none
Připojení starých Win XP do nové domény

    Dotaz

  • Zdravím,

    vytvořil jsem novou doménu postavenou na Serveru 2008 R2 SP1. Zde běží AD, NAP, tisk, a Certification services. Postupně připojuji existující počítače - zatím jsem jich připojil cca 70 bez větších problémů (Většinou XP, několik 7). U jednoho počítače jsem ale zjistil, že i když šel připojit do domény, tak nefunguje 802.1x NAP - to je nejspíš způsobeno tím, že počítač si nestáhnul klientský certifikát. Opět ale nevím proč, protože ani v systémovém logu, ani v aplikačním logu se nevyskytuje žádná chybová hláška. Zjistil jsem, že vzhledem k tomu, že systém byl nainstalovaný v roce 2003 (ano, 8 let) tak nebyl nainstalovaný patch "aktualizace zásad skupiny". Ten jsem doinstaloval, počítač odpojíl z domény, znovu připojil, ale stav se nezměnil - certifikát si nestáhl, žádnou chybovou hlášku nezapsal. Na co bych se ještě mohl podívat krom zmíněného systémového a aplikačního logu?

    Děkuji, JŠ

    čtvrtek 7. července 2011 11:16

Odpovědi

  • Pokud je stav takovy, ze uzivatel na pocitaci pracuje a z jeho pohledu je vse v poradku, pak mate lepsi casove moznosti pro reseni problemu. Nevidim tu Vasi reakci na muj navrh komunikaci inkriminovaneho pocitace na siti sejmout network monitorem. Rovnez pokus o manualni import certifikatu by mel mit nejakou odezvu. 
    • Označen jako odpověď Jiri Simek pondělí 25. července 2011 13:15
    úterý 12. července 2011 9:48
    Vlastník

Všechny reakce

  • DD,

    pravdepodobne by pomohla nova cista instalace. To jste ale nechtel slyset ze.

     



    ing. Jan Chaloupek
    čtvrtek 7. července 2011 14:03
  • Z pohledu uživatele funguje všechno bez problému. Nová instalace je něco, co by mi v tomhle případě nedovolil udělat. Jinak máte pravdu: pokud bych to chtěl řešit reinstalací, tak nepíšu dotaz do fóra :D
    čtvrtek 7. července 2011 14:31
  • A když se podíváš přes konzoli certifikátů, tak tam ten certifikát není? Když jsi ho odebral z domény, tak jsi resetoval účet v AD nebo jsi ho i smazal?
    čtvrtek 7. července 2011 14:59
  • Mozna je to tim, ze na W XP neni SP3 ( ... o problemech napriklad zde http://support.microsoft.com/kb/968730/en-us )

    Doplneni: Protoze v puvodnim dotazu nejsou podrobnosti, tak mohou byt me dotazy low level. Je inkriminovany pocitac ve stejne OU, na kterou se aplikuje GPO? Jaky je vysledny "pohled" na GPO? V krajnim pripade nezbyva, pokud nejsou k dispozici logy, network monitor. 
    čtvrtek 7. července 2011 16:18
    Vlastník
  • Certifikát jsem hledal v IE: možnosti internetu/osobní/certifikáty. V MMC konzoli také vidět není. Počítač jsem jenom odebral z domény a znovu připojil. Účet jsem ani neresetoval, ani nemazal. Měl bych to tedy udělat znovu s resetováním účtu počitače?

    Počítač je a byl plně aktualizovaný, včetně SP3.

    čtvrtek 7. července 2011 17:30
  • Ahoj,

    tak to se ani nedivím, žes žádný nenašel. Musíš si spustit konzolu MMC (Start - spustit - mmc) dále do ní přidat Snap-In certifikáty (Soubor - Přidat nebo odebrat modul snap-in - Přidat) vybrat modul Certifikáty a přidat ho pod účtem počítače. Tam pak teprve uvidíš ty certifikáty jaké má ten počítač. To, na co jsi se díval byly certifikáty toho uživatele.

    Ano, po odebrání stanice je dobré ten účet ještě resetovat (provádí se to hlavně, pokud se udělá nestandartní odebrání - např když počítač havaruje; ale tady to taky neuškodí - resp aspoň budeme mít jistotu).

    pátek 8. července 2011 6:21
  • Tak jsem si to prohlédnul ještě jednou pomoci MMC, ale nic nového: všechny počítače mají certifikáty, až na tenhle jeden. Zajímavé také je, že jeden počítač má počet důvěryhodných certifikačních autorit 122, zatímco ten náš "zlobivý" počítač jich má 334. Je možné, že by náš interní certifikát byl tím jedním počítačem revokovaný? Jinak k počítači budu mít fyzický přístup až v podělí, tak se potom ozvu, jak jsem pochodil s resetováním účtu.

    Odpověď panu Puchtovi: Všechny počítače máme v jedné OU, žádný není jinde. Všechny politiky jsou na úrovni OU pro všechny stejně bez vyjimky.


    PS: ještě jsem zkusil to namodelování group policy ze serveru vůči tomu počítači: nemohl se připojit, protože není dostupné WMI nebo RPC. Přesto se na ten počítač MMC konzolí dostanu. ... ??

    PPS: poté, co jsem vypnul firewall, tak modelování GPO prošlo: žádná chyba

    pátek 8. července 2011 7:39
  • Jake je vysledne GPO na pocitaci, ktery dela problemy?

    Neni to prave systemovy pristup (stejne tak neni moc "koser" udrzovat instalaci 8 let), ale nabizi se individualni import certifikatu. Otestujete NAP a az bude cas, muzete se venovat autoenrollmentu.

    pátek 8. července 2011 13:40
    Vlastník
  • Tak jsem zkusil resetovat PC účet, znovu připojit, ale nic se nezměnilo. gpresult hlásí, že všechny politiky byly úspěšně provedené - i ta s autoenrollmentem, v logu není žádný chybový záznam, tiskárny z GPO se nainstalovaly, ale certifikáty stále nejsou na svém místě. Ještě předtím jsem zkoušel ručně nakopírovat potřebné certifikáty, ale na ten NAP to nezabralo - a opět žádná relevantní chybová hláška.
    pondělí 11. července 2011 8:58
  • Ja myslim ze je cas se vratit k memu puvodnimu prispevku a to ciste instalaci Windows. Myslim ze cas straveny nad hledanim by jste uz mel zpatky.

    :-)

     


    ing. Jan Chaloupek
    • Navržen jako odpověď Jan Chaloupek pondělí 11. července 2011 14:11
    • Zrušeno navržení jako odpověď Jiri Simek pondělí 11. července 2011 14:12
    pondělí 11. července 2011 14:07
  • Jak už jsem psal: z pohledu uživatele funguje všechno v pořádku. Nová instalace je něco, co by mi prostě nedovolil.
    pondělí 11. července 2011 14:13
  • DD,

    jak nedovolil?

    Uzivatel se proste nedostane do domeny. Predpokladam ze se potrebuje do domeny dostat minimalne na zdroje serveru. Nebo proc se pridava pocitac do nove domeny?

    Osm let stara instralace windows by si uz zaslouzila obnoveni.

     


    ing. Jan Chaloupek

    pondělí 11. července 2011 14:37
  • Uživatel už v doméně je. Pro základni připojeni musim vždycky na switchi napevno nastavit vnitřni vlan. Potom počítač připojím do domény, ten si stáhne certifikát, nastavení GPO atd, a potom nastavím port na switchi na 802.1x. Problém je v tom, že tento počítač jako jediný si certifikát nestáhl, ale jinak má přístup ke všem zdrojům, a uživatel si myslí, že je všechno v pořádku - ono to tak skutečně vypadá.
    pondělí 11. července 2011 16:32
  • Pokud je stav takovy, ze uzivatel na pocitaci pracuje a z jeho pohledu je vse v poradku, pak mate lepsi casove moznosti pro reseni problemu. Nevidim tu Vasi reakci na muj navrh komunikaci inkriminovaneho pocitace na siti sejmout network monitorem. Rovnez pokus o manualni import certifikatu by mel mit nejakou odezvu. 
    • Označen jako odpověď Jiri Simek pondělí 25. července 2011 13:15
    úterý 12. července 2011 9:48
    Vlastník
  • Děkuji za tip, vyzkouším to. Bohužel k tomu počítači se fyzicky dostanu až příští týden. Zkusím ten Network monitor, jestli se z něho něco dá vyčíst na dálku. Manuální import certifikátu můžu udělat až potom. Jak už jsem ale psal, tak už jsem to jednou zkoušel a opět se nebylo čeho chytit - žádná zpráva v logu nebyla, 802.1x NAP se neauthentizoval.
    úterý 12. července 2011 13:19
  • Tak jsem zkusil ještě jednou naimportovat ty certifikáty, a hurá: už 802.1x NAP funguje. Ještě mu chybí certifikát personal se jménem počítače - ten nemám odkud naimportovat - snad se teď už provede autoenrollment, když už se komunikace tváří být v pořádku. Nezbývá než doufat, protože k PC zase na týden nemám fyzický přístup.
    pátek 22. července 2011 14:31