none
Авторизация клиента не на том контроллере. Возможно проблема с NAP? RRS feed

  • Общие обсуждения

  • Добрый день.

    Домен Windows 2003. Несколько сайтов. В каждом сайте свой КД с GC. Клиенты - Windows XP SP3.

    Недавно возникла такая проблема - некоторые клиенты одного сайта аутентифицируются на контроллере другого сайта - соответственно долго входят в домен.

    В логах контроллеров ошибок нет. dcdiag, netdiag также ошибок не выдают. Репликация между контроллерами проходит успешно.
    На клиентах есть ошибки в журнале приложения:

    SceCli, 1202

    Выполнено распространение политики безопасности с предупреждением. 0x4b8 : Ошибка расширенного типа.

    Для диагностики этого события выполните вход с неадминистративной учетной записью и на http://support.microsoft.com выполните поиск раздела "Troubleshooting Event 1202's" ("Диагностика события 1202").


    И в журнале система много ошибок:

    DCOM, 10016

    Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Запуск для приложения сервера COM Server с CLSID

    {24FF4FDC-1D9F-4195-8C79-0DA39248FF48}

    пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18). Это разрешение можно изменить с помощью средства администрирования Component Services.

    Поискал - 24FF4FDC-1D9F-4195-8C79-0DA39248FF48 - это служба napagent "агент защиты доступа к сети".


    На клиенте она не запущена и стоит тип запуска - "Вручную". Контроллеров домена Windows Server 2008 в домене нет. Рядовые сервера Windows Server 2008 есть.

    Подскажите пожалуйста из-за чего может возникать такая проблема?


    Покупка книг не освобождает от их прочтения
    13 июля 2009 г. 7:08

Все ответы

  • Как обстоит дело с сайтами? Уверенны, что всё правильно настроенно?
    Можете описать/показать топологию?


    сила в справедливости
    13 июля 2009 г. 8:26
  • А суфикс ДНС поключения(их порядок). Попробуйте вручную прописать (или на DHCP сервере).
    Если мой ответ Вам помог, отметь его, пожалуйста.
    13 июля 2009 г. 10:58
  • Добрый день.

    TO: Kudrat Sapaev Медали пользователяМедали пользователяМедали пользователяМедали пользователяМедали пользователя

    Топология простая - есть главный сайт, в нем несколько контроллеров.
    Есть несколько других сайтов - по географическому признаку. В каждом удаленном сайте - 1 контроллер, несущий также роль сервера глобального каталога. Каждый удаленный контроллер связан с одним из контроллеров в главном сайте.
    Вот собственно и все.

    TO: Красовский Алексей

    Вы имеете в виду суффикс на клиенте? - суффикс стоит.


    Покупка книг не освобождает от их прочтения
    13 июля 2009 г. 11:06
  • как настроенны subnets и как они привязанны к сайтам можете описать? я имею ввиду subnets в Sites and Services.


    13 июля 2009 г. 11:20
  • В каждом сайте одна или несколько подсетей. 
    В главном сайте - 10.1.10.0/255.255.255.0
    В удаленном - 10.2.10.0/255.255.255.0

    ip адреса клиенты получают по DHCP, в каждом удаленном сайте свой DHCP сервер (не на базе Windows), он раздает адреса клиентам из соответствующей подсети.

    Проблема как раз в том, что клиент получает правильный адрес - из сети своего сайта, но вход в домен происходит долго и если после входа - посмотреть - то контроллер через который клиент зашел - относится не к его локальному, а к главному сайту.
    Покупка книг не освобождает от их прочтения
    13 июля 2009 г. 11:43
  • объекты Subnet привязаны к сайтам?
    MCSE, MCTS, MCITP, STS
    14 июля 2009 г. 6:41
  • Да, конечно. Причем к тем, к каким нужно.


    Покупка книг не освобождает от их прочтения
    15 июля 2009 г. 5:17
  • Кое-что из классики: http://support.microsoft.com/?id=324383
    Как вариант: reset the defaults on the security policy by removing the non-standard users from the policy
    И еще: тут
    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    13 августа 2009 г. 10:57
    Модератор
  • По поводу аутентификации клиентов одного сайта на DC другого приведу свою цитату из поста: http://social.technet.microsoft.com/Forums/ru-RU/windowsserverru/thread/486f3678-ba4a-4dd4-a7c1-8ec564090142/#525e0637-c0b6-42c4-b050-899e5ac359c4

    How to optimize the location of a domain controller or global catalog that resides outside of a client's site
    http://support.microsoft.com/kb/306602

    Ещё о покрытиях сайтов контроллерами доменов и GC написано -
    Structural Planning for Branch Office Enviroments
    Windows Server 2003 Active Directory Branch Office Guide

    Ещё цитата Amanda Wang [MSFT] :
    In the branch office scenario, computers should not locate domain controllers in any other branch office. A client should always communicate
    with a local domain controller, and if that is not available, use a domain controller in the data center site. Automated site coverage makes it
    possible for a situation to occur where a client might be able to locate a domain controller in another branch office. For this reason, automated site
    coverage should be disabled in a branch office environment. Use the Group Policy snap-in to achieve this:
    1. Disable the "Automated Site Coverage by DC Locator DNS SRV Records" Group Policy on all domain controllers, not only in the branches but also
    in the data center. You can do this by modifying the Default Domain Controllers Group Policy.
    2. Do not register generic records, as described in "Finding a Domain Controller in the Data Center" earlier in this chapter.
    If both of these configurations are performed, then all clients within a branch office site will discover the local domain controller if it is
    available or the data center domain controller if no local domain controller is available.

    цитата отсёда : http://www.tech-archive.net/Archive/Windows/microsoft.public.windows.server.networking/2005-06/msg00393.html


    MCSE, MCTS, MCITP, STS
    13 августа 2009 г. 11:14