none
Долгий вход в домен при изменении членства в группах RRS feed

  • Общие обсуждения

  • Добрый день.

    Есть домен и лес Windows Server 2003. У пользователей Windows XP SP3.


    Есть удаленный сайт с одним контроллером домена. В удаленном сайте есть подсеть.

    Проблема такая.

    Есть пользователь из этой подсети, состоящий в ряде групп.

    У пользователя выполняется очень долгий вход в домен, причем после входа пользователю недоступны сетевые диски/ресурсы.

    Если пользователя удалить из некоторых/всех групп, то проблема исчезает - пользователь быстро заходит в домен и есть доступ к сети. Причем периодически проблема всплывает у разных пользователей на разных группах.

    На контроллере ошибок нет, dcdiag, netdiag отрабатывают без ошибок. У пользователя есть ошибки UserEnv 1030 и LsaSrv 40960 и 40961.

    Замечено, что проблема возникает при добавлении/удалении пользователя из какой-либо группы - то есть при изменении членства пользователя в группах. Через какое-то время (1-2 дня) проблема вроде как исчезает. Также известно, что данная подсеть находится за отдельным маршрутизатором, хотя вроде как на нем все порты открыты.

    В общем есть ощущение, что при входе в домен не удается запросить с контроллера информацию о членстве в группах и из-за этого все и не работает.

    Кто может подсказать, как лечить/диагностировать подробнее проблему?

     

    • Изменен тип Vinokurov YuriyModerator 3 сентября 2010 г. 8:12 давность и отсутствие активности в теме
    19 августа 2010 г. 12:54

Все ответы

  • В вашем удаленном сайте у этого КД есть роль глобального каталога?

    19 августа 2010 г. 12:59
    Отвечающий
  • Да, есть роль GC.
    19 августа 2010 г. 13:00
  • С клиента покажите вывод команды

    nltest /dsgetdc:ваш_домен.ru

     

    проблема только у одного пользователя?

    19 августа 2010 г. 13:02
    Отвечающий
  • К сожалению сейчас нет проблемного клиента :-). Попробую съэмулировать!
    19 августа 2010 г. 13:05
  • а если выполнить repadmin /syncall?

    похоже на проблемы репликации....раз через некоторое время начинает работать нормально....

    20 августа 2010 г. 5:47
  • Да, поведение напоминает проблемы репликации. Попробуйте также проверить канал связи.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    23 августа 2010 г. 8:46
    Модератор
  • Добрый день.

    Удалось съэмулировать! Получили проблему с одним из пользователей. Для эмуляции проблемы просто сделали учетки для новых пользователей. Причем завели сразу несколько, а проблема возникла у одного.

    Уточню - в данной удаленной подсети контроллера нет. Ближайший КД - это КД с GC в сайте данной подсети. На нем и заводили пользователя. В сетевых настройках клиента указан только один DNS-сервер - как раз этот контроллер.

    По командам:

    Вот команды на контроллере:

    [code]

    C:\>repadmin /syncall
    CALLBACK MESSAGE: SyncAll Finished.
    SyncAll terminated with no errors.

    C:\>nltest /dsgetdc:mydomain.ru
          DC: \\mydc.mydomain.ru   
          Address: \\192.168.10.5
         Dom Guid: 308343f7-2dd8-6552-8915-07753560a894
         Dom Name: mydomain.ru
      Forest Name: mydomain.ru
     Dc Site Name: mysite
    Our Site Name: mysite
            Flags: GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE
    The command completed successfully

    [/code]

    Команда на клиенте отрабатывает аналогично:

    [code]

    C:\>nltest /dsgetdc:mydomain.ru
          DC: \\mydc.mydomain.ru   
          Address: \\192.168.10.5
         Dom Guid: 308343f7-2dd8-6552-8915-07753560a894
         Dom Name: mydomain.ru
      Forest Name: mydomain.ru
     Dc Site Name: mysite
    Our Site Name: mysite
            Flags: GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE
    The command completed successfully

    [/code]

    Сам грешу на канал - но непонятно почему у каких-то пользователей все норм, а у каких-то такая фигня. Опять же, если это канал, то как убедиться, что проблема именно в этом?

     

    26 августа 2010 г. 7:46
  • Так, давайте упорядочим новую информацию.

    1) в удаленной подсети нет контроллера домена

    2) всю информацию и все политики компьютеры данной подсети получают от контроллера в сйте своей подсети, находящегося в головной организации.  

    Вопрос - удается ли воспроизвести проблему, если компьютер, данной подсети будет физически находиться рядом с контроллером? Если нет, то скорее всего что-то с каналом. Также можно поэкспериментировать со включенным сетевым монитором на предмет происходящего при логоне пользователя. Ну и конечно попробуйте утилиту iperf.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    26 августа 2010 г. 10:16
    Модератор
  • 1) Есть удаленный сайт с одним контроллером домена. В удаленном сайте есть подсеть. Подсеть также удаленная, в ней контроллера нет.

    2) Нет, не так. Всю информацию и все политики пользователи данной подсети получают от контроллера в том же сайте, но другой подсети.

    Если компьютер физически рядом, проблема не воспроизводится.

    А как можно проще всего убедиться, что это именно канал виноват?

    26 августа 2010 г. 10:22
  • В момент входа пользователя запустите сниффер, любой. Также наличие тормозов и потерь пакетов неплохо выявляется командой ping. Ну и вышейпомянутым iperf тоже можн оопределить качество канала. Конечно, самый быстрый способ - переключиться на резервный канал и посмотреть что будет, но это если резервный канал есть.

    И вот еще мелькнула странная мысль... отключите на пробу кэширование учетных записей для тестовых пользователей и погоняйте их по группам


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    26 августа 2010 г. 11:28
    Модератор
  • Сниффером и iperf не смотрел. ping до контроллера хороший, смотрели загрузку канала на оборудовании - канал загружен ~ на 40-60%. Резервного канала к сожалению нет.

    Отключить кэширование учетных записей это вот это имеется в виду - http://technet.microsoft.com/en-us/library/cc957390.aspx ?

    ( и после отключения удалить локальный профиль)

    А что это покажет? (Вы считаете, что на клиенте берется локальный кэш и клиент за своими новыми группами на контроллер не лезет, а отключение кэша заставит его это делать ?)

    26 августа 2010 г. 11:44
  • Да, есть такое предположение.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    26 августа 2010 г. 12:06
    Модератор
  • Уважаемый пользователь!

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    31 августа 2010 г. 8:45
    Модератор