none
Не выполняется сценарий NETLOGON при входе пользователей на сервер терминала из другого домена. RRS feed

  • Вопрос

  • Проблема такая: Имеется корневой домен COMPANY.LOCAL и два дочерних домена A.COMPANY.LOCAL и B.COMPANY.LOCAL. В домене A.COMPANY.LOCAL установлен кластер  из 2х серверов терминалов. При логине пользователей из домена B.COMPANY.LOCAL на сервера терминалов в домене A.COMPANY.LOCAL сценарий Netlogon не выполняется и соответственно сетевые диски не подключаются. При этом у пользователи из домена A.COMPANY.LOCAL Netlogon исправно выполняется.

    По решению данного вопроса было установлено следующее:

    1. Если зайти пользователем из B.COMPANY.LOCAL и выполнить в командной строке \\A.COMPANY.LOCAL\Netlogon или \\B.COMPANY.LOCAL\Netlogon, то папки открываются исправно и можно вручную запустить любой батник – вручную диски исправно подключаются, таким образом, проблем с правами нет.

    2. Что то мне подсказывает, что проблема в настройках безопасности IE8. Пробовал различные манипуляции, добавлял имена доменов в надежные узлы, разрешал запускать сценарии в GPO, но ничего не помогло.

     

    Вопрос: В чем может быть еще проблема?

    PS: OS Windows Server 2003 R2, Windows XP SP3 со всеми обновлениями.
    9 июня 2010 г. 15:29

Все ответы

  • Записей в событиях нет никаких? Групповая политика обрабатывается?
    Dmitriy Poberezhniy (my web blog http://dimsan.blogspot.com)
    9 июня 2010 г. 16:41
    Отвечающий
  • А где прописано, что сценарий должен исполняться? В какой политике и чего?
    MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    9 июня 2010 г. 19:27
    Отвечающий
  •  При логине пользователей из домена B.COMPANY.LOCAL на сервера терминалов в домене A.COMPANY.LOCAL сценарий Netlogon не выполняется и соответственно сетевые диски не подключаются.

    Похоже, у Вас для терминальных серверов запрещено применение политик из другого домена. По крайней мере такая штука включена по умолчанию для пользователей из другого леса.
    9 июня 2010 г. 19:36
  • Записей в событиях нет никаких? Групповая политика обрабатывается?
    Dmitriy Poberezhniy (my web blog http://dimsan.blogspot.com)


    Сообщений о ошибках нет никаких. Групповая политика обрабатывается.

     

    10 июня 2010 г. 6:57
  • А где прописано, что сценарий должен исполняться? В какой политике и чего?
    MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor

    Прописано в Свойствах пользователя -> Вкладка Профиль -> Логон Скрипт
    10 июня 2010 г. 6:59
  •  При логине пользователей из домена B.COMPANY.LOCAL на сервера терминалов в домене A.COMPANY.LOCAL сценарий Netlogon не выполняется и соответственно сетевые диски не подключаются.

    Похоже, у Вас для терминальных серверов запрещено применение политик из другого домена. По крайней мере такая штука включена по умолчанию для пользователей из другого леса.

    Как разрешить применение политик из другого домена?
    10 июня 2010 г. 7:00
  • Для таких целей лучше использовать политику замыкания на себя
    10 июня 2010 г. 9:46
  • Для серверов терминалов действительно выбран режим замыкания политики на себя. Но проблема не в том что не применяется политика, политика то как раз применяется. Проверено при помощи gpresult и gpmodeling.

    Проблема в том что не отрабатывает netlogon прописаный в свойствах пользователя.

    11 июня 2010 г. 12:20
  • На всякий случай - как написано имя скрипта, приведите полный синтаксис?

     

    Я вот тут нашёл решение чьё-то:

    "Fixed!! .. It was a DNS suffix search problem.

    We solved the problem by ensuring that domaina was listed under the
    "append these DNS suffixes" in the advanced TCPIP connection properties
    for all the servers in domainb."

    Искал на гугле по user account logon script another domain

    Страница http://us.generation-nt.com/answer/logon-script-not-executing-when-loggin-another-domain-forest-help-55874552.html

     


    MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor

    11 июня 2010 г. 12:32
    Отвечающий
  • На всякий случай - как написано имя скрипта, приведите полный синтаксис?

     

    Я вот тут нашёл решение чьё-то:

    "Fixed!! .. It was a DNS suffix search problem.

    We solved the problem by ensuring that domaina was listed under the
    "append these DNS suffixes" in the advanced TCPIP connection properties
    for all the servers in domainb."

    Искал на гугле по user account logon script another domain

    Страница http://us.generation-nt.com/answer/logon-script-not-executing-when-loggin-another-domain-forest-help-55874552.html

      


     MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor

    Вполне может помочь, учитывая то, что по дефолту DFS возвращает ссылку на целевую шару в формате NetBIOS (\\server\share). А при использовании с кластерами может возращать ссылку в формате NetBIOS, даже если для DFS было явно указано, что она должна возвращать ссылку в формате FQDN

    blog: http://shss.wordpress.com/
    12 июня 2010 г. 5:48
  • Как успехи?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    15 июня 2010 г. 6:28
    Модератор
  • Ситуация не изменилась. Получается, когда пользователь из домена B.COMPANY.LOCAL заходит на терминал в домене A.COMPANY.LOCAL, то поле Logon Script на вкладке Profile в свойствах пользователя просто игнорируется. При чем внутри домена B.COMPANY.LOCAL этот же скрипт выполняется. Перепробовал несколько вариантов в поле Logon Script: \\B.COMPANY.LOCAL\NETLOGON\script.cmd, \\XXX.XXX.XXX.XXX\NETLOGON\script.cmd (просто указал ip-адрес -  на какой контроллер домена идти за скриптом), script.cmd (этот вариант работает внутри домена B.COMPANY.LOCAL). Если с сервера терминалов заходить по выше указаным путям (\\B.COMPANY.LOCAL\NETLOGON\script.cmd, \\XXX.XXX.XXX.XXX\NETLOGON\script.cmd) то можно запустить script.cmd и сетевые диски подключатся. Проблема в том, что автоматически при входе script.cmd не срабатывает.

     

    17 июня 2010 г. 12:23
  • Ситуация не изменилась. Получается, когда пользователь из домена B.COMPANY.LOCAL заходит на терминал в домене A.COMPANY.LOCAL, то поле Logon Script на вкладке Profile в свойствах пользователя просто игнорируется. При чем внутри домена B.COMPANY.LOCAL этот же скрипт выполняется. Перепробовал несколько вариантов в поле Logon Script: \\B.COMPANY.LOCAL\NETLOGON\script.cmd, \\XXX.XXX.XXX.XXX\NETLOGON\script.cmd (просто указал ip-адрес -  на какой контроллер домена идти за скриптом), script.cmd (этот вариант работает внутри домена B.COMPANY.LOCAL). Если с сервера терминалов заходить по выше указаным путям (\\B.COMPANY.LOCAL\NETLOGON\script.cmd, \\XXX.XXX.XXX.XXX\NETLOGON\script.cmd) то можно запустить script.cmd и сетевые диски подключатся. Проблема в том, что автоматически при входе script.cmd не срабатывает.

     


    В поле Logon script:  попробуйте указать просто script.cmd - без указания пути
    17 июня 2010 г. 12:44
    Отвечающий
  • Ситуация не изменилась. Получается, когда пользователь из домена B.COMPANY.LOCAL заходит на терминал в домене A.COMPANY.LOCAL, то поле Logon Script на вкладке Profile в свойствах пользователя просто игнорируется. При чем внутри домена B.COMPANY.LOCAL этот же скрипт выполняется. Перепробовал несколько вариантов в поле Logon Script: \\B.COMPANY.LOCAL\NETLOGON\script.cmd, \\XXX.XXX.XXX.XXX\NETLOGON\script.cmd (просто указал ip-адрес -  на какой контроллер домена идти за скриптом), script.cmd (этот вариант работает внутри домена B.COMPANY.LOCAL). Если с сервера терминалов заходить по выше указаным путям (\\B.COMPANY.LOCAL\NETLOGON\script.cmd, \\XXX.XXX.XXX.XXX\NETLOGON\script.cmd) то можно запустить script.cmd и сетевые диски подключатся. Проблема в том, что автоматически при входе script.cmd не срабатывает.

     


    В поле Logon script:  попробуйте указать просто script.cmd - без указания пути

    Так было прописано изначально. Этот вариант работает только внутри домена.
    17 июня 2010 г. 13:26
  • Попробуйте настроить следующие политики  

    • Always wait for the network at computer startup and logon
    • Allow processing across a slow network connection

    Dmitriy Poberezhniy (my web blog http://dimsan.blogspot.com)
    17 июня 2010 г. 14:12
    Отвечающий
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    22 июня 2010 г. 5:35
    Модератор
  • Пробовал настроить политики:

    Always wait for the network at computer startup and logon
    Allow processing across a slow network connection

    Не помогло!

    24 июня 2010 г. 8:24
  • Посмотрите настройки ГП Конфигурация компьютера\Административные шаблоны\Система\Групповая политика\Включить политику пользователя различных лесов и перемещаемые профили пользователя - может она актуальна и для дочерних доменов


     


    Dmitriy Poberezhniy (my web blog http://dimsan.blogspot.com)
    29 июня 2010 г. 14:17
    Отвечающий
  • А где нужно настраивать политики? На контроллере дочернего домена или корневого, с учетом того, что я захожу, например, с дочернего домена на терминальный сервер коневого домена?
    23 марта 2012 г. 5:27