none
Пользователи в домене не могут залогиниться при перезагрузке Контроллера Домена. RRS feed

  • Вопрос

  • Добрый день!
    У нас работает Small Buisiness Server 2008, на котором установлен Контроллер домена, AD и DNS-сервер. С недавних пор обнаружилось что во время перезагрузки или выключения данного сервера - пользователи не могут логиниться в домен, а администраторы соответственно не могут логиниться на сервера под своими доменными учетками.
    dcdiag проверку проходит вроде нормально. В политиках хранение в кэше входов в домен при недоступности контроллера вроде тоже включено. Куда еще смотреть?


    • Изменено stna 13 августа 2018 г. 9:04
    13 августа 2018 г. 8:43

Ответы

  • всё может влиять. Как минимум иметь несколько сетевых карт на контроллере домена это не хорошо, могут появляться ошибки. У Вас КД ещё и роутером в интернет является? т.е. каков смысл иметь там вторую сетевую карту?

    То, что не работает сетевой доступ к серверам без КД - это абсолютно нормально, т.к. сетевой доступ не кешируется и сервера проверяют права доступа постоянно обращаясь к КД. Нет КД - нет доступа.

    А вот то, что пользователи не могут локально зайти без КД - это не нормально. Покажите ipconfig /all с клиентского копьютера.

    П.с. это один из главных минусов SBS редакции - сбоит одна служба, страдают все остальные. Вот если бы MS предложила SBS в виде набора виртуальных машин - всё было бы гораздо лучше.

    По IIS, попробуйте не перезагружать весь сервер, а только службу IIS:


    17 августа 2018 г. 8:57
    Модератор

Все ответы

  • Interactive logon: Number of previous logons to cache     ГП.  что задано?
    • Изменено Daniil Sedov 13 августа 2018 г. 9:35
    13 августа 2018 г. 9:35
  • Первым делом туда смотрел.  Сейчас стоит "Не определено", то есть по умолчанию - 10
    13 августа 2018 г. 10:01
  • Это вы где посмотрели? на конкретной машине смотрите все применяемые политики.
    13 августа 2018 г. 10:15
  • Это я смотрел на сервере который доменными групповыми политиками управляет.

    Посмотрел на паре других серверов (на которые не могу зайти пока КД перезагружается) - стоит 10 входов в систему. Но я так понимаю речь идет об учетках, поэтому достаточно было даже 1-2... но не работает.

    13 августа 2018 г. 10:24
  • пользователи не могут логиниться в домен, а администраторы соответственно не могут логиниться на сервера под своими доменными учетками. 

          Какое конкретно сообщение (можно ещё в eventviewer посмотреть) появляется при входе?
    13 августа 2018 г. 10:34
  • Учетной записи не удалось выполнить вход в систему.

    ………….

    Сведения об ошибке:
     Причина ошибки:  Неизвестное имя пользователя или неверный пароль.
     Состояние:   0xc000006d
     Подсостояние:  0xc000006a

    При этом и имя и пароль естественно верные и прекрасно работают когда КД становится доступен.


    • Изменено stna 13 августа 2018 г. 11:41
    13 августа 2018 г. 11:39
  • А по факту в реестре какое значение выставлено?

    https://support.microsoft.com/ru-ru/help/172931/cached-domain-logon-information

    13 августа 2018 г. 11:51
  • по указанной ветке реестра стоит тоже 10
    13 августа 2018 г. 12:02
  • какие еще роли держит?
    13 августа 2018 г. 13:10
  • Вы имеете ввиду какие роли на сервере с Контроллером Домена?

    DHCP
    DNS
    WSUS
    IIS
    AD

    Сегодня с утра попробовал опять посмотреть какие ошибки будут при перезагрузке сервера с КД

    на одной из машин выдал уже знакомое - "Неизвестное имя пользователя или неверный пароль"
    а на другой машине - "Указанный домен не существует или к нему невозможно подключиться"


    • Изменено stna 14 августа 2018 г. 5:55
    14 августа 2018 г. 5:54
  • Хммм… Попробовал просто от одной из машин пользователей отключить кабель ethernet и перезагрузить - запустилась под доменной учеткой нормально, только без сетевых папок естественно..

    пробую опять перезагрузить сервер с КД и в это время залогиниться на другой работающий соседний сервер в домене - ctrl+alt+del ввожу доменные имя и пароль - "Неизвестное имя пользователя или неверный пароль"

    как только сервер с КД запустился - свободно зашел.

    14 августа 2018 г. 6:16
  • Вобщем проблема остается... При перезагрузке сервера с DC, вход на все остальные серверы под доменной учеткой невозможен.
    17 августа 2018 г. 6:11
  • покажите ipconfig /all с контроллера домена и клиентов.
    17 августа 2018 г. 7:16
    Модератор
  • C контроллера домена:

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : Server01
       Основной DNS-суффикс  . . . . . . : mon-mec.local
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : mon-mec.local

    Ethernet adapter Подключение по локальной сети 2:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Broadcom BCM5709C NetXtreme II GigE (NDIS
     VBD Client) #30
       Физический адрес. . . . . . . . . : E1-1F-13-68-E1-E1
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv6-адрес. . . . . . . . . . . . : 2002:c0a8:66fa::c0a8:66fa(Основной)
       Локальный IPv6-адрес канала . . . : fe80::8052:6385:27b6:7a95%11(Основной)
       Локальный IPv6-адрес канала . . . : fe80::daec:6b1:575:257b%11(Основной)
       IPv4-адрес. . . . . . . . . . . . : 192.168.102.250(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 2002:c0a8:66fc::c0a8:66fc
                                           192.168.102.242
       IAID DHCPv6 . . . . . . . . . . . : 283385619
       DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-14-4F-3C-B4-E4-1F-13-68-E0-EC

       DNS-серверы. . . . . . . . . . . : fe80::daec:6b1:575:257b%11
                                           192.168.102.250
       NetBios через TCP/IP. . . . . . . . : Включен

    Ethernet adapter Подключение по локальной сети:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : IBM USB Remote NDIS Network Device
       Физический адрес. . . . . . . . . : E1-1F-13-5A-E1-EF
       DHCP включен. . . . . . . . . . . : Да
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 169.254.95.120(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Аренда получена. . . . . . . . . . : 17 августа 2018 г. 6:36:23
       Срок аренды истекает. . . . . . . . . . : 17 августа 2018 г. 11:06:37
       Основной шлюз. . . . . . . . . :
       DHCP-сервер. . . . . . . . . . . : 169.254.95.118
       NetBios через TCP/IP. . . . . . . . : Включен

    Туннельный адаптер Подключение по локальной сети*:

       Состояние носителя. . . . . . . . : Носитель отключен
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : isatap.{53C3AFB2-9B19-40E8-BD0A-C7CEFF5C8
    D05}
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер Подключение по локальной сети* 8:

       Состояние носителя. . . . . . . . : Носитель отключен
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : isatap.{E069D4D1-D0D4-4CA5-A007-63ED3998F
    ED9}
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер Подключение по локальной сети* 11:

       Состояние носителя. . . . . . . . : Носитель отключен
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Физический адрес. . . . . . . . . : 02-01-54-55-1E-01
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    С другого сервера на который не могу залогиниться пока Server01 перезагружается:

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : Server02
       Основной DNS-суффикс  . . . . . . : mon-mec.local
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : mon-mec.local

    Ethernet adapter Подключение по локальной сети 5:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : IBM USB Remote NDIS Network Device
       Физический адрес. . . . . . . . . : E1-1F-13-57-81-21
       DHCP включен. . . . . . . . . . . : Да
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 169.254.95.120(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Аренда получена. . . . . . . . . . : 17 августа 2018 г. 1:19:06
       Срок аренды истекает. . . . . . . . . . : 17 августа 2018 г. 11:04:14
       Основной шлюз. . . . . . . . . :
       DHCP-сервер. . . . . . . . . . . : 169.254.95.118
       NetBios через TCP/IP. . . . . . . . : Включен

    Ethernet adapter Подключение по локальной сети 4:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Broadcom BCM5709C NetXtreme II GigE (NDIS
     VBD Client) #57
       Физический адрес. . . . . . . . . : E1-1F-13-61-81-21
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.102.251(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.102.242
       DNS-серверы. . . . . . . . . . . : 192.168.102.250
       NetBios через TCP/IP. . . . . . . . : Включен

    Ethernet adapter Подключение по локальной сети 3:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Broadcom BCM5709C NetXtreme II GigE (NDIS
     VBD Client) #56
       Физический адрес. . . . . . . . . : E1-1F-13-33-63-1Е
       DHCP включен. . . . . . . . . . . : Да
       Автонастройка включена. . . . . . : Да

    Ethernet adapter Подключение по локальной сети:

       DNS-суффикс подключения . . . . . : mon-mec.local
       Описание. . . . . . . . . . . . . : Broadcom BCM5709C NetXtreme II GigE (NDIS
     VBD Client) #5
       Физический адрес. . . . . . . . . : E1-1F-13-65-81-22
       DHCP включен. . . . . . . . . . . : Да
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.102.35(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Аренда получена. . . . . . . . . . : 17 августа 2018 г. 1:19:06
       Срок аренды истекает. . . . . . . . . . : 20 августа 2018 г. 1:18:46
       Основной шлюз. . . . . . . . . : 192.168.102.242
       DHCP-сервер. . . . . . . . . . . : 192.168.102.250
       DNS-серверы. . . . . . . . . . . : 192.168.102.250
       NetBios через TCP/IP. . . . . . . . : Включен

    Туннельный адаптер isatap.{608D75A6-1C1C-430F-9F38-6A92D5EB8C84}:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер isatap.{EBCA3AC9-835D-4E7B-AB62-3034157F6D1D}:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер isatap.{D0E2A0B4-88B8-496D-B62E-A9DEC95CFBB1}:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #4
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер isatap.mon-mec.local:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . : mon-mec.local
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #5
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер Подключение по локальной сети* 11:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да



    • Изменено stna 17 августа 2018 г. 8:08
    17 августа 2018 г. 8:03
  • зачем на КД два сетевых интерфейса?
    зачем на сервере три сетевых интерфейса (да ещё и с двумя шлюзами по умолчанию, пусть они и одинаковые)?
    А так же каковы причины перезагрузок Server01?
    17 августа 2018 г. 8:19
    Модератор
  • такая настройка сетевых интерфейсов осталась по наследству от предыдущих айтишников. Я не сторонник менять настройки пока все работает. А что, это может как то влиять на невозможность использовать доменную учетку?

    сервер потребовалось как-то перезагрузить из-за неполадок с IIS (не работал внутренний сайт на шарепоинт), и тут же посыпались жалобы пользователей что не могут залогинитьс, что не работает 1С (сетевая на одном из серверов), и т.д. и т.п

    раньше такого не было.

    17 августа 2018 г. 8:38
  • всё может влиять. Как минимум иметь несколько сетевых карт на контроллере домена это не хорошо, могут появляться ошибки. У Вас КД ещё и роутером в интернет является? т.е. каков смысл иметь там вторую сетевую карту?

    То, что не работает сетевой доступ к серверам без КД - это абсолютно нормально, т.к. сетевой доступ не кешируется и сервера проверяют права доступа постоянно обращаясь к КД. Нет КД - нет доступа.

    А вот то, что пользователи не могут локально зайти без КД - это не нормально. Покажите ipconfig /all с клиентского копьютера.

    П.с. это один из главных минусов SBS редакции - сбоит одна служба, страдают все остальные. Вот если бы MS предложила SBS в виде набора виртуальных машин - всё было бы гораздо лучше.

    По IIS, попробуйте не перезагружать весь сервер, а только службу IIS:


    17 августа 2018 г. 8:57
    Модератор