none
Ошибка 1054 от Userenv... Помогите победить... RRS feed

  • Общие обсуждения

  • Есть сервер под управлением Win2003 std R2 SP1. Подняты - AD, DHCP, DNS. Клиенты - WinXP Pro SP2. У всех клиентов при попытке залогиниться в домен в журнале ошибка

    Тип события: Ошибка
    Источник события: Userenv
    Категория события: Отсутствует
    Код события: 1054
    Дата:  11.12.2006
    Время:  9:02:03
    Пользователь:  NT AUTHORITY\SYSTEM
    Компьютер: ХХХ
    Описание:
    Не удалось получить имя контроллера домена в этой сети. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.

    Как победить?  Пробовала в ручную в сетевых настройках клиента прописать DNS сервером IP сервера - не помогло. А могут ли вызывать такую ошибку неверные настройки групповой политики?

    11 декабря 2006 г. 7:25

Все ответы

  • ipconfig /all c DC  и с любого ПК выдающего ошибку
    11 декабря 2006 г. 7:29
  • здесь описаны различные варианты решения этой проблемы.

    http://eventid.net/display.asp?eventid=1054&eventno=1393&source=Userenv&phase=1

    возможно ваш дхцп сервер не авторизован

     

    11 декабря 2006 г. 7:48
  •  V. Zaletny написано:
    ipconfig /all c DC  и с любого ПК выдающего ошибку

    DC

    ipconfig /all

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : server
       Основной DNS-суффикс  . . . . . . : xxx.local
       Тип узла. . . . . . . . . . . . . : гибридный
       IP-маршрутизация включена . . . . : нет
       WINS-прокси включен . . . . . . . : нет
       Порядок просмотра суффиксов DNS . : xxx.local

    Внутренняя сеть - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
       Физический адрес. . . . . . . . . : xx-xx-xx-xx-xx-xx
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 192.170.xxx.1
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . :
       DNS-серверы . . . . . . . . . . . : 192.170.xxx.1

    Клиент

    ipconfig /all

    Настройка протокола IP для Windows

            Имя компьютера  . . . . . . . . . : xxx
            Основной DNS-суффикс  . . . . . . : xxx.local
            Тип узла. . . . . . . . . . . . . : гибридный
            IP-маршрутизация включена . . . . : нет
            WINS-прокси включен . . . . . . . : нет
            Порядок просмотра суффиксов DNS . : xxx.local
                                                xxx

    Подключение по локальной сети - Ethernet адаптер:

            DNS-суффикс этого подключения . . : xxx
            Описание  . . . . . . . . . . . . : SiS 900-Based PCI Fast Ethernet Adapter
            Физический адрес. . . . . . . . . : xx-xx-xx-xx-xx-xx
            Dhcp включен. . . . . . . . . . . : да
            Автонастройка включена  . . . . . : да
            IP-адрес  . . . . . . . . . . . . : 192.170.xxx.23
            Маска подсети . . . . . . . . . . : 255.255.255.0
            Основной шлюз . . . . . . . . . . :
            DHCP-сервер . . . . . . . . . . . : 192.170.xxx.1
            DNS-серверы . . . . . . . . . . . : 192.170.xxx.1
            Основной WINS-сервер  . . . . . . : 192.170.xxx.1
            Аренда получена . . . . . . . . . : 11 декабря 2006 г. 9:13:24
            Аренда истекает . . . . . . . . . : 19 января 2038 г. 6:14:07

    примем, что под буквами ХХХ имеется в виду Имя домена TEST, и часть IP, например 100.

    Как проверить, авторизован ли DHCP?

    11 декабря 2006 г. 9:44
  • Зайдите в оснастку DHCP и посмотрите на значек сервера, если он с зеленой стрелочкой, то все ок.

    Судя по тому, что клиент получает адрес с Вашего DHCP, он авторизован.

    Надеюсь xxx, в IP адресе, везде одинаков.

    Попробуйте прверить security channel  - nltest /SC_QUERY:xxx.local и посмотреть вообще видит ли ПК список DC - nltest /DCLIST:xxx.local

    Неплохо бы было еще SRV записи в DNS на DC посмотреть.

    Запустите dcdiag и netdiag на DC, посмотрите есть ли ошибки.

    И пройдитесь по всему списку, который указан в ссылке ниже.

    11 декабря 2006 г. 10:27
  •  V. Zaletny написано:

    Надеюсь xxx, в IP адресе, везде одинаков.

    Конечно.

     V. Zaletny написано:

    Попробуйте прверить security channel  - nltest /SC_QUERY:xxx.local и посмотреть вообще видит ли ПК список DC - nltest /DCLIST:xxx.local

    Запустите dcdiag и netdiag на DC, посмотрите есть ли ошибки.

    Говорит, что не является внутренней или внешней командой...

    Неплохо бы было еще SRV записи в DNS на DC посмотреть.

    А что там должно быть?

    11 декабря 2006 г. 11:04
  •  V. Zaletny написано:

    Поставьте Support Tools с дистрибутива Windows.

    Пасиб... Поставила... Dcdiag и netdiag все ОК. Почитав то, что посоветовал Ivanov Alex - MCSE , попробовала в GPO включить "Computer\Administrative Templates\System\Logon\[Always wait for the network at computer startup and logon]".. На одном клиенте вроде помогло, а на другом нет (пробовала на двух клиентах)...

     

    11 декабря 2006 г. 13:07
  • Пожалуйста, покажите вывод

    nslookup server

    с клиента?

    Дейставительно ли у вас на сервере корректно работает DNS?

    11 декабря 2006 г. 18:21
  • Ну... Смотрите.. сегодня посмотрела, оказалось включен Брандмауер win на клиентах. На одном клиенте отключила брандмауер и вручную прописала DNS  - все заработало. На другом сделала тоже самое - не помогло.

    Каков должен быть результат отработки компанды nslookup server ?

    Надеюсь, я поняла правильно.

    nslookup 192.170.ххх.1
    Server:  server.ххх.local
    Address:  192.170.ххх.1

    Name:    server.ххх.local
    Address:  192.170.ххх.1

    nslookup 192.170.ххх.13
    Server:  server.ххх.local
    Address:  192.170.ххх.1

    Name:    ryyy.xxx.local
    Address:  192.170.xxx.13

    То есть, насколько я поняла, имена разрешаются успешно.

    12 декабря 2006 г. 7:15
  • А рядом, случайно ошибки 1030 не наблюдается (глянь на dc)? Если это так, то у тебя вылетели групповые политики.

    В этом случае 2 варианта:

    1) Береши правильные групповые политики (можешь создать новые), смотришь в свойствах ссылки на групповые политики на какой GUID политики обращаются ссылки политики домена и контроллера домена (может у тебя еще какие-то есть), после этого новым политикам присваиваешь этот GUID и подменяешь их в /sysvol/ - проблема пропадет.

    2) Запускаешь dsgpofix, соглашаешься. В результате получаешь групповые политики как при установке.

    12 декабря 2006 г. 7:50
  • Нет.. в том-то и дело, что на DC самом все отлично! Никаких ошибок нет...

    А вот на клиентах в паре с 1054 от Userenv (раздел Приложение) в разделе Система ошибка такая

    Тип события: Ошибка
    Источник события: NETLOGON
    Категория события: Отсутствует
    Код события: 5719
    Дата:  12.12.2006
    Время:  9:06:17
    Пользователь:  Н/Д
    Компьютер: ХХХ
    Описание:
    Для домена ХХХ нет доступного контроллера домена. Ошибка:
    Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. .
    Убедитесь в том, что компьютер подключен к сети и повторите попытку. Если ошибка повторяется, обратитесь к сетевому администратору.

     

    ЗЫ. А вот, если зайти под Администратором домена, то ошибок не возникает...

    12 декабря 2006 г. 8:16
  • А nslookup server.ххх.local с "ошибочного" клиента???
    12 декабря 2006 г. 8:31
  • Приведеное мной и есть с ошибочного клиента...
    12 декабря 2006 г. 8:32
  • А, даже так. Процитируй права доступа на групповые политики.
    12 декабря 2006 г. 8:37
  • Это то,что типа Delegation в  GPO?

    system - Edit/delete/modify

    Администраторы домена - Edit/delete/modify

    Администраторы предприятия - Edit/delete/modify

    Контроллеры домена предприятия - Read

    Прошедшие проверку - Read

    12 декабря 2006 г. 8:44
  • Ну тут вроде все вменяемо.

    Так, а на керберос какие-нибудь политики настраивала в последнее время? Вообще какие изменения были на клиентах и серверах последнее время? Настройки/софт/апдейты/дрова/утили?

    13 декабря 2006 г. 13:50
  • Есть две похожие темы

    http://forums.microsoft.com/technet-ru/ShowPost.aspx?PostID=842676&SiteID=40

    http://forums.microsoft.com/technet-ru/ShowPost.aspx?PostID=853011&SiteID=40

     

    Я бы проверил следующие вещи:

    1. Что DC нормально зарегистрированы в DNS (_msdcs) Можно руками выполнить ipconfig/registerdns на DC и посмотреть логи, что все прошло нормально
    2. На коммутаторе на портах клиентов отключен STP (spantree portfast для Cisco) Иначе при загрузке компьютера  целых 30 секунд порт не работает.
    3. Если все компьютеры одинаковые, то возможно надо обновить драйвера сетевой карты
    14 декабря 2006 г. 4:36
    Модератор
  • Значицца так... :)

    В политиках в последнее время (не помню когда) отключила Конфигурация пользователя/Конфигурация Windows/Политики открытого ключа/Параметры автоматической подачи заявки. И отключила я неспроста.. значит у меня была какая-то ошибка, чтоб я это отключила. А ошибка была такая..

    Тип события: Ошибка
    Источник события: 
    AutoEnrollment
    Категория события: Отсутствует
    Код события: 15
    Дата:  18.05.2006
    Время:  9:30:22
    Пользователь:  Н/Д
    Компьютер: XXX
    Описание:
    Автоматическая подача заявки на сертификат Локальная система: не удалось связаться с каталогом Active Directory (0x8007054b).  Указанный домен не существует или к нему невозможно подключиться.
      Подача заявки выполнена не будет.

    Странно, но на моем компе (а я на клиенте сижу) этой ошибки не было давно, а вот сегодня ночью появилась. (комп не выключается никогда).

    В остальном, на клиентах ничего не делалось. Компьютеры не все одинаковые, но сетевухи у них одинаковые почти у всех.

    А вообще, после проведенных мной манипуляций с прописыванием вручную IP DNS-сервера на клиентах, ошибки исчезли при логине пользователей, входящих в группу Администратор домена. Вот.. а все, кто Пользователи, так и остались с ошибкой.

    to sie

    Что DC нормально зарегистрированы в DNS (_msdcs)

    Плиз, по-русски расскажи куда посмотреть конкретно (путь напиши...)

    Вот что странно, ошибка эта (1054) появилась 17 апреля, у меня тогда и винда-то другая стояла на сервере (был win 2003 SBS), а эту винду я поставила в июне.. По правде сказать, винду я переставила кривенько... Накатила сверху вроде... У меня даже потом был глюк в DNS, что он все время ругался, что область там у него что-то не так и в ошибках фигурировало старое имя домена.. (я сменила имя при переустановке).. Ошибка была такая (на сервере)...

    Тип события: Ошибка
    Источник события: DNS
    Категория события: Отсутствует
    Код события: 4007
    Дата:  09.10.2006
    Время:  15:22:50
    Пользователь:  Н/Д
    Компьютер: SERVER
    Описание:
    DNS-сервер не может открыть зону _msdcs.YYY.local в Active Directory из раздела каталога приложений ForestDnsZones.YYY.local. Этот DNS-сервер настроен для получения и использования данных из каталога для указанной зоны и без них не может загрузить зону. Проверьте, нормально ли работает Active Directory, и перезагрузите зону. В данных события содержится код ошибки.

    где YYY - старое имя домена, отличное он нынешнего... Я исправила везде в настройках YYY на XXX и ошибка пропала... А вот вопрос.. Если меняешь настройки DNS-сервера, то нужно перезагружать машину или он сам все применяет сразу же...? ИЛи может есть какая-нить команда для обновления.. (типа как обновление групповой политики gpupdate)?

    На коммутаторе на портах клиентов отключен STP

    Как проверить это?

    14 декабря 2006 г. 7:46
  • Эм... Значит есть 2 соображения:

    1) Если аутентификация не проходит на DC (сертификат не приходит или что там еще было) - до групповых политих DC ты не достучишься т.к. у тебя минимум прав для этого (read) доступно только для прошедших проверку. Если тебе не очень жалко откатить групповые политики, то рекомендую сделать следующее:

    - запиши все важные настройки GP (для того, чтобы не забыть восстановить), ну или еще лучше - сделай SystemState

    - после этого сделай dcgpofix на контроллере домена

    - далее gpupdate на сервере и клиентах

    Ну и смотри что будет происходить. Если причина №1, то проблема пройдет.

    2) Если трабла всеже с DNS и переименованием домена, то тут все намного хуже. Трудно представить что именно происходило во время переименования, тем не менее попробуй сначала безопасный способ: возьми больного клиента, выведи его из домена и введи. Далее гляди эвент лог. Очень возможно, что пройдет.

    Если же не помогло, тогда внимательно читать:

    http://download.microsoft.com/download/9/6/5/965e6899-e086-4b3e-8ed6-516ea07ea225/Domain-Rename-Intro.doc и http://download.microsoft.com/download/c/f/c/cfcbff04-97ca-4fca-9e8c-3a9c90a2a2e2/Domain-Rename-Procedure.doc, качать http://download.microsoft.com/download/5/6/d/56df978b-9a76-487e-80b7-0250289f2579/domainrename.exe и попробоваьт переименовать домен из XXX.local в XXX.local - опятьже большие шансы, что пройдет, если проблема в 2 (естесственно перед началом обязательно делать SystemState).

    14 декабря 2006 г. 12:32
  • 2) Если трабла всеже с DNS и переименованием домена, то тут все намного хуже. Трудно представить что именно происходило во время переименования, тем не менее попробуй сначала безопасный способ: возьми больного клиента, выведи его из домена и введи. Далее гляди эвент лог. Очень возможно, что пройдет.

    Домен не переименовывался, а когда я винду переставляла, я создала новый домен с новым именем.

    Пробовла по твоему совету перезавести в домен. Из 3 компов на 2 помогло. ОДнако сегодня перезагрузила серве и получила в журнале DNS опять

    Тип события: Ошибка
    Источник события: DNS
    Категория события: Отсутствует
    Код события: 4007
    Дата:  18.12.2006
    Время:  9:28:46
    Пользователь:  Н/Д
    Компьютер: SERVER
    Описание:
    DNS-сервер не может открыть зону _msdcs.YYY.local в Active Directory из раздела каталога приложений ForestDnsZones.YYY.local. Этот DNS-сервер настроен для получения и использования данных из каталога для указанной зоны и без них не может загрузить зону. Проверьте, нормально ли работает Active Directory, и перезагрузите зону. В данных события содержится код ошибки.

    Где YYY - предыдущее имя домена. И на тех компах, что были ок после перезаведления, опять ошибка 1054. Однако у юзверей с правами Администратора домена такой ошибки нету.

    Почему-то вот это "Active Directory из раздела каталога приложений ForestDnsZones.YYY.local" не могу найти в AD пусть даже и нынешним именем домена. Может я чего-то пропустила? Где это находицца? Я, канеш, понимаю, что все сделано у мну через одно место... потому что винду надо было нормально ставить (((( но что делать теперь...?

    А еще вот такая ошибка после перезагрузки.. Теперь уже от DHCP

    Тип события: Предупреждение
    Источник события: DhcpServer
    Категория события: Отсутствует
    Код события: 1056
    Дата:  18.12.2006
    Время:  9:28:48
    Пользователь:  Н/Д
    Компьютер: SERVER
    Описание:
    Служба DHCP обнаружила, что она запущена на контроллере домена (DC) и не имеет учетных данных, настроенных для использования с динамическими DNS-регистрациями, производимыми службой DHCP. Подобная конфигурация безопасности не рекомендуется.  Учетные данные динамических DNS-регистраций можно настроить с помощью утилиты командной строки "netsh dhcp server set dnscredentials" или с помощью программы администрирования DHCP.

     

    18 декабря 2006 г. 7:58