Remove From My Forums

Помогите с контроллером домена(аторизация в домене)

Вопрос
0

Нужно войти

Добрый день!
Обращаюсь к гурам по windows server-ам,помогите пожалуйста разобраться, как можно решить проблему.
Отнеситесь с пониманием очень прошу,я только начинаю разбираться и мне нужно помощь специалиста, я очень хочу разобраться.
Для начало опишу как все было.По наследству досталось два контроллера назовем их,Server1-главный контроллер Win2003+он был еще файловым сервером и Server2-schema Win2003.В один прекрасный, солнечный день на Server1-е произошла проблема с железом,и понятное дело Server1 упал и больше не втал.
На Server2 я сделал принудетельный захват ролей FSMO, теперь Server2 стал главным контроллером домена.А теперь самое интересное начинается,если раньше когда работал Server1, пользователи домена подключались к доменным шарам вводя только <логин\пароль>,то сейчас им приходится вводить <домен\логин\пароль>.
Как сделать так что бы при подключениях к доменным шарам не надо было добавлять доменное имя?

27 июня 2008 г. 8:44

Ответить

|

Цитировать

Ответы

0

Нужно войти

Авторизация пользователей(вод в домен) на рабочих станциях проходит без ошибок? Они видят этот контроллер(т.е. он у них указан в качестве DNS)?

Вообще странно даже то,что при подключении к первому серверу приходилось вбивать логин\пароль. Это говорит о том, что либо рабочие станции не приндлежат домену, либо вход на них осуществляется не под доменныи аккаунтми, либо некорректно настроены разрешения на шары

27 июня 2008 г. 8:49

Ответить

|

Цитировать

Все ответы

0

Нужно войти

Авторизация пользователей(вод в домен) на рабочих станциях проходит без ошибок? Они видят этот контроллер(т.е. он у них указан в качестве DNS)?

Вообще странно даже то,что при подключении к первому серверу приходилось вбивать логин\пароль. Это говорит о том, что либо рабочие станции не приндлежат домену, либо вход на них осуществляется не под доменныи аккаунтми, либо некорректно настроены разрешения на шары

27 июня 2008 г. 8:49

Ответить

|

Цитировать
0

Нужно войти

В качестве ДНС стоит сервер Server2, он же DHCP.
Права на шары раздаются через Server2. В домене эти ПК есть,учетные записи пользователей тоже.Сейчас к доменным шарам через <домен\логин\пароль> для доменных пользователей и тоже самое <домен\логин\пароль> для пользователей которые не в домене(ноуты).

27 июня 2008 г. 12:25

Ответить

|

Цитировать
0

Нужно войти

С ноутбуками, которые не в домене, всё ясно.

А для компьютеров в домене это не нормальная ситуация. Правильно ли я понимаю, что после того, как пользователь зашёл на компьютер (который в домене) под верным логином (который тоже заведён в домене) и пытается достучаться на шару сервера (который принадлежит домену, да ещё и DC) на которую выставлены корректные права доступа (на основании доменных групп/учетных записей) как на Share так и на NTFS, то ему приходится заново вводить домен\логин\пароль для доступа? На доступ к Sysvol на контроллере тоже требуется ввод учетных данных?

Если это так, то скорее всего в логах на сервере и на клиенте должны быть ошибки, связанные с невозможностью применения групповых политик и некорректной работой Kerberos. В журналах событий на клиенте и на сервере есть что-нибудь?

Либо у вас первый и второй сервер являются контроллерами разных доменов

27 июня 2008 г. 12:40

Ответить

|

Цитировать
0

Нужно войти

А вот что в логах когда когда вводишь прости <пароль\логин>

Аудит отказов id:529
Попытка входа выполнена: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: sasha
Исходная рабочая станция: PAO0PROHOROVA
Код ошибки: 0xC0000064

Аудит отказов id:680
Сбой входа в систему:
Причина: неизвестное имя пользователя или неверный пароль
Пользователь: sasha
Домен: PC167
Тип входа: 3
Процесс входа: NtLmSsp
Пакет проверки: NTLM
Рабочая станция: PC167
Имя вызывающего пользователя: -
Домен вызывающего: -
Код входа вызывающего: -
Код процесса вызывающего: -
Промежуточные службы: -
Адрес сети источника: 192.168.0.167
Порт источника: 0

Меня вот только смущает почему в поле домен стоит PC167, а не имя домена.Хотя учетная запись sasha есть, и PC167 зарегистрирован тоже домене.По какой то причене проверка авторизации происходит сначала локально,если я правильно понял.

27 июня 2008 г. 12:49

Ответить

|

Цитировать
0

Нужно войти

Попрбуйте обновить систему на клиенте и на сервере: http://support.microsoft.com/kb/811082

27 июня 2008 г. 12:54

Ответить

|

Цитировать
0

Нужно войти

Сейчас голую win-s, включил в домен, вошел под учетной записью ,которая есть в домене.
В логах есть парачка ошибок:

Источник:AutoEnrollment
Тип:Ощибка ID:15
Пользователь:Н/Д
КомпьютерC222
Автоматическая подача заявки на сертификат Локальная система:
не удалось связаться с каталогом Active Directory (0x8007054b).
Указанный домен не существует или к нему невозможно подключиться.
Подача заявки выполнена не будет.

Источник:Userenv
Тип:Ощибка ID:1054
Пользователь:NT AUTHORITY\SYSTEM
КомпьютерC222
Не удалось получить имя контроллера домена в этой сети.
(Указанный домен не существует или к нему невозможно подключиться. ).
Обработка групповой политики прекращена.

27 июня 2008 г. 13:10

Ответить

|

Цитировать
0

Нужно войти

nslookup ИмяДомена корректно разрешается в IP контроллера?

27 июня 2008 г. 13:47

Ответить

|

Цитировать
0

Нужно войти

Да, как на клиенских так и на стороне сервера

27 июня 2008 г. 14:06

Ответить

|

Цитировать
0

Нужно войти

У меня DC осталось старое имя сервера (Server1), я ни как нимагу его удалить.
Хотя в ДНС я вроде везде удалил где упоменалось старое имя сервера,и в логах про неудачную репликацию нету.
Даже на всякий случий выполнил http://support.microsoft.com/kb/216498/ru.

27 июня 2008 г. 14:24

Ответить

|

Цитировать
0

Нужно войти

После "очистки" AD контроллер перезагрузили?Результаты выполнения dcdiag и netdiag в норме?

27 июня 2008 г. 14:38

Ответить

|

Цитировать
0

Нужно войти

В роде все нормально,
Выкладываю результаты выполнения к-д dcdiag:
#####################################################################################
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-Name\FOX
Starting test: Connectivity
......................... FOX passed test Connectivity
Doing primary tests
Testing server: Default-First-Site-Name\FOX
Starting test: Replications
......................... FOX passed test Replications
Starting test: NCSecDesc
......................... FOX passed test NCSecDesc
Starting test: NetLogons
......................... FOX passed test NetLogons
Starting test: Advertising
......................... FOX passed test Advertising
Starting test: KnowsOfRoleHolders
......................... FOX passed test KnowsOfRoleHolders
Starting test: RidManager
......................... FOX passed test RidManager
Starting test: MachineAccount
......................... FOX passed test MachineAccount
Starting test: Services
......................... FOX passed test Services
Starting test: ObjectsReplicated
......................... FOX passed test ObjectsReplicated
Starting test: frssysvol
......................... FOX passed test frssysvol
Starting test: frsevent
......................... FOX passed test frsevent
Starting test: kccevent
......................... FOX passed test kccevent
Starting test: systemlog
......................... FOX passed test systemlog
Starting test: VerifyReferences
......................... FOX passed test VerifyReferences
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Running partition tests on : confi
Starting test: CrossRefValidation
......................... confi passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... confi passed test CheckSDRefDom
Running enterprise tests on : confi.ru
Starting test: Intersite
......................... confi.ru passed test Intersite
Starting test: FsmoCheck
......................... confi.ru passed test FsmoCheck
#####################################################################################

Результат выполнения netdiag:
.......................................
Computer Name: FOX
DNS Host Name: fox.confi.ru
System info : Microsoft Windows Server 2003 (Build 3790)
Processor : x86 Family 6 Model 7 Stepping 3, GenuineIntel
List of installed hotfixes :
KB911564
KB925398_WMP64
KB925902
KB927891
KB929123
KB930178
KB931768
KB931784
KB932168
KB933566
KB935839
KB935840
KB935966
Q147222
Netcard queries test . . . . . . . : Passed

Per interface results:
Adapter : Local Area Connection
Netcard queries test . . . : Passed
Host Name. . . . . . . . . : fox
IP Address . . . . . . . . : 192.168.0.23
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.0.101
Primary WINS Server. . . . : 192.168.0.23
Dns Servers. . . . . . . . : 192.168.0.23
213.170.64.33
AutoConfiguration results. . . . . . : Passed
Default gateway test . . . : Passed
NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.
WINS service test. . . . . : Passed
Global results:

Domain membership test . . . . . . : Passed
NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{D0188C1A-415C-444A-B240-3E990927CDF9}
1 NetBt transport currently configured.

Autonet address test . . . . . . . : Passed
IP loopback ping test. . . . . . . : Passed
Default gateway test . . . . . . . : Passed
NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.
Winsock test . . . . . . . . . . . : Passed
DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.0.23' and other DCs also have some of the names registered.
[WARNING] The DNS entries for this DC are not registered correctly on DNS server '213.170.64.33'. Please wait for 30 minutes for DNS server replication.

Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{D0188C1A-415C-444A-B240-3E990927CDF9}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{D0188C1A-415C-444A-B240-3E990927CDF9}
The browser is bound to 1 NetBt transport.

DC discovery test. . . . . . . . . : Passed
DC list test . . . . . . . . . . . : Passed
Trust relationship test. . . . . . : Skipped
Kerberos test. . . . . . . . . . . : Passed
LDAP test. . . . . . . . . . . . . : Passed
Bindings test. . . . . . . . . . . : Passed
WAN configuration test . . . . . . : Skipped
No active remote access connections.
Modem diagnostics test . . . . . . : Passed
IP Security test . . . . . . . . . : Skipped
Note: run "netsh ipsec dynamic show /?" for more detailed information
The command completed successfully
#####################################################################################

Я так понял авторизация проходит сначала локально,а потом где ему скажут .
Смотрел в груп.политиках ничего не нашел.Может проблема в модели авторизации,а где посмотреть незнаю.

30 июня 2008 г. 6:08

Ответить

|

Цитировать

Нужно войти

Dns Servers. . . . . . . . : 192.168.0.23 213.170.64.33
PASS - All the DNS entries for DC are registered on DNS server '192.168.0.23' and other DCs also have some of the names registered.
[WARNING] The DNS entries for this DC are not registered correctly on DNS server '213.170.64.33'. Please wait for 30 minutes for DNS server replication.

У вас DNS некорректно настроен. Логичнее адрес 213.170.64.33 не прописывать в свойствах адаптера, а указывать в DNS качестве Forward. В остальном вроде бы всё ок. После перезагрузки две ошибки остались на клиенте?

30 июня 2008 г. 6:33

Нужно войти

Ошибка так и осталась,

дата:30.06.2008 источник:AutoEnrollment
время:9:35:29 категория:Отсутствует
тип:Ошибка id:15
Автоматическая подача заявки на сертификат Локальная система:
не удалось связаться с каталогом Active Directory (0x8007054b).
Указанный домен не существует или к нему невозможно подключиться.
Подача заявки выполнена не будет.

дата:30.06.2008 источник:Userenv
время:9:34:29 категория:NT AUTHORITY\SYSTEM
тип:Ошибка id:1054
Не удалось получить имя контроллера домена в этой сети.
(Указанный домен не существует или к нему невозможно подключиться. ).
Обработка групповой политики прекращена.

30 июня 2008 г. 7:40

Нужно войти

С проблемной машины выполните netdiag

30 июня 2008 г. 7:56

Модератор

Нужно войти

Нормально вроде.
........................................

Computer Name: FES0FORALL
DNS Host Name: fes0forall.confi.ru
System info : Windows 2000 Professional (Build 2600)
Processor : x86 Family 6 Model 15 Stepping 11, GenuineIntel
List of installed hotfixes :
KB888111WXPSP2
KB921411
Q147222
Netcard queries test . . . . . . . : Passed
GetStats failed for 'Прямой параллельный порт'. [ERROR_NOT_SUPPORTED]
[WARNING] The net card 'Минипорт WAN (IP) - Минипорт планировщика пакетов' may not be working because it has not received any packets.
GetStats failed for 'Минипорт WAN (PPTP)'. [ERROR_NOT_SUPPORTED]
GetStats failed for 'Минипорт WAN (PPPoE)'. [ERROR_NOT_SUPPORTED]
[WARNING] The net card 'Минипорт WAN (IP)' may not be working because it has not received any packets.
GetStats failed for 'Минипорт WAN (L2TP)'. [ERROR_NOT_SUPPORTED]

Per interface results:
Adapter : Подключение по локальной сети
Netcard queries test . . . : Passed
Host Name. . . . . . . . . : fes0forall
IP Address . . . . . . . . : 192.168.0.121
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : xxx.yyy.zzz.hhh
Primary WINS Server. . . . : 192.168.0.23
Dns Servers. . . . . . . . : 192.168.0.23

AutoConfiguration results. . . . . . : Passed
Default gateway test . . . : Passed
NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.
WINS service test. . . . . : Passed
Global results:
Domain membership test . . . . . . : Passed

NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{73AD9F7D-DAD0-4A70-8F05-A824434EEF18}
1 NetBt transport currently configured.

Autonet address test . . . . . . . : Passed
IP loopback ping test. . . . . . . : Passed
Default gateway test . . . . . . . : Passed
NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.
Winsock test . . . . . . . . . . . : Passed
DNS test . . . . . . . . . . . . . : Passed
Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{73AD9F7D-DAD0-4A70-8F05-A824434EEF18}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{73AD9F7D-DAD0-4A70-8F05-A824434EEF18}
The browser is bound to 1 NetBt transport.
DC discovery test. . . . . . . . . : Passed
DC list test . . . . . . . . . . . : Passed
Trust relationship test. . . . . . : Passed
Secure channel for domain 'CONFI' is to '\\fox.confi.ru'.

Kerberos test. . . . . . . . . . . : Failed
[FATAL] Kerberos does not have a ticket for host/fes0forall.confi.ru.
LDAP test. . . . . . . . . . . . . : Passed
Bindings test. . . . . . . . . . . : Passed
WAN configuration test . . . . . . : Skipped
No active remote access connections.
Modem diagnostics test . . . . . . : Passed
IP Security test . . . . . . . . . : Passed
Service status is: Started
Service startup is: Automatic
IPSec service is available, but no policy is assigned or active
Note: run "ipseccmd /?" for more detailed information

The command completed successfully

30 июня 2008 г. 8:22

Нужно войти

Беда в чем ,в том что есть файловый сервер - как рядовой ПК в доменне.Подключаешься к этому файловому серверу,приходится вводить (домен\логин\пароль), это сильно удругачет.Как сделать так что бы не добавлять доменное имя к логину?

30 июня 2008 г. 8:34

Нужно войти

Netdiag показывает проблемы с Kerberos (предположение об этом было сказано ещё в самом начале)

Ознакомьтесь со следующими kb:

http://support.microsoft.com/kb/870692

http://support.microsoft.com/kb/244474

30 июня 2008 г. 8:44

Нужно войти

Прошу прощенья, за мое невежество,я только начиная изучать Windows 2003-это ошибка на стороне сервера или на строне клиент?
Когда запускаю netdiag на стороне сервера там все вроде нормально( Failed-ы отсутствуют),порт 88/tcp open kerberos-sec открыт.
Попробовал запустить netdiag на другой рабочей стинции Failed-ы отсутствуют.

30 июня 2008 г. 12:20

Нужно войти

Скорее всего на стороне клиента. Попробуйте через klist purge вычистить кэш kerberos

1 июля 2008 г. 8:48

Продукты

Resources

Solutions

Обновления

Пробные версии

Сайты по теме

Обучение

Сертификация

Другие материалы и ссылки

Продукты

Другие ссылки

Не специалист по ИТ?

Лучший отвечающий

Помогите с контроллером домена(аторизация в домене)

Вопрос

Ответы

Все ответы