none
Netlogon ID 5722 - přístup odepřen

    Dotaz

  • Dobrý den,

     

    mám windows server 2003 a na něm provozuji active directory. Vše šlape jak má. Akorát mě ve správě událostí zaráží jedna chyba a to tahle: zde

    Počítač běží na WIN 7 Ultimate. Počítač se do domény přihlásí, vidí sdílené síťové disky - vše je bez problému. Na firmě máme více PC s WIN 7 a tuhle chybu nehlásí. Když se podívám měsíc zpětně, tak počítač tuhle chybu nehlásil. Nyní nevím tedy kde je chyba, jestli v PC nebo na serveru?

    Když chci například na tom počítači přidat účet do domény (je to blbost - ale mělo by to jít) tak dám:control userpasswords2 a přidám uživatele tak mi to hodí chybu:

    Vztah důvěryhodnosti mezi touto pracovní stanicí a primární doménou selhal. Na google jsem řešení nenašel.

     

    Nevíte prosím kde je problém?

     

     

    9. června 2010 12:09

Odpovědi

Všechny reakce

  • Ahoj,

    muze to mit dve priciny.

    Bud mas v AD zalozeny pocitac s timto SID dvakrat nebo SID pocitace a jeho objektu v AD nesedi. Resenim je: Odebrat PC z domeny na pocitaci -> odebrat PC z domeny v AD -> znovu PC do domeny zaregistrovat.

    9. června 2010 12:22
  • Nejedna se o klonovany OS (instalace z image).

    Dale: po mesici vyprsi ucet pocitace v AD, tzn. pokud si pocitac nemohl zmenit heslo ma smulu. Odeber, pridej - po mesici bude to same.

    MP

    9. června 2010 12:35
    Moderátor
  • Já mám v AD uživatele a ne počítače. Stačí jen uživatele odstranit v AD nebo musím také odebrat počítač s domény na počítači? Děkuji
    9. června 2010 12:40
  • Dobrý den,

    nejedná se o klonovaný systém. Jinak platnost účtu je v AD neomezená, takže nevím co myslíte tím bodem dále?

    9. června 2010 12:43
  • Já mám v AD uživatele a ne počítače. Stačí jen uživatele odstranit v AD nebo musím také odebrat počítač s domény na počítači? Děkuji

    Tomu nerozumim. Pocitac z domeny samozrejme neodeberes, pokud neni zaregistrovany v AD. Uzivatel name s timto problemem nic spolecneho.
    9. června 2010 13:54
  • Já mám v AD uživatele a ne počítače. Stačí jen uživatele odstranit v AD nebo musím také odebrat počítač s domény na počítači? Děkuji


    Opravdu? Nerikam ze to neni mozne ale rozhodne to neni bezne. Navic v dotaze pises "WIN 7 Ultimate. Počítač se do domény přihlásí..." - zde asi myslis UZIVATEL

    Prosim trosku si to srovnej v hlave - pokud pocitac neni (nebyl/nemysli si ze je....) v domene nedostal bys hlasku "Vztah důvěryhodnosti mezi touto pracovní stanicí a primární doménou selhal"

    Opravdu doporucuji soustredit se na (pravdepodobnou) pricinu kdy si POCITAC nemuze zmenit heslo a jeho ucet se tedy zablokuje. Myslim ze se to zde jiz resilo.

    MP

    9. června 2010 13:59
    Moderátor
  • Dobrý den,

    omlouvám se za mystifikaci, která je způsobena mou neznalostí AD. AD jsem ani nevytvářel a dříve ani nespravoval. Počítače tam doopravdy mám: zde .

    1. Ty počítače se tam přidávají samostatně? Když přijde nový zaměstnanec, já ho jen vytvořím v patřičné organizační jednotce a šlape to. Žádné počítače nepřidávám.
    2. Takže řešením je odebrat počítač z domény - smazat počítač v AD?
    3. Kde zjistím, zda-li si počítač může změnit heslo?
    10. června 2010 6:20
  • - resenim je opravdu odebrani a opetovne pridani pocitace do domeny (viz. drivejsi prispevvek)

    - Pocitace se registruji do domeny samostatne. Muze se to provadet rucne nebo i scriptem (vetsinou pri unnatendni instalaci OS). To si ale zjisti. Mel bys mit prehled o tom, co se Ti registruje do domeny. Doporucuju Ti zakazat registraci pocitacu do domeny pro users.

    - Zmenu hesla pocitace si ridi sam pocitac. Kazdych 30 dni (tato hodnota se da v AD zmenit) k ni dojde. Pokud je PC vypnute dele a potom se zapne, melo by ihned dojit ke zmene hesla a pocitac v domene dal funguje. K problemu muze dojit prave pri kolizi SID. Pomoci nejakeho LDAP browseru muzes zjistit, kdy si naposledy pocitac heslo zmenil. Je to hodnota "pwdLastSet".

    - Jestli s AD zacinas, doporucuji Ti neco nacist. Knizek je mraky. Nebo premluv zamestnavatele, at Ti zaplati skoleni.

    10. června 2010 7:47
  • Dobrý den,

    1. Proč stejnou chybu nehlásí ostatní počítače? Je to způsobené právě tou kolizí SID?
    2. Jakou knihu mi doporučujete?
    3. Jaký browser používáte? LDAPExplorerTool2 používám já, s ním se mi nějak nedaří :-(
    Děkuji
    10. června 2010 10:03
  • - zrejme to je opravdu zpusobene kolizi SID. Dalsi priciny jsou popsany napr. tady: http://www.eventid.net/display.asp?eventid=5722&eventno=105&source=NETLOGON&phase=1

    - s knihou Ti neporadim. Je toho mnoho a kazdemu vyhovuje neco jineho(od kapesnich prirucek az po velke pruvodce administratora).

    - k prohlizeni i editaci bohate dostaci AD explorer: http://technet.microsoft.com/cs-cz/sysinternals/bb963907(en-us).aspx

     

    10. června 2010 10:59
    • děkuji za skvělý program na AD
    • pátral jsem po tom pwdLastSet a má hodnotu 11.5.2010 tudíž je to ten případ, s 30 dny.
    • chci se zeptat, když odstraním PC s domény a v AD odstraním PC nebude se problém za měsíc opakovat?
    Děkuji
    11. června 2010 10:12
  • Kdyz odeberes PC z domeny a v AD jej odstranis, tak mezi nimi uz nebude zadny vztah. Problem tedy nenastane.

    Pokud je problem vyreseny, oznac nektery z prispevku jako odpoved. Pro pripadne dalsi dotazy zaloz nove vlakno.

    11. června 2010 12:59
  • Mohu ještě dotaz - když počítač odeberu z domény a v AD je odstraním, pak znovu NB ze stejným názvem a uživatelským účtem přidám do domény, nebudu muset znovu nastavovat outlook, ikonky na panel snadného spuštění atd? Děkuji
    26. července 2010 16:35
  • Doporucuji pouzit USMT k zaloze profilu nebo primo roaming profile (pak nemusis resit nic... skoro)

    MP

    26. července 2010 18:06
    Moderátor
  • Tak to je účet místní, to by snad nemusel být problém. Uvidím zítra, snad o něj nepřijdu.
    26. července 2010 19:06
  • Aha, ja myslel domenovy - s mistnim by nemel samozrejme byt problem

    MP

    • Označen jako odpověď SHIUNG 27. července 2010 12:31
    26. července 2010 19:29
    Moderátor
  • Děkuji, problém vyřešen.
    27. července 2010 12:32