none
Помогите с контроллером домена(аторизация в домене) RRS feed

  • Вопрос

  • Добрый день!
    Обращаюсь к гурам по windows server-ам,помогите пожалуйста разобраться, как можно решить проблему.
    Отнеситесь с пониманием очень прошу,я только начинаю разбираться и мне нужно помощь специалиста, я очень хочу разобраться.
        Для начало опишу как все было.По наследству досталось два контроллера назовем их,Server1-главный контроллер Win2003+он был еще файловым сервером и Server2-schema Win2003.В один прекрасный, солнечный день на Server1-е произошла проблема с железом,и понятное дело Server1 упал и больше не втал.
      На Server2 я сделал принудетельный захват ролей FSMO, теперь Server2 стал главным контроллером домена.А теперь самое интересное начинается,если раньше когда работал Server1, пользователи домена подключались к доменным шарам вводя только <логин\пароль>,то сейчас им приходится вводить <домен\логин\пароль>.
    Как сделать так что бы при подключениях к доменным шарам не надо было добавлять доменное имя?



    27 июня 2008 г. 8:44

Ответы

  • Авторизация пользователей(вод в домен) на рабочих станциях проходит без ошибок? Они видят этот контроллер(т.е. он у них указан в качестве DNS)?

    Вообще странно даже то,что при подключении к первому серверу приходилось вбивать логин\пароль. Это говорит о том, что либо рабочие станции не приндлежат домену, либо вход на них осуществляется не под доменныи аккаунтми, либо некорректно настроены разрешения на шары

    27 июня 2008 г. 8:49

Все ответы

  • Авторизация пользователей(вод в домен) на рабочих станциях проходит без ошибок? Они видят этот контроллер(т.е. он у них указан в качестве DNS)?

    Вообще странно даже то,что при подключении к первому серверу приходилось вбивать логин\пароль. Это говорит о том, что либо рабочие станции не приндлежат домену, либо вход на них осуществляется не под доменныи аккаунтми, либо некорректно настроены разрешения на шары

    27 июня 2008 г. 8:49
  • В качестве ДНС стоит сервер Server2, он  же DHCP.
    Права на шары раздаются через Server2. В домене эти ПК есть,учетные записи пользователей тоже.Сейчас к доменным шарам через <домен\логин\пароль> для доменных пользователей и тоже самое <домен\логин\пароль> для пользователей которые не в домене(ноуты).
    27 июня 2008 г. 12:25
  • С ноутбуками, которые не в домене, всё ясно.

    А для компьютеров в домене это не нормальная ситуация. Правильно ли я понимаю, что после того, как пользователь зашёл на компьютер (который в домене) под верным логином (который тоже заведён в домене) и пытается достучаться на шару сервера (который принадлежит домену, да ещё и DC)  на которую выставлены корректные права доступа (на основании доменных групп/учетных записей) как на Share так и на NTFS, то ему приходится заново вводить домен\логин\пароль для доступа? На доступ к Sysvol на контроллере тоже требуется ввод учетных данных?

    Если это так, то скорее всего в логах на сервере и на клиенте должны быть ошибки, связанные с невозможностью применения групповых политик и некорректной работой Kerberos. В журналах событий на клиенте и на сервере есть что-нибудь?

    Либо у вас первый и второй сервер являются контроллерами разных доменов Smile

    27 июня 2008 г. 12:40
  • А вот что в логах когда когда вводишь прости <пароль\логин>

    Аудит отказов id:529
    Попытка входа выполнена: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Учетная запись входа: sasha
    Исходная рабочая станция: PAO0PROHOROVA
    Код ошибки: 0xC0000064



    Аудит отказов id:680
    Сбой входа в систему:
    Причина: неизвестное имя пользователя или неверный пароль
    Пользователь: sasha
    Домен: PC167
    Тип входа: 3
    Процесс входа: NtLmSsp
    Пакет проверки: NTLM
    Рабочая станция: PC167
    Имя вызывающего пользователя: -
    Домен вызывающего: -
    Код входа вызывающего: -
    Код процесса вызывающего: -
    Промежуточные службы: -
    Адрес сети источника: 192.168.0.167
    Порт источника: 0

    Меня вот только смущает почему в поле домен стоит PC167, а не имя домена.Хотя учетная запись sasha есть, и PC167 зарегистрирован тоже домене.По какой то причене проверка авторизации происходит сначала локально,если я правильно понял.
    27 июня 2008 г. 12:49
  • Попрбуйте обновить систему на клиенте и на сервере: http://support.microsoft.com/kb/811082

     

    27 июня 2008 г. 12:54
  • Сейчас голую win-s, включил в домен, вошел под учетной записью ,которая есть в домене.
    В логах есть парачка ошибок:

    Источник:AutoEnrollment
    Тип:Ощибка ID:15
    Пользователь:Н/Д
    КомпьютерStick out tongueC222
    Автоматическая подача заявки на сертификат Локальная система:
    не удалось связаться с каталогом Active Directory (0x8007054b).
    Указанный домен не существует или к нему невозможно подключиться.
    Подача заявки выполнена не будет.

    Источник:Userenv
    Тип:Ощибка ID:1054
    Пользователь:NT AUTHORITY\SYSTEM
    КомпьютерStick out tongueC222
    Не удалось получить имя контроллера домена в этой сети.
    (Указанный домен не существует или к нему невозможно подключиться. ).
    Обработка групповой политики прекращена.

    27 июня 2008 г. 13:10
  • nslookup ИмяДомена корректно разрешается в IP контроллера?

    27 июня 2008 г. 13:47
  • Да, как на клиенских так и на стороне сервера
    27 июня 2008 г. 14:06
  • У меня DC осталось старое имя сервера (Server1), я ни как нимагу его удалить.
    Хотя в ДНС я вроде везде удалил где упоменалось старое имя сервера,и в логах про неудачную репликацию нету.
    Даже на всякий случий выполнил http://support.microsoft.com/kb/216498/ru.

    27 июня 2008 г. 14:24
  • После "очистки" AD контроллер перезагрузили?Результаты выполнения dcdiag и netdiag в норме?

    27 июня 2008 г. 14:38
  • В роде все нормально,
    Выкладываю результаты выполнения к-д dcdiag:
    #####################################################################################
    Domain Controller Diagnosis
    Performing initial setup:
    Done gathering initial info.
    Doing initial required tests
    Testing server: Default-First-Site-Name\FOX
    Starting test: Connectivity
    ......................... FOX passed test Connectivity
    Doing primary tests
    Testing server: Default-First-Site-Name\FOX
    Starting test: Replications
    ......................... FOX passed test Replications
    Starting test: NCSecDesc
    ......................... FOX passed test NCSecDesc
    Starting test: NetLogons
    ......................... FOX passed test NetLogons
    Starting test: Advertising
    ......................... FOX passed test Advertising
    Starting test: KnowsOfRoleHolders
    ......................... FOX passed test KnowsOfRoleHolders
    Starting test: RidManager
    ......................... FOX passed test RidManager
    Starting test: MachineAccount
    ......................... FOX passed test MachineAccount
    Starting test: Services
    ......................... FOX passed test Services
    Starting test: ObjectsReplicated
    ......................... FOX passed test ObjectsReplicated
    Starting test: frssysvol
    ......................... FOX passed test frssysvol
    Starting test: frsevent
    ......................... FOX passed test frsevent
    Starting test: kccevent
    ......................... FOX passed test kccevent
    Starting test: systemlog
    ......................... FOX passed test systemlog
    Starting test: VerifyReferences
    ......................... FOX passed test VerifyReferences
    Running partition tests on : DomainDnsZones
    Starting test: CrossRefValidation
    ......................... DomainDnsZones passed test CrossRefValidation
    Starting test: CheckSDRefDom
    ......................... DomainDnsZones passed test CheckSDRefDom
    Running partition tests on : ForestDnsZones
    Starting test: CrossRefValidation
    ......................... ForestDnsZones passed test CrossRefValidation
    Starting test: CheckSDRefDom
    ......................... ForestDnsZones passed test CheckSDRefDom
    Running partition tests on : Schema
    Starting test: CrossRefValidation
    ......................... Schema passed test CrossRefValidation
    Starting test: CheckSDRefDom
    ......................... Schema passed test CheckSDRefDom
    Running partition tests on : Configuration
    Starting test: CrossRefValidation
    ......................... Configuration passed test CrossRefValidation
    Starting test: CheckSDRefDom
    ......................... Configuration passed test CheckSDRefDom
    Running partition tests on : confi
    Starting test: CrossRefValidation
    ......................... confi passed test CrossRefValidation
    Starting test: CheckSDRefDom
    ......................... confi passed test CheckSDRefDom
    Running enterprise tests on : confi.ru
    Starting test: Intersite
    ......................... confi.ru passed test Intersite
    Starting test: FsmoCheck
    ......................... confi.ru passed test FsmoCheck
    #####################################################################################

    Результат выполнения netdiag:
    .......................................
    Computer Name: FOX
    DNS Host Name: fox.confi.ru
    System info : Microsoft Windows Server 2003 (Build 3790)
    Processor : x86 Family 6 Model 7 Stepping 3, GenuineIntel
    List of installed hotfixes :
    KB911564
    KB925398_WMP64
    KB925902
    KB927891
    KB929123
    KB930178
    KB931768
    KB931784
    KB932168
    KB933566
    KB935839
    KB935840
    KB935966
    Q147222
    Netcard queries test . . . . . . . : Passed

    Per interface results:
    Adapter : Local Area Connection
    Netcard queries test . . . : Passed
    Host Name. . . . . . . . . : fox
    IP Address . . . . . . . . : 192.168.0.23
    Subnet Mask. . . . . . . . : 255.255.255.0
    Default Gateway. . . . . . : 192.168.0.101
    Primary WINS Server. . . . : 192.168.0.23
    Dns Servers. . . . . . . . : 192.168.0.23
    213.170.64.33
    AutoConfiguration results. . . . . . : Passed
    Default gateway test . . . : Passed
    NetBT name test. . . . . . : Passed
    [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.
    WINS service test. . . . . : Passed
    Global results:

    Domain membership test . . . . . . : Passed
    NetBT transports test. . . . . . . : Passed
    List of NetBt transports currently configured:
    NetBT_Tcpip_{D0188C1A-415C-444A-B240-3E990927CDF9}
    1 NetBt transport currently configured.

    Autonet address test . . . . . . . : Passed
    IP loopback ping test. . . . . . . : Passed
    Default gateway test . . . . . . . : Passed
    NetBT name test. . . . . . . . . . : Passed
    [WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.
    Winsock test . . . . . . . . . . . : Passed
    DNS test . . . . . . . . . . . . . : Passed
    PASS - All the DNS entries for DC are registered on DNS server '192.168.0.23' and other DCs also have some of the names registered.
    [WARNING] The DNS entries for this DC are not registered correctly on DNS server '213.170.64.33'. Please wait for 30 minutes for DNS server replication.

    Redir and Browser test . . . . . . : Passed
    List of NetBt transports currently bound to the Redir
    NetBT_Tcpip_{D0188C1A-415C-444A-B240-3E990927CDF9}
    The redir is bound to 1 NetBt transport.

    List of NetBt transports currently bound to the browser
    NetBT_Tcpip_{D0188C1A-415C-444A-B240-3E990927CDF9}
    The browser is bound to 1 NetBt transport.

    DC discovery test. . . . . . . . . : Passed
    DC list test . . . . . . . . . . . : Passed
    Trust relationship test. . . . . . : Skipped
    Kerberos test. . . . . . . . . . . : Passed
    LDAP test. . . . . . . . . . . . . : Passed
    Bindings test. . . . . . . . . . . : Passed
    WAN configuration test . . . . . . : Skipped
    No active remote access connections.
    Modem diagnostics test . . . . . . : Passed
    IP Security test . . . . . . . . . : Skipped
    Note: run "netsh ipsec dynamic show /?" for more detailed information
    The command completed successfully
    #####################################################################################

    Я так понял авторизация проходит сначала локально,а потом где ему скажут .
    Смотрел в груп.политиках ничего не нашел.Может проблема в модели авторизации,а где посмотреть незнаю.
    30 июня 2008 г. 6:08
  • Dns Servers. . . . . . . . : 192.168.0.23 213.170.64.33
    PASS - All the DNS entries for DC are registered on DNS server '192.168.0.23' and other DCs also have some of the names registered.
    [WARNING] The DNS entries for this DC are not registered correctly on DNS server '213.170.64.33'. Please wait for 30 minutes for DNS server replication.

     

    У вас DNS некорректно настроен. Логичнее адрес  213.170.64.33 не прописывать в свойствах адаптера, а указывать в DNS  качестве Forward. В остальном вроде бы всё ок. После перезагрузки две ошибки остались на клиенте?

    30 июня 2008 г. 6:33
  • Ошибка так и осталась,

    дата:30.06.2008 источник:AutoEnrollment
    время:9:35:29 категория:Отсутствует
    тип:Ошибка id:15
    Автоматическая подача заявки на сертификат Локальная система:
    не удалось связаться с каталогом Active Directory (0x8007054b).
    Указанный домен не существует или к нему невозможно подключиться.
    Подача заявки выполнена не будет.

    дата:30.06.2008 источник:Userenv
    время:9:34:29 категория:NT AUTHORITY\SYSTEM
    тип:Ошибка id:1054
    Не удалось получить имя контроллера домена в этой сети.
    (Указанный домен не существует или к нему невозможно подключиться. ).
    Обработка групповой политики прекращена.

    30 июня 2008 г. 7:40
  •  

    С проблемной машины выполните netdiag
    30 июня 2008 г. 7:56
    Модератор
  • Нормально вроде.
    ........................................

    Computer Name: FES0FORALL
    DNS Host Name: fes0forall.confi.ru
    System info : Windows 2000 Professional (Build 2600)
    Processor : x86 Family 6 Model 15 Stepping 11, GenuineIntel
    List of installed hotfixes :
    KB888111WXPSP2
    KB921411
    Q147222
    Netcard queries test . . . . . . . : Passed
    GetStats failed for 'Прямой параллельный порт'. [ERROR_NOT_SUPPORTED]
    [WARNING] The net card 'Минипорт WAN (IP) - Минипорт планировщика пакетов' may not be working because it has not received any packets.
    GetStats failed for 'Минипорт WAN (PPTP)'. [ERROR_NOT_SUPPORTED]
    GetStats failed for 'Минипорт WAN (PPPoE)'. [ERROR_NOT_SUPPORTED]
    [WARNING] The net card 'Минипорт WAN (IP)' may not be working because it has not received any packets.
    GetStats failed for 'Минипорт WAN (L2TP)'. [ERROR_NOT_SUPPORTED]

    Per interface results:
    Adapter : Подключение по локальной сети
    Netcard queries test . . . : Passed
    Host Name. . . . . . . . . : fes0forall
    IP Address . . . . . . . . : 192.168.0.121
    Subnet Mask. . . . . . . . : 255.255.255.0
    Default Gateway. . . . . . : xxx.yyy.zzz.hhh
    Primary WINS Server. . . . : 192.168.0.23
    Dns Servers. . . . . . . . : 192.168.0.23

    AutoConfiguration results. . . . . . : Passed
    Default gateway test . . . : Passed
    NetBT name test. . . . . . : Passed
    [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.
    WINS service test. . . . . : Passed
    Global results:
    Domain membership test . . . . . . : Passed

    NetBT transports test. . . . . . . : Passed
    List of NetBt transports currently configured:
    NetBT_Tcpip_{73AD9F7D-DAD0-4A70-8F05-A824434EEF18}
    1 NetBt transport currently configured.

    Autonet address test . . . . . . . : Passed
    IP loopback ping test. . . . . . . : Passed
    Default gateway test . . . . . . . : Passed
    NetBT name test. . . . . . . . . . : Passed
    [WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.
    Winsock test . . . . . . . . . . . : Passed
    DNS test . . . . . . . . . . . . . : Passed
    Redir and Browser test . . . . . . : Passed
    List of NetBt transports currently bound to the Redir
    NetBT_Tcpip_{73AD9F7D-DAD0-4A70-8F05-A824434EEF18}
    The redir is bound to 1 NetBt transport.

    List of NetBt transports currently bound to the browser
    NetBT_Tcpip_{73AD9F7D-DAD0-4A70-8F05-A824434EEF18}
    The browser is bound to 1 NetBt transport.
    DC discovery test. . . . . . . . . : Passed
    DC list test . . . . . . . . . . . : Passed
    Trust relationship test. . . . . . : Passed
    Secure channel for domain 'CONFI' is to '\\fox.confi.ru'.

    Kerberos test. . . . . . . . . . . : Failed
    [FATAL] Kerberos does not have a ticket for host/fes0forall.confi.ru.
    LDAP test. . . . . . . . . . . . . : Passed
    Bindings test. . . . . . . . . . . : Passed
    WAN configuration test . . . . . . : Skipped
    No active remote access connections.
    Modem diagnostics test . . . . . . : Passed
    IP Security test . . . . . . . . . : Passed
    Service status is: Started
    Service startup is: Automatic
    IPSec service is available, but no policy is assigned or active
    Note: run "ipseccmd /?" for more detailed information

    The command completed successfully


    30 июня 2008 г. 8:22
  • Беда в чем ,в том что есть файловый сервер - как рядовой ПК в доменне.Подключаешься к этому файловому серверу,приходится вводить (домен\логин\пароль), это сильно удругачет.Как сделать так что бы не добавлять доменное имя к логину?
    30 июня 2008 г. 8:34
  • Netdiag показывает проблемы с Kerberos (предположение об этом было сказано ещё в самом начале)

    Ознакомьтесь со следующими kb:

    http://support.microsoft.com/kb/870692

    http://support.microsoft.com/kb/244474

    30 июня 2008 г. 8:44
  • Прошу прощенья, за мое невежество,я только начиная изучать Windows 2003-это ошибка на стороне сервера или на строне клиент?
        Когда запускаю netdiag  на стороне сервера там все вроде нормально( Failed-ы отсутствуют),порт 88/tcp open kerberos-sec открыт.
        Попробовал запустить netdiag на другой рабочей стинции Failed-ы отсутствуют.
    30 июня 2008 г. 12:20
  • Скорее всего на стороне клиента. Попробуйте через klist purge вычистить кэш kerberos