none
Windows 2008 R2 Mapování domovských adresářů a DNS problém

    Dotaz

  • Dobrý den, mám problém s namapováním domovských adresářů uživatelů v Active Directory na klientské stanice Windows 10. Na serveru v objektu uživatel mám v profilu uživatele nastavené mapování domovských složek na H: a cesta \\dc-server1\homeshares$\jméno_uživatele. Na stanicích s Windows 10 se někdy domadr namapuje, ale většinou se nenamapuje. (v GPO mám nastavené na stanici "Wait for network connection").

    Zjistli jsem, že pokud namísto DNS názvu serveru zkusím IP adresu \\172.16.0.4\homeshares$\jmeno_uživatele, tak se domovský adresář namapuje vždy.

    Ipconfig /all stanice:

    Connection-specific DNS Suffix  . : vossp.cze
       Description . . . . . . . . . . . : Realtek PCIe GBE Family Controller
       Physical Address. . . . . . . . . : D8-CB-8A-E1-08-CC
       DHCP Enabled. . . . . . . . . . . : Yes
       Autoconfiguration Enabled . . . . : Yes
       Link-local IPv6 Address . . . . . : fe80::70c1:9679:cd82:dd5f%3(Preferred)
       IPv4 Address. . . . . . . . . . . : 172.16.0.124(Preferred)
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Lease Obtained. . . . . . . . . . : čtvrtek 3. března 2016 15:35:33
       Lease Expires . . . . . . . . . . : pátek 11. března 2016 15:35:33
       Default Gateway . . . . . . . . . : 172.16.0.10
       DHCP Server . . . . . . . . . . . : 172.16.0.1
       DHCPv6 IAID . . . . . . . . . . . : 64539530
       DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-1E-69-C2-4D-D8-CB-8A-E1-08-CC
       DNS Servers . . . . . . . . . . . : 172.16.0.4
       NetBIOS over Tcpip. . . . . . . . : Enabled

    Tunnel adapter isatap.vossp.cze:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . : vossp.cze
       Description . . . . . . . . . . . : Microsoft ISATAP Adapter
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes

    Nslookup funguje, ping také (překlady jak z doménových názvů, tak z IP adres).

    Po zadání adresy \\dc-server1\homeshares$\jmeno_uzivatele na klientské stanici se sdílená složka zpřístupní, ale mapování stále nefunguje na 100%.

    Stejný problém je i s mapováním disků přes GPO.

    čtvrtek 3. března 2016 15:03

Odpovědi

Všechny reakce

  • 1. DNS a DHCP jsou na ruznych serverech. To jsou ruzne domenove radice (DC)?

    2. DHCP by mel byt autorizovan v AD. Mate DHCP autorizovane?

    3. DNS je bezpecne a integrovane? "Sedi" na DC?

    4. Uvedte presne hlasky z protokolu udalosti.

    5. Protoze jste nepopsal dobre infrastrukturu, musim mit tyto dotazy.

    M.

    PS: Venkovni DNS take nemate dobre nakonfigurovane...

    čtvrtek 3. března 2016 16:17
    Vlastník
  • 1. DHCP je samostatně na Mikrotik routeru

    2. Jestli jsem to dobře pochopil tak autorizace DHCP v AD se provádí pokud je DHCP spravováno Windows serverem

    3. DNS je nainstalován společně na DC s AD (nevím co je myšleno bezpečné a integrované)

    4. V protokolu událostí jsem nenašel žádné hlášky spojené s GPO nebo mapováním disků, ale našel jsem tam 2 chyby: u ADDS je to event 2886 a u DNS event 4013, které se objevují jednou až 2x za den a časově jdou za sebou.

    Žádné venkovní DNS nepoužívám.

    Event 2886:

    The security of this directory server can be significantly enhanced by configuring the server to reject SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP binds that do not request signing (integrity verification) and LDAP simple binds that are performed on a cleartext (non-SSL/TLS-encrypted) connection. Even if no clients are using such binds, configuring the server to reject them will improve the security of this server. Some clients may currently be relying on unsigned SASL binds or LDAP simple binds over a non-SSL/TLS connection, and will stop working if this configuration change is made. To assist in identifying these clients, if such binds occur this directory server will log a summary event once every 24 hours indicating how many such binds occurred. You are encouraged to configure those clients to not use such binds. Once no such events are observed for an extended period, it is recommended that you configure the server to reject such binds. For more details and information on how to make this configuration change to the server, please see http://go.microsoft.com/fwlink/?LinkID=87923. You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher.

    Event 4013:

    The DNS server is waiting for Active Directory Domain Services (AD DS) to signal that the initial synchronization of the directory has been completed. The DNS server service cannot start until the initial synchronization is complete because critical DNS data might not yet be replicated onto this domain controller. If events in the AD DS event log indicate that there is a problem with DNS name resolution, consider adding the IP address of another DNS server for this domain to the DNS server list in the Internet Protocol properties of this computer. This event will be logged every two minutes until AD DS has signaled that the initial synchronization has successfully completed.

    Ještě k infrastruktůře:

    Jako vstupní brána do sítě z internetu je Mikrotik router na kterém běží DHCP, packet filter fw. V síti jsou isntalovány switche L3 od cisca a jsou používané jako defaultní brána. Windows 2008 R2 Standard server s ADDS, DNS, File Server a Print Server rolema.

    • Upravený Jiri Petak čtvrtek 3. března 2016 16:39
    čtvrtek 3. března 2016 16:33
  • DHCP na routeru? A jinak mas svou sit rad?Router nech routovat; sluby na vyssi urovni (DNS, DHCP...) nech delat server. Ver mi.

    Mapovani disku pres \\ip.adrsu? TO je velke No-No! Takto mapovany disk je automaticky v zone Internet a tedy povazovan za nebezpecnou zonu.

    Pouzivas NetBIOS? Proc ne, pak ale pro jistotu nainstaluj WINS!

    Klient ma defaultni domenu (vossp.cze) predanou DHCP serverem?

    MP


    čtvrtek 3. března 2016 18:30
    Vlastník
  • DHCP na routeru funguje dobre, ma mnohem snazsi spravu nez Win DHCP. Pokud klientska stanice ma korektni IP nastaveni, tak DHCP tento problem nezpusobuje.

    Samozrejme pokud je nejaka moznost, ze to je problem DHCP na routeru, tak bych s tim neco udelal. Ale netusim z jakeho duvodu bych mel mit DHCP na serveru, kdyz na routeru funguje dobre.

    čtvrtek 3. března 2016 18:43
  • No prave to je to co nechci mapovat pres IP adresu...

    NetBIOS jsem nikde nenastavoval, resp. na stanicich je ponechano defaultni nastaveni a WINS server nikde nemam.

    Klient je pripojen do domeny vossp.cze a DHCP server pridava defaultni suffix vossp.cze.

    čtvrtek 3. března 2016 18:58
  • DHCP na routeru funguje dobre, ma mnohem snazsi spravu nez Win DHCP....

    ... Ale netusim z jakeho duvodu bych mel mit DHCP na serveru, kdyz na routeru funguje dobre.

    Duvod je ryze prakticky: cim standardnejsi nastaveni budes mit, tim standardnejsi budes mit i problemy - a tim snaze je vyresis.

    MP

    čtvrtek 3. března 2016 19:15
    Vlastník
  • No tak wins server doinstaluj a pridej jeho adresu do DHCP.

    Kolik IP adres ma server? Jak je nastaveno DNS v konfiguraci TCP/IP na serveru (DNS je jedine a to pouze 172.16.0.4?)? Posli vystup z "ipconfig /all" ze serveru. Pouzivas IPV6?

    MP



    čtvrtek 3. března 2016 19:16
    Vlastník
  • Server má pouze jednu IP adresu. Vzhledem k tomu, že mám pouze jeden DNS server, tak jako preferovaný DNS server je nastavena IP adresa 172.16.0.4 a alternativní server je 127.0.0.1. IPv5 nepoužívám a na serveru je odškrtnut.

    server ipconfig /all

    Windows IP Configuration

       Host Name . . . . . . . . . . . . : DC-SERVER1
       Primary Dns Suffix  . . . . . . . : vossp.cze
       Node Type . . . . . . . . . . . . : Hybrid
       IP Routing Enabled. . . . . . . . : No
       WINS Proxy Enabled. . . . . . . . : No
       DNS Suffix Search List. . . . . . : vossp.cze

    Ethernet adapter Pýipojenˇ k mˇstnˇ sˇti 3:

       Connection-specific DNS Suffix  . : vossp.cze
       Description . . . . . . . . . . . : TEAM : LAG1
       Physical Address. . . . . . . . . : 0C-C4-7A-0F-33-C0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       IPv4 Address. . . . . . . . . . . : 172.16.0.4(Preferred)
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . : 172.16.0.10
       DNS Servers . . . . . . . . . . . : 172.16.0.4
                                           127.0.0.1
       NetBIOS over Tcpip. . . . . . . . : Enabled

    Tunnel adapter isatap.vossp.cze:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . : vossp.cze
       Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes

    Tunnel adapter Teredo Tunneling Pseudo-Interface:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes

    čtvrtek 3. března 2016 20:13
  • Proc je jako adresa zadano 172.16.0.4 i 127.0.0.1, kdyz oboji ukazuje na tyz server (sam na sebe)?

    Registruje se server spravne do DNS (to je klasicky problem jedineho domenoveho radice, ktery je zaroven jedinym DNS - pokud sluzba NetLogon nastartuje drive, nez sluzba DNS, nezaregistruje se server dynamicky v DNS a pak se deji veci ...)? Eventlog nerika ni o neuspesne registraci zaznamu v DNS? Co dcdiag.exe?

    Proste 101% problemu v AD je zpusobeno spatnou funkci DNS. Pak to "obcas funguje" diky fallbacku na NetBIOS (coz je behemot sam o sobe - tedy pokud nepouzivas WINS).

    MP



    čtvrtek 3. března 2016 20:16
    Vlastník
  • 1. DHCP dejte na DC. Autorizujte

    https://technet.microsoft.com/en-us/library/cc754493.aspx

    Nakonfigurujte DHCP

    https://technet.microsoft.com/en-us/library/cc732584.aspx

    2. 4013

    https://technet.microsoft.com/en-us/library/cc735842(v=ws.10).aspx

    https://support.microsoft.com/en-us/kb/2001093

    3. 2886

    https://technet.microsoft.com/en-us/library/dd941829(v=ws.10).aspx

    4. Nepouzivejte nestandardni konfigurace. Jednak nebudou fungovat a take jsou velkou prekazkou pri hledani chyb.

    5. Opravte si externi (public) DNS (to je jiny, nez vami zminovany problem).

    M.

    čtvrtek 3. března 2016 20:20
    Vlastník
  • Na nějakém foru jsem četl, že pokud je DNS server sám v síti, tak se má vyplnit i loopback adresa.

    Nevím jak je to myšleno s tou registrací, ale v DNS zóně je správně A záznam pro DC-SERVER1 a IP 172.16.0.4 (jako timestamp je uvedeno static) a nikdy jsem si nevšiml, že by se změnil.

    Případně tedy jak tento problém řešit, přidání dalšího Win DNS serveru není momentálně možné (max. linux DNS server)

    čtvrtek 3. března 2016 20:22
  • Díky, vyzkouším.

    Nerozumím co myslíte v bodu 5. externí DNS?

    čtvrtek 3. března 2016 20:24
  • Nejde o nejaky jeden A zaznam. Porovnej zonu pro domenu s obsahem souboru netlogon.dns, ktery se vytvoril pri povyseni serveru na DC.

    MP

    P.S. ty mas na serveru ceska windows :-O ?

    čtvrtek 3. března 2016 20:30
    Vlastník
  • V eventlogu jsem nasel pouze:

    Event 1014

    Name resolution for the name _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.vossp.cze timed out after none of the configured DNS servers responded.

    Event 4013, na ktery jsem poukazoval v uvodu.

    DCDIAG.EXE


    Directory Server Diagnosis


    Performing initial setup:

       Trying to find home server...

       Home Server = DC-SERVER1

       * Identified AD Forest.
       Done gathering initial info.


    Doing initial required tests

       
       Testing server: Default-First-Site-Name\DC-SERVER1

          Starting test: Connectivity

             ......................... DC-SERVER1 passed test Connectivity



    Doing primary tests

       
       Testing server: Default-First-Site-Name\DC-SERVER1

          Starting test: Advertising

             ......................... DC-SERVER1 passed test Advertising

          Starting test: FrsEvent

             ......................... DC-SERVER1 passed test FrsEvent

          Starting test: DFSREvent

             ......................... DC-SERVER1 passed test DFSREvent

          Starting test: SysVolCheck

             ......................... DC-SERVER1 passed test SysVolCheck

          Starting test: KccEvent

             ......................... DC-SERVER1 passed test KccEvent

          Starting test: KnowsOfRoleHolders

             ......................... DC-SERVER1 passed test KnowsOfRoleHolders

          Starting test: MachineAccount

             ......................... DC-SERVER1 passed test MachineAccount

          Starting test: NCSecDesc

             ......................... DC-SERVER1 passed test NCSecDesc

          Starting test: NetLogons

             ......................... DC-SERVER1 passed test NetLogons

          Starting test: ObjectsReplicated

             ......................... DC-SERVER1 passed test ObjectsReplicated

          Starting test: Replications

             ......................... DC-SERVER1 passed test Replications

          Starting test: RidManager

             ......................... DC-SERVER1 passed test RidManager

          Starting test: Services

             ......................... DC-SERVER1 passed test Services

          Starting test: SystemLog

             ......................... DC-SERVER1 passed test SystemLog

          Starting test: VerifyReferences

             ......................... DC-SERVER1 passed test VerifyReferences

       
       
       Running partition tests on : ForestDnsZones

          Starting test: CheckSDRefDom

             ......................... ForestDnsZones passed test CheckSDRefDom

          Starting test: CrossRefValidation

             ......................... ForestDnsZones passed test

             CrossRefValidation

       
       Running partition tests on : DomainDnsZones

          Starting test: CheckSDRefDom

             ......................... DomainDnsZones passed test CheckSDRefDom

          Starting test: CrossRefValidation

             ......................... DomainDnsZones passed test

             CrossRefValidation

       
       Running partition tests on : Schema

          Starting test: CheckSDRefDom

             ......................... Schema passed test CheckSDRefDom

          Starting test: CrossRefValidation

             ......................... Schema passed test CrossRefValidation

       
       Running partition tests on : Configuration

          Starting test: CheckSDRefDom

             ......................... Configuration passed test CheckSDRefDom

          Starting test: CrossRefValidation

             ......................... Configuration passed test CrossRefValidation

       
       Running partition tests on : vossp

          Starting test: CheckSDRefDom

             ......................... vossp passed test CheckSDRefDom

          Starting test: CrossRefValidation

             ......................... vossp passed test CrossRefValidation

       
       Running enterprise tests on : vossp.cze

          Starting test: LocatorCheck

             ......................... vossp.cze passed test LocatorCheck

          Starting test: Intersite

             ......................... vossp.cze passed test Intersite

    čtvrtek 3. března 2016 20:31
  • A. Nezlobte se, ale co do toho pletete Linux? Kde se tu najednou vzal?

    B. Mel byste mit dva DC. Na obou muze byt DNS (Secure and Integrated - pokud nevite, pouzijte Google a najdete si informace)

    C. IP adresa: DC s DNS ukazuji na sebe. Loopback se nastavi sam v prubehu dcpromo.

    D. "Nejaka fora" nejsou relevantni. Uzivejte predevsim Technet a overene zdroje (Blogy, MVA, TechED, knihy,  ...)

    E. Homogenni prostredi take usnadni spravu, v posledni dobe s pomoci Powershellu.

    M.

    čtvrtek 3. března 2016 20:35
    Vlastník
  • jeste dcdiag /test:dns /dnsall (snad jsem se nepreklep)

    MP

    čtvrtek 3. března 2016 20:39
    Vlastník
  • Linux jsem uvedl pouze jako možnost dalšího serveru, v síti běží malý Debian based linux server pouze jako interní web server s apachem (slouží pro jednoduchý intranetový portál).

    čtvrtek 3. března 2016 20:48
  • dcdiag /test:dns /dnsall

    Directory Server Diagnosis


    Performing initial setup:

       Trying to find home server...

       Home Server = DC-SERVER1

       * Identified AD Forest.
       Done gathering initial info.


    Doing initial required tests


       Testing server: Default-First-Site-Name\DC-SERVER1

          Starting test: Connectivity

             ......................... DC-SERVER1 passed test Connectivity



    Doing primary tests


       Testing server: Default-First-Site-Name\DC-SERVER1


          Starting test: DNS



             DNS Tests are running and not hung. Please wait a few minutes...

             ......................... DC-SERVER1 passed test DNS


       Running partition tests on : ForestDnsZones


       Running partition tests on : DomainDnsZones


       Running partition tests on : Schema


       Running partition tests on : Configuration


       Running partition tests on : vossp


       Running enterprise tests on : vossp.cze

          Starting test: DNS

             ......................... vossp.cze passed test DNS

                                        
    čtvrtek 3. března 2016 20:48
  • netlogon.dns a zona mají stejné záznamy o serveru.

    Insalace byla s českou lokalizací, doinstaloval jsem anglickou, takže názvy síťových adaptérů zůstaly v češtině.

    čtvrtek 3. března 2016 20:58
  • Takze si to shrnme:

    Evidentne mas problemy s resolvingem. Pro resolving se pouziva DNS a/nebo NetBIOS. DNS mas spatne nakonfigurovane (jediny DC, ktery je zaroven DNS, nebude nikdy dobre nakonfigurovany) a NetBIOS nemas nakonfigurovany vubec.

    Zkus tedy problem rozdelit:

    - zakaz NetBIOS na serveru i stanicich. Prestane DNS resolving pro sdileni fungovat zcela, nebo ano?. Povol NetBIOS a pridej zaznam pro dc-server1 do lmhosts. Zmeni se neco?

    - v DNS zkus FQDN (dc-server1.vossp.cze misto dc-server1). Zmeni se neco?
    - pridej do hosts zaznam pro dc-server1.vossp.cze i dc-server1. Zmeni se neco?

    Jinak jsme vubec neresili antivir, firewall a dalsi veci. Neco nestandardniho?

    MP 

    čtvrtek 3. března 2016 21:03
    Vlastník
  • Děkuji, vyzkouším zítra, zatím nemůžu přenastavovat celé DHCP na DC, takže zkusím řešit DNS a NetBIOS.

    Antivir na serveru je od Avastu Small Office. Firewall jsem prozatim vypnul. Jinak asi nic nestandardniho.

    čtvrtek 3. března 2016 21:09
  • 1. Ad "5". Pri prvnim zadani vossp.cz do IE to nenaslo www.vossp.cz. Test ukazal na chyby

    Parent Failed Parent nameservers vossp.cz Your NS records at the parent server are:
    Failed Nameservers for domain in DNS vossp.cz Your NS records at your nameservers are:

    2. Pokud budete konfigurovat DHCP, nezapomente na "options"

    https://technet.microsoft.com/en-us/library/cc958941.aspx

    3. Podle situace zavedte rezervace IP

    https://technet.microsoft.com/cs-cz/library/cc779507(v=ws.10).aspx

    4. Pokud udavate vystup z ipconfig /all, tak vypis neorezavejte, jako jste to udelal v zadani problemu. Vypiste cely vypis z ipconfig /all pro stanici a server

    M

    pátek 4. března 2016 7:08
    Vlastník