none
Active Directory chyba ID 5723

    Dotaz

  • Podniková sít běží na platformě MS Windows server 2003 standard,  doménový server s active directory. V přípravě je záložní pro replikaci, nicméně není ješte zapojen. Před dvěma dny se ráno při zapínání stanic (cca 300) naprosto náhodně objevily problémy na několika stanicích. Při přihlašování uživatele k sítovému účtu se zobrazí chybová hláška:

    Systém Windows vás nemůže přihlásit k této doméně, protože řadič domény není spuštěn, nebo je z jiného důvodu nedostupný, nebo protože nebyl nalezen účet tohoto počítače

    Daný počítač je pak třeba přihlásit na lokálního admina a znovu k doméně připojit i přestože se počítač tváří, že v doméně je.

    V logu se ve stejnou chvíli objeví záznam:

    Nastavení relace z počítače xxx se nezdařilo, protože databáze zabezpečení neobsahuje účet vztahu důvěryhodnosti xxx$, na který odkazuje určený počítač. 
    ID: 5723
    zdroj: NETLOGON

    V poslední době nedocházelo k žádným změnám, celá patálie začala z ničehonic. Na účtech počítačů v AD nevidím nic zvláštního a tyto výpadky se zdají být naprosto náhodné. Nicméně je velice otravné denně přepojovat 3-5 počítačů zpět do domény aby se uživatelé mohli přihlásit.

    Další dotazy rád zodpovím, a uvítám jakékoliv rady. Děkuji.
    5. dubna 2011 7:25

Odpovědi

  • Nerozumim informaci o zaloznim DC. Je zapojen do site a neni zapojeny do AD? K takove chybe dochazi, pokud na (zaloznim) DC nebezi sluzba NETLOGON, nebo se DC "nedopingnou".

    Pres ujisteni, ze se na siti "NIC" nedelo bych presto doporucoval provereni informace. Za zmenu povazuji i instalaci hotfixu.

    Pro jistotu bych provedl na DC

    ipconfig /flushdns

    netdiag /fix /debug

    (Podivejte se do logu netdiag.log)

    5. dubna 2011 7:50
    Moderátor
  • Díky všem za rady. Dnes se zdá vše v pořádku. Žádné telefony o nemožnosti připojení k doménovému účtu. Bud zabralo spláchnutí nebo netdiag /fix.Pokud se bude opakovat, vrátím se k tomuto článku a doplním všechny informace vámi žádané. Nechám otevřené do pátku a poté případně uzavřu. Ještě jednou děkuji všem za vstřícnost a snahu.
    6. dubna 2011 9:12

Všechny reakce

  • Nerozumim informaci o zaloznim DC. Je zapojen do site a neni zapojeny do AD? K takove chybe dochazi, pokud na (zaloznim) DC nebezi sluzba NETLOGON, nebo se DC "nedopingnou".

    Pres ujisteni, ze se na siti "NIC" nedelo bych presto doporucoval provereni informace. Za zmenu povazuji i instalaci hotfixu.

    Pro jistotu bych provedl na DC

    ipconfig /flushdns

    netdiag /fix /debug

    (Podivejte se do logu netdiag.log)

    5. dubna 2011 7:50
    Moderátor
  • Omlouvám se, špatně vyjádřeno. Básník tím chtěl říci, že záložní řadič domény NENÍ v provozu ani připojen do sítě. Chtěl jsem na to upozornit, protože spousta odkazů na řešení resp. příčinu této chyby odkazuje na záložní řadič domény. Díky za radu, jdu vyzkoušet.
    5. dubna 2011 8:04
  • Nejsou na stanicich Win 7?

    MP

    5. dubna 2011 8:47
    Moderátor
  • Všechno jsou stanice s MS Windows XP Pro . Log z Netdiagu krom odpojené druhé sítovky neukázal žádné chyby. Uvidíme zítra ráno, zdali se bude problém opakovat. Doufám, že to vyprázdněni DNS a fix třeba pomohlo :-D

    P.S. v den kdy začlo docházet k chybám se nainstaloval Hotfix KB2524375 i když podle diskripce mi nedává moc souvislostí.


    5. dubna 2011 9:01
  • Ucty postizenych pocitacu v AD jsou? Nestaci jej vyresetovat? Neprojevuje se problem napr. vzdy za mesic po instalaci/pridani do AD tzn. nevyprsi heslo uctu pocitace v AD protoze pocitac neni schopen si je prubezne menit.

    MP

    5. dubna 2011 9:19
    Moderátor
  • 1. Odpojenou druhou sitovku, pokud to jde radeji "disejblujte".

    2. Napiste jeste neco vic o konfiguraci AD a DNS (rezim, nejake speciality GPO, DNS integrovana,...)

    3. Pokud jedinou zmenou je hotfix 2524375 a vzapeti nastaly problemy, tak radeji proverte pres Google, zda se chyba vyskytuje nejen u vas (Je to relativne novy hotfix, takze reakce teprve mohou vyplavat.)

    4. Kdyby se nedarilo prijit na pricinu problemu, musel byste nasadit network monitor, abyste zjistil, co se na siti deje (filtraci byste vytahl  komunikaci s pocitacem, ktery dela problemy.)


    5. dubna 2011 9:27
    Moderátor
  • mohl byste vyzkoušet na těch "poškozených" počítačích toto, prosím?

    IPConfig /flushdns

    ipconfig /all

    NLTEST /SC_QUERY:jmeno-domeny

    NLTEST /SC_RESET:jmeno-domeny

    ipconfig /displaydns

    a výsledky sem hoďte.

    ta chyba může znamenat dvě věci - buď je skutečně rozdíl v tom, co za heslo má stanice uložené v registrech a co za hash je uloženo v ADčku. nebo to může být jenom nějaký post-produkt špatného DNS.

    když říkáte, že "není v provozu" ani "není připojen do sítě", tak tím myslíte, že někdy byl a už pracoval jako DCčko?

    ondra.

     

     

    6. dubna 2011 8:51
  • Díky všem za rady. Dnes se zdá vše v pořádku. Žádné telefony o nemožnosti připojení k doménovému účtu. Bud zabralo spláchnutí nebo netdiag /fix.Pokud se bude opakovat, vrátím se k tomuto článku a doplním všechny informace vámi žádané. Nechám otevřené do pátku a poté případně uzavřu. Ještě jednou děkuji všem za vstřícnost a snahu.
    6. dubna 2011 9:12
  • Asi by nebylo od věci, nechat ráno spuštěný performance monitor a zapnout čítače které by sledovaly vytížení serveru. Myslím zatížení disků, síťového rozhranní apod. A po ranním přihlašování vyhodnotit, co se dělo když se všichni začali přihlašovat.
    Kdysi se udávalo, že je-li delší dobu average disc queue length větší než 2, je to známka přílišného zatížení disku, a je třeba zde hledat úzké hrdlo. Pokud bude problém s výkonem serveru, tak urychleně připojit druhý server a povýšit jej na DC.
    Na vašem místě bych jej tam již dávno měl... :-)
    7. dubna 2011 12:14