none
При вводе в домен не создаётся объект ПК RRS feed

  • Вопрос

  • Коллеги, приветствую.

    Не понимаю откуда, но внезапно столкнулся с проблемой.

    Завожу компьютеры в домен. Процедура ввода проходит успешно - запрос авторизации, подтверждение данных, перезагрузка.

    Но при входе пользователя в систему, выходит события об отсутствии компьютера в базе AD.

    И действительно, объект не создаётся (по умолчанию в OU Computers)

    Создаю объект рукам (с идентичным именем) пустой, ввод происходит успешно.

    Логи конечно могу приложить, но там нет ошибок вообще.

    dcdiag отрабатывает без ошибок, тесты DNS проходят без проблем.

    Подскажите, куда копать. Заранее спасибо


    • Изменено DmitryG_ 21 июня 2019 г. 16:59
    21 июня 2019 г. 16:58

Ответы

  • Журнал со станции смогу "вытащить" только в понедельник, посмотрю, отпишусь.

    Подскажите, пожалуйста, возможно это банальный косяк?

    "Проблемная" станция, с ней была такая ситуация: тех.поддержка заменяла пк и удалила объект Компьютер из домена, после этого сразу же с тем же именем начала заводить его вновь.

    Контроллеров много, разнесены по разным сайтам. Следовательно, межсайтовая репликация требует времени.

    В связи с чем вопрос, возможно, объект проверяется в AD, находит его и тупо ждёт, пока репликация отдаст объект на тот DC, сеть которого привязана к сайту?

    Да, косяк в таком случае вполне вероятен, особенно - между сайтами, если удалили компьютер не на КД в том сайте, где его завели потом в домен.

    Вполне возможно, что на каком-то КД произошел конфликт при репликации создания нового объекта компьютера с тем же именем и samAccountName между ним и старым объектом компьютера, удаление которого ещё туда не дошло.

    В таком случае AD выбирает пострадавший объект и меняет у него атрибуты так, чтобы обеспечить уникальность. В частности, если не уникально distinushedName - объекты с одним и тем же именем находятся в одном и том же контейнере - то к последнему компоненту имени пострадавшего объекта (обычно - CN) дописывается CNF:GUID.

    Ну, а потом изменение samAccountName "где-то там" могло среплицироваться на новый объект компьютера (если он был выбран пострадавшим) на тот КД, где он был создан.

    Чтобы избежать таких косяков, стоит IMHO обучить техподдержку не удалять, а сбрасывать учетную запись компьютера, который они меняют.


    Слава России!

    • Помечено в качестве ответа DmitryG_ 24 июня 2019 г. 5:14
    22 июня 2019 г. 13:54

Все ответы

  • Прежде всего - смотреть лог ввода в домен: файл C:\Windows\Debug\NetSetup.log на компьютере.

    Если в AD не появляется объект, который по логу ввода в домен создан - включить аудит AD и копать журнал Безопасность на КД. Если КД несколько - копать задержки репликации.


    Слава России!

    22 июня 2019 г. 11:22
  • Прежде всего - смотреть лог ввода в домен: файл C:\Windows\Debug\NetSetup.log на компьютере.

    Если в AD не появляется объект, который по логу ввода в домен создан - включить аудит AD и копать журнал Безопасность на КД. Если КД несколько - копать задержки репликации.


    Слава России!

    Журнал со станции смогу "вытащить" только в понедельник, посмотрю, отпишусь.

    Подскажите, пожалуйста, возможно это банальный косяк?

    "Проблемная" станция, с ней была такая ситуация: тех.поддержка заменяла пк и удалила объект Компьютер из домена, после этого сразу же с тем же именем начала заводить его вновь.

    Контроллеров много, разнесены по разным сайтам. Следовательно, межсайтовая репликация требует времени.

    В связи с чем вопрос, возможно, объект проверяется в AD, находит его и тупо ждёт, пока репликация отдаст объект на тот DC, сеть которого привязана к сайту?

    22 июня 2019 г. 12:49
  • Журнал со станции смогу "вытащить" только в понедельник, посмотрю, отпишусь.

    Подскажите, пожалуйста, возможно это банальный косяк?

    "Проблемная" станция, с ней была такая ситуация: тех.поддержка заменяла пк и удалила объект Компьютер из домена, после этого сразу же с тем же именем начала заводить его вновь.

    Контроллеров много, разнесены по разным сайтам. Следовательно, межсайтовая репликация требует времени.

    В связи с чем вопрос, возможно, объект проверяется в AD, находит его и тупо ждёт, пока репликация отдаст объект на тот DC, сеть которого привязана к сайту?

    Да, косяк в таком случае вполне вероятен, особенно - между сайтами, если удалили компьютер не на КД в том сайте, где его завели потом в домен.

    Вполне возможно, что на каком-то КД произошел конфликт при репликации создания нового объекта компьютера с тем же именем и samAccountName между ним и старым объектом компьютера, удаление которого ещё туда не дошло.

    В таком случае AD выбирает пострадавший объект и меняет у него атрибуты так, чтобы обеспечить уникальность. В частности, если не уникально distinushedName - объекты с одним и тем же именем находятся в одном и том же контейнере - то к последнему компоненту имени пострадавшего объекта (обычно - CN) дописывается CNF:GUID.

    Ну, а потом изменение samAccountName "где-то там" могло среплицироваться на новый объект компьютера (если он был выбран пострадавшим) на тот КД, где он был создан.

    Чтобы избежать таких косяков, стоит IMHO обучить техподдержку не удалять, а сбрасывать учетную запись компьютера, который они меняют.


    Слава России!

    • Помечено в качестве ответа DmitryG_ 24 июня 2019 г. 5:14
    22 июня 2019 г. 13:54
  • Спасибо за помощь и даю обратную связь.

    Согласно логу, как раз получилась такая ситуация, что на один из DC информация ещё не успела реплицироваться.

    Судя по логу, перед вводом в домен, проверяется уникальное ИМЯ ПК, а данный объект "жил" на одном ИЗ DC.

    Воспроизвёл ситуацию, такая ошибка имеет место быть.

    Правда до конца не понятно, зачем ПК дал возможность "ввестись" в домен, но это уже совсем другая история.

    24 июня 2019 г. 5:16