none
Проблема с доступом в локальной сети под управлением SBS 2003.

    Общие обсуждения

  • Приветствую, уважаемые коллеги.

    Помогите, пожалуйста разобраться со сложившейся ситуацией.
    Локальная сеть на основе домена: порядка 20 станций под XP, Сервер под SBS 2003.
    Возникла следующая проблема: пропал сетевой доступ к станциям, доступ есть только на сервер с любой станции, при попытке входа с любой станции на другую, для просмотра расшареных ресурсов и даже при попытке сделать это с сервера с администраторскими правами, возникает следующие два типа ошибок:

    - Нет доступа к \\Computer. Возможно у вас нет прав на использование этого сетевого ресурса. Обратитесь к администратору этого сервера для получения соответствующих прав доступа. Не найден сетевой путь.

    - Нет доступа к \\Computer. Возможно у вас нет прав на использование этого сетевого ресурса. Обратитесь к администратору этого сервера для получения соответствующих прав доступа. Вход в систему не произведен: выбранный режим входа для данного пользователя не предусмотрен.

    Уже не знаю где копать.
    Всё работало, нормально. Проблема возникла не в результате сбоя или вирусной атаки.
    Никаких файрволов, типа ISA не установлено.

    Подскажите, пожалуйста, где искать причину.
    Благодарю.

    Si vis pacem, para bellum.
    • Перемещено Michael Gotch 3 декабря 2009 г. 10:56 1 (От:Windows Server 2003/2000/NT)
    • Изменен тип Nikita PanovModerator 2 августа 2010 г. 9:52 давность
    25 февраля 2009 г. 7:09

Все ответы

  • В первом случае у вас похоже проблема с разрешением имён. Проверьте с любой рабочей станции, что имена разрешаются успешно, как по полному имени (FQDN) и по короткому (NetBIOS Name). При этом проверьте с помощью nslookup (чтобы проверить, что DNS сервер работает корректно) и с помощью ping (чтобы проверить способность DNS Client разрешать короткие имена путём широковещания).

    Во втором случае убедитесь, что на каждой рабочей станции в политиках выставлен режим Classic:
    http://technet.microsoft.com/sv-se/library/cc786449.aspx
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    25 февраля 2009 г. 7:37
  • Vadims Podans написал:

    В первом случае у вас похоже проблема с разрешением имён. Проверьте с любой рабочей станции, что имена разрешаются успешно, как по полному имени (FQDN) и по короткому (NetBIOS Name). При этом проверьте с помощью nslookup (чтобы проверить, что DNS сервер работает корректно) и с помощью ping (чтобы проверить способность DNS Client разрешать короткие имена путём широковещания).

    Во втором случае убедитесь, что на каждой рабочей станции в политиках выставлен режим Classic:
    http://technet.microsoft.com/sv-se/library/cc786449.aspx


    [тут могла быть ваша реклама] http://www.sysadmins.lv


    Проверил.
    Имена разрешаются успешно.
    DNS сервер работает и определяется корректно, DNS Client имена разрешаются.

    А вот режим, на сервере не был выставлен, на станциях выставлен рандомно.
    Выставил Classic.

    Проблема не решилась и не изменилась.
    25 февраля 2009 г. 8:27
  • Ок. Начнём с простого:
    Покажите ipconfig /all с контроллера домена и любого проблемного клиента.
    Далее, на контроллере домена отредактируйте Domain Security Policy и задайте там явно модель сетевого входа - classic и примените эту политику на всех клиентах (вполнив gpupdate /force на клиенте или gpupdate /target:computer_name /force на контроллере домена, где computer_name - имя клиентского компьютера).
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    25 февраля 2009 г. 8:32
  • Vadims Podans написал:

    Ок. Начнём с простого:
    Покажите ipconfig /all с контроллера домена и любого проблемного клиента.
    Далее, на контроллере домена отредактируйте Domain Security Policy и задайте там явно модель сетевого входа - classic и примените эту политику на всех клиентах (вполнив gpupdate /force на клиенте или gpupdate /target:computer_name /force на контроллере домена, где computer_name - имя клиентского компьютера).


    [тут могла быть ваша реклама] http://www.sysadmins.lv


    Контроллер Домена:

    Microsoft Windows [Версия 5.2.3790]
    (С) Корпорация Майкрософт, 1985-2003.

    C:\Documents and Settings\Администратор>ipconfig /all

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : orbita-srv1
       Основной DNS-суффикс  . . . . . . : OrbitaPlus
       Тип узла. . . . . . . . . . . . . : неизвестный
       IP-маршрутизация включена . . . . : да
       WINS-прокси включен . . . . . . . : да
       Порядок просмотра суффиксов DNS . : OrbitaPlus

    Подключение по локальной сети 2 - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC #2
       Физический адрес. . . . . . . . . : 00-50-BA-60-B1-DA
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 10.0.0.1
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . :
       DNS-серверы . . . . . . . . . . . : 10.0.0.1

    Сетевое подключение Интернет - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast EthernetNIC
       Физический адрес. . . . . . . . . : 4C-00-10-51-48-01
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 88.204.*.*
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . : 88.204.*.*
       DNS-серверы . . . . . . . . . . . : 10.0.0.1
       Основной WINS-сервер  . . . . . . : 10.0.0.1
       NetBIOS через TCP/IP. . . . . . . : отключен

    Клиентская станция:

    Microsoft Windows XP [Версия 5.1.2600]
    (С) Корпорация Майкрософт, 1985-2001.

    C:\Documents and Settings\Artyom.Krutov>ipconfig /all

    Настройка протокола IP для Windows

            Имя компьютера  . . . . . . . . . : artyomkrutov
            Основной DNS-суффикс  . . . . . . : OrbitaPlus
            Тип узла. . . . . . . . . . . . . : гибридный
            IP-маршрутизация включена . . . . : нет
            WINS-прокси включен . . . . . . . : нет
            Порядок просмотра суффиксов DNS . : OrbitaPlus
                                                                           OrbitaPlus

    Подключение по локальной сети - Ethernet адаптер:

            DNS-суффикс этого подключения . . : OrbitaPlus
            Описание  . . . . . . . . . . . . : Intel(R) 82566DC Gigabit Network Connection
            Физический адрес. . . . . . . . . : 00-19-D1-AA-68-FA
            Dhcp включен. . . . . . . . . . . : да
            Автонастройка включена  . . . . . : да
            IP-адрес  . . . . . . . . . . . . : 10.0.0.22
            Маска подсети . . . . . . . . . . : 255.255.255.0
            Основной шлюз . . . . . . . . . . : 10.0.0.1
            DHCP-сервер . . . . . . . . . . . : 10.0.0.1
            DNS-серверы . . . . . . . . . . . : 10.0.0.1
            Основной WINS-сервер  . . . . . . : 10.0.0.1
            Аренда получена . . . . . . . . . : 25 февраля 2009 г. 10:48:02
            Аренда истекает . . . . . . . . . : 5 марта 2009 г. 10:48:02


    Модель задал, политику обновил.
    Пока также без изменений.



    Si vis pacem, para bellum.
    25 февраля 2009 г. 11:05
  • Отлично. Я вижу, что у вас домен состоит из одной метки, что не есть совсем правильно. В первую очередь решите эту проблему руководствуясь сведениями из этой статьи:
    http://support.microsoft.com/kb/300684/ru

    далее, скажите, есть ли в вашей сети клиенты с ОС до Windows 2000 (это Win9x, Windows NT4 и ниже)? Если таковых нету и клиенты от Windows 2000 и выше, то зачем вам нужна служба WINS? Она скорее всего не нужна и её нужно убрать. Так же со внешнего интерфейса контроллера домена уберите адрес DNS сервера, оставьте это поле пустым.

    Я думаю, что когда вы решите проблему с меткой из одного имени, то сеть должна нормализоваться.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    25 февраля 2009 г. 16:14
  • Vadims Podans написал:

    Отлично. Я вижу, что у вас домен состоит из одной метки, что не есть совсем правильно. В первую очередь решите эту проблему руководствуясь сведениями из этой статьи:
    http://support.microsoft.com/kb/300684/ru

    далее, скажите, есть ли в вашей сети клиенты с ОС до Windows 2000 (это Win9x, Windows NT4 и ниже)? Если таковых нету и клиенты от Windows 2000 и выше, то зачем вам нужна служба WINS? Она скорее всего не нужна и её нужно убрать. Так же со внешнего интерфейса контроллера домена уберите адрес DNS сервера, оставьте это поле пустым.

    Я думаю, что когда вы решите проблему с меткой из одного имени, то сеть должна нормализоваться.


    [тут могла быть ваша реклама] http://www.sysadmins.lv



    Служба WINS тут нужна как раз чтобы разрешать NetBIOS-имена компьютеров, раз уж Single Label Domain (имя домена из одной метки) мешает их регистрации в DNS и, следовательно, разрешению их через DNS. Правда, в данной сети - из одного сегмента - она не нужна: там отлично работает широковещательное разрешение.
    Тем не менее, для начала стоит проверить именно разрешение имен WINS - командой nbtstat -a <имя компьютера> с другого компьютера.
    Если это не работает, то следует посмотреть, а регистрируются ли эти имена на самом компьютере (nbtstat -n, нужно смотреть наличие имени с суффиксом <20>) и попробовать зарегистрировать их в WINS заново (nbtstat -RR). Это - по первому сообщению об ошибке.
    По второму сообщению - на проблемных компьютерах стоит включить аудит неудачных попыток входа в систему и посмотреть, какие сообщения появляются в журнале безопасность. Кроме того, следует посмотреть в журнале системы, нет ли сообщений об ошибках от службы Netlogon о невозможности установить связь с DC (вполне вероятная ситуация, т.к. на DC два сетевых подключения).
    PS Заниматься полноценнымрешением проблемы c Single Label Domain  в данном случае вряд ли целесообразно - достаточно, чтобы регистрировались записи DC и работало разрешение имен NetBIOS (чего в односегментной сети добиться очень легко).
    War is peace, freedom is slavery, ignorance is power
    25 февраля 2009 г. 16:39
  • M.V.V. написал:

    Служба WINS тут нужна как раз чтобы разрешать NetBIOS-имена компьютеров, раз уж Single Label Domain (имя домена из одной метки) мешает их регистрации в DNS и, следовательно, разрешению их через DNS. Правда, в данной сети - из одного сегмента - она не нужна: там отлично работает широковещательное разрешение.
    Тем не менее, для начала стоит проверить именно разрешение имен WINS - командой nbtstat -a <имя компьютера> с другого компьютера.
    Если это не работает, то следует посмотреть, а регистрируются ли эти имена на самом компьютере (nbtstat -n, нужно смотреть наличие имени с суффиксом <20>) и попробовать зарегистрировать их в WINS заново (nbtstat -RR). Это - по первому сообщению об ошибке.
    По второму сообщению - на проблемных компьютерах стоит включить аудит неудачных попыток входа в систему и посмотреть, какие сообщения появляются в журнале безопасность. Кроме того, следует посмотреть в журнале системы, нет ли сообщений об ошибках от службы Netlogon о невозможности установить связь с DC (вполне вероятная ситуация, т.к. на DC два сетевых подключения).
    PS Заниматься полноценнымрешением проблемы c Single Label Domain  в данном случае вряд ли целесообразно - достаточно, чтобы регистрировались записи DC и работало разрешение имен NetBIOS (чего в односегментной сети добиться очень легко).
    War is peace, freedom is slavery, ignorance is power

    Проверил.
    Разрешение имен WINS работает корректно, все имена присутствуют и зарегистрированы.

    В отчетах от службы Netlogon, на сервере присутствуют сделающие ошибки и предупреждения:

    ID:5781
    Ошибка при динамической регистрации или удалении одной или нескольких записей DNS, связанных с доменом DNS "OrbitaPlus.".  Эти записи используются другими компьютерами для поиска данного сервера как контроллера домена (если указан домен Active Directory) или как сервера LDAP (если указанный домен является разделом приложения).

    ID:5782
    Не удалось выполнить динамическую регистрацию или отмену регистрации одной или нескольких DNS-записей из-за следующей ошибки: 
    Для локальной системы не настроено ни одного DNS-сервера.

    ID:5774
    Ошибка при динамической регистрации записи DNS "_ldap._tcp.OrbitaPlus. 600 IN SRV 0 100 389 orbita-srv1.OrbitaPlus." на следующем DNS-сервере.  
    IP-адрес DNS-сервера: <UNAVAILABLE> 
    Возвращенный код ответа (RCODE): 0 
    Возвращенный код состояния: 0 

    ID:5775


    Vadims Podans написал:

    Отлично. Я вижу, что у вас домен состоит из одной метки, что не есть совсем правильно. В первую очередь решите эту проблему руководствуясь сведениями из этой статьи:
    http://support.microsoft.com/kb/300684/ru

    далее, скажите, есть ли в вашей сети клиенты с ОС до Windows 2000 (это Win9x, Windows NT4 и ниже)? Если таковых нету и клиенты от Windows 2000 и выше, то зачем вам нужна служба WINS? Она скорее всего не нужна и её нужно убрать. Так же со внешнего интерфейса контроллера домена уберите адрес DNS сервера, оставьте это поле пустым.

    Я думаю, что когда вы решите проблему с меткой из одного имени, то сеть должна нормализоваться.


    [тут могла быть ваша реклама] http://www.sysadmins.lv


    Проблему решил согласно сведениям статьи.
    Ошибка регистрации протокола динамического обновления DNS, более не появляется.

    Адрес DNS сервера с внешнего интерфейса убран.

    Машин под управлением ОС до Win2000, нет. Только SBS2003 и WINXP Pro.

    Проблема не разрешилась, единственное, теперь с явным приимуществом появляется только 2 ошибка (Вход в систему не произведен: выбранный режим входа для данного пользователя не предусмотрен.)

    Может быть, причиной данной проблемы не корректно работающий или настроенный DNS-сервер ?


    Si vis pacem, para bellum.
    26 февраля 2009 г. 8:01
  • Нет, тут DNS и разрешение имён уже не связаны, поскольку это сообщение говорит о том, что имена разрешаются. Учётная запись гостя на клиентах включена? Если включена, то её необходимо отключить. Далее, следует убедиться, что в локальной группе Users есть группа Domain Users. Ну и, как уже отмечалось раньше - модель сетевого доступа должна быть классической.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    26 февраля 2009 г. 9:05
  • Vadims Podans написал:

    Нет, тут DNS и разрешение имён уже не связаны, поскольку это сообщение говорит о том, что имена разрешаются. Учётная запись гостя на клиентах включена? Если включена, то её необходимо отключить. Далее, следует убедиться, что в локальной группе Users есть группа Domain Users. Ну и, как уже отмечалось раньше - модель сетевого доступа должна быть классической.


    [тут могла быть ваша реклама] http://www.sysadmins.lv


    Учётная запись гостя отключена.
    В локальной группе Users присутствует группа DomainUsers.
    Модель выставлена "Обычная" - локальные пользователи проверяется по их учетным данным.


    Si vis pacem, para bellum.
    26 февраля 2009 г. 10:11
  • M.V.V. написал:


    на проблемных компьютерах стоит включить аудит неудачных попыток входа в систему и посмотреть, какие сообщения появляются в журнале безопасность. Кроме того, следует посмотреть в журнале системы, нет ли сообщений об ошибках от службы Netlogon о невозможности установить связь с DC (вполне вероятная ситуация, т.к. на DC два сетевых подключения).

     




    Слава России!
    26 февраля 2009 г. 12:08