none
Потеря доверительных отношений с контроллером домена. RRS feed

  • Общие обсуждения

  • Доброго времени суток Уважаемые коллеги. Столкнулись с поголовными проблемами в части персоналок и ноутбуков на Windows 10, хотя и не только. Буквально за один день несколько ПК потеряло доверительные отношения с доменом.

    Об инфраструктуре:

    Имеется два леса, между лесами внешнее доверие. Исходный лес, который должен быть выведен из эксплуатации основан на схеме WS 2012 R2. Целевой лес основан на схеме WS 2008 R2 и состоит из корневого домена (холдинг, находится в МСК) и двух дочерних, с одним из которого у нас внешнее доверие - один контроллер в МСК и два в СПБ. Именно в этот домен мы и переводим все пк сотрудников. Все изначально минимально настроено (доверие, DNS пересылки и суффиксы и реплики между контроллерами в сайте СПБ и один контроллер в МСК) Контроллер с тремя FSMO для нашего дочернего домена находится физически у нас. Все виртуальное. 

    Проблема, которая была замечена- при окончании срока действия пароля и при его смене, пои первой или последующей аутентификации в дочернем домене, получает ошибку что потеряно доверие с контроллером.Лечим перезаведением в домен. И бывает так , что чепрез пару недель тот же ПК опять теряет доверие...

    То есть сразу отметаем,откаты, и дублежь имен для ПК... Именно при смене политик паролей для учетной записи пользователя замечена такая штука...

    Единственное ещ ебыли случая отката на заводсткие настройки и повторный ввод в домен, но тут неизвестно что было до этого, переименовывали ли ПК или корректно его выводили из домена.

    Все бы ничего, ну данная проблема идет по нарастающей и сегодня поймали таких ПК уже 4 в день.

    Назревает вопрос: что сие может означать, где читать, куда копать, либо может кто-то уже решал такую проблему ?

    Спасибо.


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!



    • Изменено rеstless 28 февраля 2019 г. 16:13
    • Изменен тип Anton Sashev Ivanov 5 марта 2019 г. 6:16 Обсуждение
    28 февраля 2019 г. 14:56

Все ответы

  • Коллеги,  в общем перекопали все что можно- со стороны настроек DNS и всего прочего, все вроде работает штатно. Но проблема с потерей доверия с контроллером повторяется снова и снова. При чем дошло до такого, что новый свежий ноутбук ввели в домен и после первой аутентификации сразу же получаем ошибку потери доверия....

    Я так понимаю в GPO есть ряд настраиваемых политик по Kerberos и прочим настройкам защищенного канала.. Может  есть полезные настройки, может кто подскажет ?

    Все делалось до меня, поэтому нет информации, что именно делалось и где. Известно только одно, в один промежуток времени админ что-то накрутил и проблема временно исчезла.


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    21 апреля 2019 г. 19:04
  • кд виртуальные? как и откуда синкают время клиенты? если дельты времени большие или один из кд временами синкает время с железным хостом у которого кривое время, это может создавать массово проблемы такого плана как вы описали

    The opinion expressed by me is not an official position of Microsoft

    21 апреля 2019 г. 19:15
    Модератор
  • Да, DC виртуальные и все находится на на vmware vSpere 6.5. DC с fsmo PDC Emulator синхронизирует время с железкой- шлюз по умолчанию (Cisco).второй контроллер так же на том же виртуальном железе в том же сайте. На счет времени однако я забыл сказать, в логах систем ПК возникает много ошибок с тем, что NTP пытается синхронизировать время, или не может. Причем было недавно замечено, что на некоторых рабочих станциях даже были кратковременные потери сетки. Я склоняюсь к двум вещам, либо это сетка, либо и правда проблема кроется где то в хостах ESXi- на которых так же настроен NTP и берет время с DC который в исходном лесе, который в свою очередь берет время вообще с NTP внешнего. Логи завтра предоставлю, если надо..

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!



    • Изменено rеstless 21 апреля 2019 г. 22:15
    21 апреля 2019 г. 22:06
  • проверьте что в конфигах всех дк отключена синхронизация с хостом esxi

    The opinion expressed by me is not an official position of Microsoft

    22 апреля 2019 г. 3:47
    Модератор
  • 1. Кратковременная потеря сетки не может влиять на "пропажу" доверительных отношений.

    2. Если ваш админ ковырял что-то и это помогло для решения проблемы, то как минимум изучите GPO (особенно по времени изменения), т.к. политик с Kerberos очень много.

    3. На хостах ESXI отключение галки синка не сильно поможет, т.к. в целом ряде случаев ВМ всё равно синкает время с хостом ESXI. Тут решение - это синкать время на самих хостах ESXI с вашим NTP-сервером.

    Подробности здесь - 

    https://kb.vmware.com/s/article/1189


    22 апреля 2019 г. 6:20

  • Тут решение - это синкать время на самих хостах ESXI с вашим NTP-сервером.

    Подробности здесь - 

    https://kb.vmware.com/s/article/1189


    Я так и написал выше, что на всех ESXi хостах уже настроен NTP, но почему то настроен на контроллер домена в исходном лесе, который в свою очередь синхронизируется с внешним источником, тогда как все рабочие станции, которые присоединяются к домену в целевом лесе - там контроллеры синхронизируются с другим источником времени- с железкой Cisco.

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    22 апреля 2019 г. 7:05
  • Коллеги,  в общем опять началась старая проблема "потеря доверительных отношений с контроллером домена' и что интересно- при попытке смены исчерпавшего 42 дня пароля пользователя. Как только сменил, при первом входе ,на тебе...потеря доверительных отношений. На предыдущей недели такая же петрушка была, но уже с другим компом.

    Куда еще копать, уже все перепроверил на 100 рядов.......((


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • Появляется ошибка следующего вида:

    И вроде как есть рекомендации , но тут поголовно такие проблемы случаются с многими ПК. Еще грешили на те ноутбуки, которые на Wi-Fi сетке, но увы, проблемы есть и в обычной сети...

     


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    • Изменено rеstless 20 мая 2019 г. 12:15