none
Терминальный доступ RRS feed

  • Вопрос

  • Есть два сервера один контролер домена второй прокси. на обоих стоит Терминальный сервер. Сервер лицензий установлен на контролере.
    При попытке входа доменным пользователем через терминал на прокси вылетает ошибка
    the system cannot log you on due to the following error:
    The specified domain either does not exist or could not be contacted.
    Please try again or consult your system administrator
    Пользователь прописан в групах remote desktop user. 
    При входе через локальную учетку проблем невозникает.
    ipconfig Dc
    Dc:
    Ethernet adapter 172.31.64.3:

    Connection-specific DNS Suffix . :
    Description . . . . . . . . . . . : Intel(R) PRO/1000 EB Networ
    ith I/O Acceleration #2
    Physical Address. . . . . . . . . :
    DHCP Enabled. . . . . . . . . . . : No
    IP Address. . . . . . . . . . . . : 172.31.64.3
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    Default Gateway . . . . . . . . . : 172.31.64.100
    DNS Servers . . . . . . . . . . . : 172.31.64.100

    Ethernet adapter 172.31.64.1:

    Connection-specific DNS Suffix . :
    Description . . . . . . . . . . . : Intel(R) PRO/1000 EB Networ
    ith I/O Acceleration
    Physical Address. . . . . . . . . :
    DHCP Enabled. . . . . . . . . . . : No
    IP Address. . . . . . . . . . . . : 172.31.64.1
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    Default Gateway . . . . . . . . . : 172.31.64.100
    DNS Servers . . . . . . . . . . . : 172.31.64.100

    ipconfig прокси
    Description . . . . . . . . . . . : NVIDIA nForce
    Physical Address. . . . . . . . . :
    DHCP Enabled. . . . . . . . . . . : No
    IP Address. . . . . . . . . . . . : 172.31.64.100
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    Default Gateway . . . . . . . . . :
    DNS Servers . . . . . . . . . . . : 172.31.64.3


    Ethernet adapter 2:

    Connection-specific DNS Suffix . :
    Description . . . . . . . . . . . : D-Link DFE-53
    r (rev.C)
    Physical Address. . . . . . . . . :
    DHCP Enabled. . . . . . . . . . . : No
    IP Address. . . . . . . . . . . . : 192.168.1.123
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    Default Gateway . . . . . . . . . : 192.168.1.1
    DNS Servers . . . . . . . . . . . : 195.34.224.1
    195.34.224.2

Ответы

  • права доступа на sysvol какие?
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    • Помечено в качестве ответа csistra 14 мая 2009 г. 19:53
    Модератор

Все ответы

  • ID и source ошибки в студию....
    Другие ошибки на ДК есть?
    Абсолютно нормальный парень...
  • ID 1219
    Source Winlogon
    Description

    Logon rejected for domen\Administrator. Unable to obtain Terminal Server User Configuration. Error: Access is denied.

  • http://eventid.net/display.asp?eventid=1219&eventno=2848&source=Winlogon&phase=1
    Абсолютно нормальный парень...
    • Предложено в качестве ответа Aleksey Potapov 8 мая 2009 г. 11:28
    • Отменено предложение в качестве ответа csistra 8 мая 2009 г. 13:04
  • ну незнаю перелопатил все что там было описано ничего непомогло( сейчас откатил термминальный сервер на этой машине поковырялся везде где только мог, осталось последне это груповые политики. явно запрещаюищие проверил там все пусто значит где то нестоит разрешаюшая политика тупой вопрос возникает в голове ГДЕ ???
  • Csistra, у Вас ведь на контроллере домена два адаптера сетевых, так. Чем это обусловлено? Настоятельно не рекомендуется использовать более одного сетевого адаптера на контроллере домена, иначе возможны, среди многих прочих, и те неполадки, с которыми Вы столкнулись. Попробуйте отключить один из сетевых адаптеров на контроллере домена.

    P.S. DNS-сервер на "прокси"!? Хм... :|
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • Настоятельно не рекомендуется использовать более одного сетевого адаптера на контроллере домена, иначе возможны, среди многих прочих, и те неполадки, с которыми Вы столкнулись.

    Уважаемый Dmitry Ponomarev! Я не верю в это. Тем более про "настоятельно". Подумайте про SBS, который в 90% сценариев выполняет роль контроллера домена и шлюза в интернет. Вы немного не туда смотрите. А посмотреть стоило бы на другое:
    1) на контроллере домена оба сетевых адаптера смотрят в одну сеть. Как так?
    2) на контроллере домена DNS смотрит в космос (на прокси), но не на себя. Как так?
    3) а прокси, в свою очередь смотрит на контроллер, из-за чего начинается DNS-футбол. Как так?
    4) а держит ли прокси роль DNS сервера и хранит ли чью-то зону?

    пусть топикстартер ответит на эти 4 вопроса. Ошибка у него именно из-за пункта 2, 3 и 4.

    update:
    из другого топика нашёл немного полезной информации. Итого, как выяснилось, прокси держит на себе роль DNS сервера. Если прокси - Windows Server, то конфигурацию IP на DC и прокси необходимо привести до такого состояния:

    ####################################################
    DC:
    IP Address. . . . . . . . . . . . : 172.31.64.3
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    Default Gateway . . . . . . . . . : 172.31.64.100
    DNS Servers . . . . . . . . . . . : 172.31.64.100
    DNS Servers . . . . . . . . . . . : 127.0.0.1

    второй адаптер, который смотрит в ту же сеть отключить. Балансировка нагрузки на сетевые интерфейсы делается немножко не так, как вы сделали.
    ####################################################

    прокси:
    IP Address. . . . . . . . . . . . : 172.31.64.100
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    Default Gateway . . . . . . . . . :
    DNS Servers . . . . . . . . . . . : 127.0.0.1


    Ethernet adapter 2:

    IP Address. . . . . . . . . . . . : 192.168.1.123
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    Default Gateway . . . . . . . . . : 192.168.1.1

    на втором интерфейсе все DNS'ы убрать из настроек.
    ####################################################

    При этом на обоих DNS серверах (т.е. на DC и на прокси) вы должны прописать внешние DNS'ы в закладке Forwarders. Внешние DNS'ы это:
    195.34.224.1
    195.34.224.2

    плюс, на прокси убедитесь, что он слушает DNS запросы только на интерфейсе 172.31.64.100 и что прокси действительно держит доменную DNS зону.

    [тут могла быть ваша реклама] http://www.sysadmins.lv
  • Csistra, у Вас ведь на контроллере домена два адаптера сетевых, так. Чем это обусловлено? Настоятельно не рекомендуется использовать более одного сетевого адаптера на контроллере домена, иначе возможны, среди многих прочих, и те неполадки, с которыми Вы столкнулись. Попробуйте отключить один из сетевых адаптеров на контроллере домена.

    P.S. DNS-сервер на "прокси"!? Хм... :|
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)

    Два сетевых адаптера на контролере домена обусловлено необходимостью ибо один несправляется с объемом который через него идет.
    Да ДНС на прокси и что такого ? он нужен не для самой isa server а для других задач.

    Vadims Podans. Днс перенаправил из за возникших проблем описаную здесь :
    http://social.technet.microsoft.com/Forums/ru-RU/windowsserverru/thread/f3abab18-555c-4d11-9f6d-299a767016e3
    Отвечаю на вопросы:
    1- Смотрят в одну сеть ибо висят довольно емкие базы которые при работе в 1 адаптер просто убивают его и сервер увеличивает время запроса по остальным своим функциям поэтому вынес базы на 1 адаптер прописав руками в базах обращение по ip а остальные функции как DNS DHCP и прочее на другой. Да я понимаю что это несовсем правильно, но пока времени чтобы разобратся и поднять network load balancer нет.
    2-3- ответ в линке выше. Была проблема с обратной зоной просмотра по советам в теме поменял сама проблемма устранилась. а Проблема с терминальным доступом как была та и осталась.
    4-Прокси держит роль ДНС и хранит копию зоны контролера домена
    Поправил все что вы посоветовали.
    Но проблема неисправилась :(
  • > чтобы разобратся и поднять network load balancer нет.
    вам нужен не NLB, а Teaming.


    > Была проблема с обратной зоной просмотра
    а она вообще есть?

    > Поправил все что вы посоветовали.
    давайте вы теперь покажете текущий ipconfig с контроллера и прокси, чтобы убедиться, что мы с вами друг друга понимаем.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
  • Зона обратного просмотра есть.
    ipconfig
    с контролера 
    Ethernet adapter 172.31.64.3:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Intel(R) PRO/1000
    ith I/O Acceleration #2
       Physical Address. . . . . . . . . : 00-15-17-18-64-39
       DHCP Enabled. . . . . . . . . . . : No
       IP Address. . . . . . . . . . . . : 172.31.64.3
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . : 172.31.64.100
       DNS Servers . . . . . . . . . . . : 172.31.64.100
                                           127.0.0.1
    с прокси 

     Ethernet adapter internal:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : NVIDIA nForce Netwo
       Physical Address. . . . . . . . . : 00-0F-EA-52-6F-95
       DHCP Enabled. . . . . . . . . . . : No
       IP Address. . . . . . . . . . . . : 172.31.64.100
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . :
       DNS Servers . . . . . . . . . . . : 127.0.0.1

    Ethernet adapter external:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : D-Link DFE-530TX PC
    r (rev.C)
       Physical Address. . . . . . . . . : 00-05-5D-C8-AF-9E
       DHCP Enabled. . . . . . . . . . . : No
       IP Address. . . . . . . . . . . . : 192.168.1.123
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . : 192.168.1.1

  • покажите с контроллера домена и прокси вывод команды: nslookup servername
    где servername - имя контроллера и прокси. т.е. должно быть 4 вывода.


    [тут могла быть ваша реклама] http://www.sysadmins.lv
  • nslookup с прокси
    контролер
    nslookup server-64-01
    Server:  localhost
    Address:  127.0.0.1

    Name:    server-64-01.lm64
    Address:  172.31.64.3
    прокся
    nslookup server-64-02
    Server:  localhost
    Address:  127.0.0.1

    Name:    server-64-02.lm64
    Address:  172.31.64.100

    nslookup с контролера
    nslookup server-64-01
    Server:  server-64-02.lm64
    Address:  172.31.64.100

    Name:    server-64-01.lm64
    Address:  172.31.64.3


    nslookup server-64-02
    Server:  server-64-02.lm64
    Address:  172.31.64.100

    Name:    server-64-02.lm64
    Address:  172.31.64.100 

  • на вид DNS работает. Но я вижу, что у вас домен состоит из одной метки:
    http://support.microsoft.com/kb/300684/ru

    и попробуйте отключить одну сетевую карту с контроллера домена и перезапустите службу netlogon на нём.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
  • Домен состоит более чем из одной метки просто я удаляю. остальные....
    вторую сетевую на контролере отключил.
  • разве я просил что-то удалять? Если я прошу показать полный вывод nslookup, то так и надо делать. Я ж не могу телепатировать в вашу сеть.


    [тут могла быть ваша реклама] http://www.sysadmins.lv
  • с прокси
    C:\Documents and Settings\Administrator>nslookup server-64-01
    Server:  localhost
    Address:  127.0.0.1

    Name:    server-64-01.lm64.tk-cherkizovsky.cherkizovsky.net.lm64
    Address:  172.31.64.3


    C:\Documents and Settings\Administrator>nslookup server-64-02
    Server:  localhost
    Address:  127.0.0.1

    Name:    server-64-02.lm64.tk-cherkizovsky.cherkizovsky.net.lm64
    Address:  172.31.64.100
     с контролера
    C:\Documents and Settings\Administrator.SERVER-64-01>nslookup server-64-01
    Server:  server-64-02.lm64.tk-cherkizovsky.cherkizovsky.net.lm64
    Address:  172.31.64.100

    Name:    server-64-01.lm64.tk-cherkizovsky.cherkizovsky.net.lm64
    Address:  172.31.64.3


    C:\Documents and Settings\Administrator.SERVER-64-01>nslookup server-64-02
    Server:  server-64-02.lm64.tk-cherkizovsky.cherkizovsky.net.lm64
    Address:  172.31.64.100

    Name:    server-64-02.lm64.tk-cherkizovsky.cherkizovsky.net.lm64
    Address:  172.31.64.100

  • теперь хорошо, вижу, что DNS внешне в порядке. Если отключить сетевую карту, то ошибка появляется всё равно?
    [тут могла быть ваша реклама] http://www.sysadmins.lv
  • Да.
    мне кажется что неверно настроеные Днс тут играют конечно роли, но проблемма как мне кажется в  политиках безопасности. Ибо ошибка:
    The system cannot log you on due to the following error: Access is denied.
  • где появляется эта ошибка? Можете привести полный текст ошибки?


    [тут могла быть ваша реклама] http://www.sysadmins.lv
  • Запускаю remote desktope connection
    подключаюсь к server-64-02 (прокся)
    ввожу в имени пользователя Administrator его пароль
    выбираю мой домен после чего нажимаю подключить. Идет 2-3 минутное ожидание потом вылазиет ошибка :
    The system cannot log you on due to the following error: Access is denied
    нажимаю Ок ссесия закрывается в Event Viewer появляется сообщение об ошибке
    Event Id 1219
    Source Winlogon

  • если зайти интерактивно на проксю и затерминалиться на себя - какой эффект будет?
    и ещё посмотрите это: http://support.microsoft.com/kb/815266

    [тут могла быть ваша реклама] http://www.sysadmins.lv
  • 1- такой же еффект
    2- посмотрел попробовал ошибка непоявляется собсно потому что отключаем через реестр, но и заходить незаходит долго висит потом появляется окно что ссесия заблокирована этим юзером для разблокировки введите пас, пас ввожу и опять висит и залогинивается, на это все минут 15 в общей сложности уходит
  • Начала появлятся ошибка Userenv 1053 ошибка Winlogon 1219 так же остается
    и добавилась LSASRV 40960
    Также по каким то причинам когда логиню доменного админа напрямую с машины и вылогиниваю, профиль на компе неостается хотя должен....

    • Изменено csistra 12 мая 2009 г. 10:54
  • полный текст ошибки 1053 приведите.

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Модератор
  • Sourche Userenv
    Event ID 1053
    Windows cannot determine the user or computer name. (The specified domain either does not exist or could not be contacted. ). Group Policy processing aborted.

    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

    • Изменено csistra 12 мая 2009 г. 17:39
  • вот тут обсуждалась ошибка 1053 в вашем варианте.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Модератор
  • непомогло. Сейчас сделал следующее: проксю увел на другую машину на этой переставил винду оставил 1 сетевуху Днс неподнимал, ввел в домен и сразу тот же результат, и те же ошибки в event viewer
  • Права на sysvol для подключений через терминал есть? Вот эту статью посмотрите - описана схожая проблема.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Модератор
  • почитал попробовал результат неизменен
    event ID 1219
    Source Winlogon
    Logon rejected for LM64\s_user. Unable to obtain Terminal Server User Configuration. Error: Access is denied.

    и туда же
    Source LSASRV
    Event Id 40960

    The Security System detected an authentication error for the server LDAP/server-64-01.lm64.tk-cherkizovsky.cherkizovsky.net.lm64/lm64.tk-cherkizovsky.cherkizovsky.net.lm64. The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request.

    (0xc000005e)".

  • Вобщем "Все болит ничего непомогает" (

  • права доступа на sysvol какие?
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    • Помечено в качестве ответа csistra 14 мая 2009 г. 19:53
    Модератор
  • права доступа на sysvol какие?
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт

    Вы были правы по каким то причинам слетели настройки доступа к sysvol причем очень странновато я бы сказал, сейчас все поправил и наконец-то нормально заработало. Спасибо Всем кто принимал участие в решении данной траблы