37
  • Tak ještě k dovysvětlení. Uvedený problém se netýká všech strojů mimo doménu. Wildcard záznam na doméně byl zrušen i včetně obecného záznamu na firma.cz, tudíž DNS záznam mimo doménu na něj neexistuje. Chování ntb je takové, že zaloguji doménového uživatele a vše se chová korektně. Připojím LAN kabel (WIFI), DHCP (172.17.0.*) bez IPV6 s providerovými DNS. Klient DNS zatíží systém na 100%. Po té už ani nejdou spustit některé další programy, např. Správce úloh, vlastnosti PC apod. Odpojím LAN. Správce úloh - Klient DNS stále ke 100%, beze změny klidně i 10min ačkoliv je LAN odpojená. Restart ntb končí na "Prosím čekejte" a nic se neděje. Nutno pak vypnout natvrdo. Totéž chování i pokud se na ntb zaloguji jako lokální uživatel. Jedná se o nové ntb DELL, antivir AVG pro jistotu odinstalován.
    středa 2. prosince 2020 11:37
  • Windows instalovane nacisto (nepouzivas doufam OS predinstalovany vyrobcem?)?

    MP

    středa 2. prosince 2020 15:41
    Moderátor
  • Ano Windows jsou čistá instalace. Tak problém je v zapnutém DNSSEC v AD. Omlouvám se, že jsem si toho nevšiml.
    čtvrtek 3. prosince 2020 7:31
  • Takze NRPT GPo jak jsem psal zkraje? Zkus byt konkretnejsi, tva zpoved pomuze dalsim uzivatelum!

    MP

    čtvrtek 3. prosince 2020 8:19
    Moderátor
  • Ano NRPT. Kolega zprovozňoval DNSSEC na doméně a já si nevšiml, že se automaticky přidal objekt do zásad skupiny. Prozatím jsem je vypnul. Nicméně jak to co nejlépe pořešit pro ntb, které cestují mimo doménu? Přidáním těch generic DNS?
    čtvrtek 3. prosince 2020 8:51
  • Taze mas pro tutez domenu 2 sady DNS s ruznymi zaznamy a schopnostmi? Well, well ..

    ipv6 directaccess? pre-logon vpn ?

    MP



    čtvrtek 3. prosince 2020 10:18
    Moderátor
  • Taze mas pro tutez domenu 2 sady DNS s ruznymi zaznamy a schopnostmi? Well, well ..

    Nerozumím dotazu.

    IPV6 vypnuto. pre-logon vpn???


    čtvrtek 3. prosince 2020 15:20
  • Preklad:

    Pouzivas IPV6, napriklad pro DirectAccess? Takze ne...
    Nesla by pouzit VPNka, ktera by se pripojovala sama pred prihlasenim uzivatele? Tim by se vse vyresilo...

    Pro domenu firma.cz existuji dva DNS systemy. Jeden v robote (interni), ktery pouziva DNSSEC a druhy verejny (doma/internet), ktery neni DNSSEC a je na prvnim nezavisly.

    Tedy asi zkusit pres NRPT dve zasady: IP adresy ve firme - interni DNSESC DNS IP, mimo firmu jine DNS  - treba google. Bude to asi laborka, nez se to uchodi.

    čtvrtek 3. prosince 2020 15:50
  • Dik za preklad. Nejak jsem myslel, ze jsem na foru pro IT profesionaly, kde staci natuknout ...

    MP

    čtvrtek 3. prosince 2020 19:04
    Moderátor
  • Děkuji kolegovi Tiserovi za upřesnění. Budu zkoušet a uvidíme.

    pátek 4. prosince 2020 8:21
  • Díky za nakopnutí, společný jmenovatel bude DNSSEC, u nás jsem to taky musel řešit. Vyzkouším ta pravidla v NRPT a uvidíme... 
    pondělí 22. března 2021 13:36