none
Проблема с входом на терминальный сервер пользователей дочернего домена RRS feed

  • Вопрос

  • Доброго времени суток. Есть 2 домена. 1 корневой. 1 дочерний. В корневом домене развернут терминальный сервер. windows 2008 standart. Пользователи из дочернего домена не могут зайти на терминальный сервер с ошибкой отказано в доступе. В bultin группе терминального сервера показано, что пользователи дочернего домена имеют право ввода на терминальный сервер. В логах терминального сервера ничего нет. Исключаем проблему о невозможности доступа диска С:, т.к. там хранятся все профили пользователей. Из корневого домена пользователи успешно заходят на терминальный сервер. Время синхронизировано. Резолв идет нормальный. пинги тоже. сетевые ресурсы доступны. Репликации успешно летают. Подскажите,  в чем может быть проблема. Спасибо.

    18 июля 2012 г. 9:56

Ответы

  • Не знаю в чем была проблема, но помогла перезагрузка. Жаль, что так и не удалось диагностировать. Возможно есть у кого-нибудь какие-нибудь догадки?
    • Помечено в качестве ответа Vinokurov Yuriy 21 июля 2012 г. 8:42
    18 июля 2012 г. 12:49

Все ответы

  • Политики: У кого есть право терминального логона? Перечислите.

    Политики: У кого есть право интерактивного логона? Перечислите.

    Remote Desktop Session Host Configuration: свойства RDP-соединения, у кого есть права User/Guest Access, перечислите.


    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    18 июля 2012 г. 10:25
    Отвечающий
  • Терминальный логон: Администраторы, Пользователи удаленного рабочего стола.

    Интерактивный логон(я так полнял что это "локальный входв систему"): Администраторы, пользователи, операторы архива.

    Свойства RDP-подключения: система, local service, network service, bl1_terminal_users(ekat/bl1_terminal_users) для доступа из дочернего домена. ИНТЕРАКТИВНЫЕ

    18 июля 2012 г. 10:40
  • Думается, у пользователей дочернего домена нет членства в группах одной из требуемых политик. Например, можете добавить в Локальный вход ещё и группу Remote Desktop Users.


    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    18 июля 2012 г. 10:53
    Отвечающий
  • Пробовал, безрезульаттно. Заметил такую штуку. Если с контроллера домена родительского попытаться зайти \\имядочернего домена\netlogon Система говорит мне о том, что отказано в доступе. Если наоброт из дочернего попытаться зайти в папку netlogon, то все хорошо. Возможно в этом проблема. Но.... Есть еще один терминальный сервер, и туда пользователи дочернего домена заходят успешно.
    18 июля 2012 г. 11:02
  • Нашел различие. На проблемном терминальном сервере возникает ошибка 1058. Ошибка при обработке групповой политики и указан путь до \\имя_дочернего_домена\sysvol и т.д.\gpt.ini   На другом сервере такой ошибки нет. Ребутнут к сожалению не могу проблемный сервер.
    18 июля 2012 г. 11:11
  • ipconfig /all, ищите неправильно назначенный DNS

    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    18 июля 2012 г. 12:04
    Отвечающий
  • c DNS все ок. Может это может быть из-за того что все сетевые настройки присвоен через DHCP сервер? Назначу статику и отпишусь.

    18 июля 2012 г. 12:11
  • Не знаю в чем была проблема, но помогла перезагрузка. Жаль, что так и не удалось диагностировать. Возможно есть у кого-нибудь какие-нибудь догадки?
    • Помечено в качестве ответа Vinokurov Yuriy 21 июля 2012 г. 8:42
    18 июля 2012 г. 12:49
  • Вы не гадайте, а диагностируйте. Включите аудит успешных и неудачных попыток входа в систему на проблемном терминальном сервере. Тогда в журнал событий Безопасность будут записаны сообщения о неудачном входе, с указанием причин ошибки. Или - об удачном входе: тогда будет понятно, что надо диагностировать не вход в систему, а процесс загрузки профиля.


    Слава России!

    18 июля 2012 г. 13:11