none
Невозможно просмотреть содержимое домена - oшибка 40961 (DNS/prisoner.iana.org) RRS feed

  • Общие обсуждения

  • Добрый день.

    Есть существующий сервер на 2003, AD DS/DNS/DHCP/File-Server, 192.168/24.

    В связи с моральным и физическим устареванием поднимаю два новых на 2008 R2 Hyper-V, для тестирования создаю новую локальную сеть внутри существующей.

    Роли физических ограничиваются только гипервизорами, адресное пространство 10/8.

    Конфигурация сетевых интерфейсов следующая:

    SRV1:

    1. Физический - три сетевые карты, две проброшены в Hyper-V, Control - ip 10.0.1.1, шлюз 10.0.1.2, днс 10.0.2.2.
     2. Forefront TMA: WAN - ip 192.168.9.255, шлюз и днс - 192.168.9.1 - это существующий рабочий сервер. LAN: ip 10.0.1.2, днс 10.0.2.2.

    SRV2:
     1. Физический - две сетевые карты, одна проброшена в Hyper-V, Control - ip 10.0.2.1, шлюз 10.0.1.2, днс 10.0.2.2.
     2. КД - поднят AD DS (2008 R2), DNS, DHCP, WINS - ip 10.0.2.2, шлюз 10.0.1.2, c днс так - если указать 127.0.0.1, то у этой виртуальной машины не будет интернета (у всех остальных - будет), а если 10.0.2.2 то и эта виртуалка можеть ходить наружу.

    При этом у DNS в логах появлялись ошибки 404, 407-408 ("DNS-серверу не удалось открыть сокет для адреса 10.0.0.2"), но источник мне выявить не удалось.

    Все серверы, и физические и виртуальные, выходят в интернет, пингуется только 10.0.2.2.

    Для теста взял чистый ноутбук, установил XP SP3 (образ с MSDN), получил динамический ip, вошел в новый домен.

    Захожу в сетевое окружение, "Microsoft Windows Network" (задержка порядка полуминуты, что странно), вижу домен, но при двойном клике примерно через минуту получаю ошибку доступа.

    В логах:
    Тип события: Предупреждение
     Источник события: LSASRV
     Категория события: SPNEGO (согласователь)
     Код события: 40961
     Дата: 14.09.2012
     Время: 15:55:15
     Пользователь: Н/Д
     Компьютер: TESTWS1
     Описание:
     Системе безопасности не удалось установить безопасное подключение к серверу DNS/prisoner.iana.org. Отсутствуют доступные протоколы проверки подлинности. 

    Пробовал создавать зону обратного просмотра "10.in-addr.arpa", не помогло.

    Сейчас реконструирую ситуацию на VMWare Workstation, так DNS вообще не хочет работать (те же ошибки 404, 407-408), хотя шлюз виден и внешние адреса пингуются, какие настройки я еще не сделал?

    15 сентября 2012 г. 17:03

Все ответы

  • Если не предпринимать специальных мер, то, чтобы клиентский компьютер не имел проблем с доступом в домен, сервер(ы) DNS в свойствах подключения должен указывать только на контроллер(ы) домена с установленной ролью DNS Server. Насколько я понимаю, у Вас эти серверы раздаются через DHCP. Проверяйте его настройку, если надо - исправляйте.

    PS Чтобы сервер DNS на КД мог разрешать имена в интернете в адреса IP, необходимо либо открыть для него доступ ко всем серверам DNS в интернете, либо настроить в его свойствах пересылку запросов на сервер, который сам может разрешать имена в интернете.


    Слава России!

    15 сентября 2012 г. 17:58
  • Если не предпринимать специальных мер, то, чтобы клиентский компьютер не имел проблем с доступом в домен, сервер(ы) DNS в свойствах подключения должен указывать только на контроллер(ы) домена с установленной ролью DNS Server. Насколько я понимаю, у Вас эти серверы раздаются через DHCP. Проверяйте его настройку, если надо - исправляйте.

    С VMWare это был мой косяк - вместо виртуальной сети подсунул SRV2 доступ в интернет через NAT.

    Нет, все серверы имеют статический IP, шлюз - 1.2, AD\DNS\DHCP - 2.2.

    Как раз с доступом в интернет проблем не наблюдается - сейчас сделал виртуальную XP, DHCP не поднимал, все работает и со статическими настройками.

    Для верности, зашел в XP под администратором домена, получаю ту же ошибку, что и раньше:

    Сетевое окружение->Microsoft Windows Network->Domain->"Нет доступа к Domain. Возможно, у вас нет прав на использование этого сетевого ресурса. Недоступен список серверов для этой рабочей группы". Компьютер в домене, FQDN правильный.

    Что ему не хватает? Может, поднять AD CA? Или это как-то связано с безопасностью доменов под 2008 R2?

    15 сентября 2012 г. 18:36
  • Добрый день.

    А для 192.168.0.0 есть обратная зона?

    Resolving Event ID 40961 LSASRV - DNS/prisoner.iana.org

    http://support.microsoft.com/kb/259922/en-us

    16 сентября 2012 г. 10:51
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    28 сентября 2012 г. 11:04
  • Тема переведена в разряд обсуждений по причине отсутствия активности

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    1 октября 2012 г. 11:46