none
Невозможно залогинится на контроллер домена RRS feed

  • Вопрос

  • Hi All
    Странная ситуация: не могу залогиниться (права - доменадмин) на контроллер домена - пароль неверен. Первый ввод пароля, затем пауза на 3-5 сек - затем отлуп. Причём пытаться подобрать пароль можно долго и безуспешно - хотя в политиках блокировка на 30 минут после 5 попыток :) Кривые пальцы, переставленные клавиши и похмелье исключаем :) Лано, гружусь администратором. В журналах НИЧЕГО касаемо моих попыток залогиниться. В безопасности сплошной аудит успеха, в остальных журналах к этовремени то же ничего. Из ошибок присутствующих в журнале - недоступность глобального каталога либо невозможность связаться с ним, ну это и понятно - канал фиговый. В Netdiag и Dcdiag нечем глазу зацепиться. Репликации проходят, доверие проверяется на ура. DNS разрешает все нужные имена правильно. Да же не знаю чего делать то, какую диагностику можно провести? По какой причине пользователю (домен админ) МОЖЕТ БЫТЬ отказано в логине на контроллер домена да ещё без записи в журналах? Меня пока интересуют в каких случаях теоретически такое может быть, как ни мучал поисковики - ничего похожего не нашёл, направьте в нужную сторону. Дело в том, что такие случаи бывают изредка. Обычно я спокойно логинюсь на контроллер домена. Между удачными и неудачными сессиями проходят часы/дни ,по разному. Чаще всего всё ОК. Help, где ошибку искать?
    Теперь про топологию: домен firma.in в центральном офисе, filial.firma.in соотв в филиале, между ними vpn, днём оч сильно забитый. Соотв гк и схемамастер - контроллер домена dc.firma.in, программно это win2008st rus, режим домена - 2003. В филиале, где эти странные логины и происходят - dc.filial.firma.in на win2003strus, режим домена 2003. Зоны делегированы, переносятся нормально, имена разрешаются. 3 роли fsmo в субдомене принадлежат dc.filial.firma.in, он единственный домен в субдомене. Похоже с ролями fsmo в порядке. Где ошибки искать? Ну да же если с контроллера домена в субдомене нет доступа к гк и схемамастер как это может повлиять на авторизацию пользователя при логине на контроллер домена, который является хозяином остальных ролей? Или правильный вопрос: в каких случаях при отсутствии доступа к гк и схемамастер невозможно проверить пароль? Пользователь то заведён давно, группы не добавлял. Ну не знаю куда ещё смотреть. Help!!! 


    Василий
    28 ноября 2009 г. 16:53

Ответы

  • Именно. Только в Вашем случае я бы задействовал кеширование членства, ели Вы не планируете разворачивать в филиале Exchange. Ну и помните про мастера инфраструктуры, роль которого не слудует совмещать с функционалом ГК, если только у Вас каждый (т.е. все) из контроллеров не является ГК.

    Вы статью, ссылку на которую я вам предоставил, прочли?.. Прочтите: http://support.microsoft.com/default.aspx/kb/216970 - вопросов меньше будет. Это именно то, о чем Вы спрашивали.
    • Предложено в качестве ответа Dmitry PonomarevEditor 30 ноября 2009 г. 10:33
    • Помечено в качестве ответа olhovik 30 ноября 2009 г. 10:48
    30 ноября 2009 г. 9:31
    Отвечающий
  • общие сведения
    http://technet.microsoft.com/ru-ru/library/cc730749%28WS.10%29.aspx

    вопрос планирования GC
    http://www.osp.ru/win2000/2003/07/176423/
    blog.wadmin.ru
    • Помечено в качестве ответа olhovik 30 ноября 2009 г. 9:18
    30 ноября 2009 г. 8:53

Все ответы

  • Так, один вариант нашёл - универсальные группы хранятся в глобальном каталоге. Включил кэширование, буду следить.


    Василий
    28 ноября 2009 г. 18:47
  • Olhovnik, дам несколько пояснений рекомендаций.

    1. Втроенная запись Администратора не подвержена блокировке.
    2. Предоставление неверных верительных данных требует обращения к PDC для последующей аутентификации.
    3. Доступность глобального каталога играет важную роль в процессе аутентификации.
    4. Сбои в репликации могут повлиять на согласованность верительных данных разных реплик к аталога AD.
    5. Роль мастера инфраструктуры нельзя совмещать с функционалом глобального каталога на одном контроллере.

    Вы верно решили задействовать кеширование членства в универсальных группах на сайте филиала, но все же обратитесь за помощью к "dcdiag" и "repadmin".
    28 ноября 2009 г. 19:11
    Отвечающий
  • сервер Глобального Каталога у вас где?
    при недоступности GC пройти аыторизацию никто кроме администратора домена (билдин\administrator) не сможет.

    что касается аудита входов то можно почитать тут - http://support.microsoft.com/default.aspx/kb/221833


    blog.wadmin.ru
    28 ноября 2009 г. 20:30
  • сервер Глобального Каталога у вас где?
    при недоступности GC пройти аыторизацию никто кроме администратора домена (билдин\administrator) не сможет.

    что касается аудита входов то можно почитать тут - http://support.microsoft.com/default.aspx/kb/221833


    blog.wadmin.ru

    Я пытался логинится на контроллер домена dc.filial.firma.in который является дочерним по отношению к домену firma.in
    Глобальным каталогом у меня dc1.firma.in, назовём его так, в центральном офисе. Между ними канал, который днём сильно забит.
    А вот про невозможность авторизации пользователя локальной(в домене) группы при недоступности глобального каталога можно поподробнее?
    Возможно я ошибаюсь, но я считал что для успешнной авторизации должны быть доступны 3 роли домена. А 2 оставшиеся роли леса нужны при каких то операциях в базе ad: добавление, перемещение ,удаление, переименование. Если неправ - поправьте. А то ведь я субдомен организовал в тестовом режиме пока. По прочтению доступных источников считал что ничего страшного и работа доменов не пострадает при плохих каналах. Думал настроить расписание репликации на ночь и всё ок. Получается не всё :(
    Василий
    30 ноября 2009 г. 8:47
  • http://support.microsoft.com/default.aspx/kb/216970

    В отсутствие доступного глобального каталога пользователь может осуществить вход по кешированным верительным данным, но только в том случае, если он предоставил их верно с первой попытки.
    30 ноября 2009 г. 8:53
    Отвечающий
  • общие сведения
    http://technet.microsoft.com/ru-ru/library/cc730749%28WS.10%29.aspx

    вопрос планирования GC
    http://www.osp.ru/win2000/2003/07/176423/
    blog.wadmin.ru
    • Помечено в качестве ответа olhovik 30 ноября 2009 г. 9:18
    30 ноября 2009 г. 8:53
  • http://support.microsoft.com/default.aspx/kb/216970

    В отсутствие доступного глобального каталога пользователь может осуществить вход по кешированным верительным данным, но только в том случае, если он предоставил их верно с первой попытки.

    Фух, так ведь пользователь УНИВЕРСАЛЬНОЙ ГРУППЫ если я правильно понял? И только универсальной. Для всех остальных хватит контроллера домена с доступными 3 ролями домена а недоступные роляи леса (2 шт) никак не помешают нормально функционировать домену, пока я не стану добавлять, удалять ?
    Василий
    30 ноября 2009 г. 9:17
  • Нет, это не так.

    Наличие глобального каталога критично и для пользователей, не являющихся членами универсальных групп. Иначе, как по Вашему можно собрать достоверный маркер доступа, не обладая всей информацией о членстве пользователя в группах безопасности?..

    Так что Вам необходимо разместить в сайте глобальный каталог или задейтсвовать кеширование членства в универсальных группах.

    30 ноября 2009 г. 9:21
    Отвечающий
  • общие сведения
    http://technet.microsoft.com/ru-ru/library/cc730749%28WS.10%29.aspx

    вопрос планирования GC
    http://www.osp.ru/win2000/2003/07/176423/
    blog.wadmin.ru

    Да, выходит правильный вариант настроить сайты, и сделать ещё один ГК на сайте в катором расположен субдомен.
    Василий
    30 ноября 2009 г. 9:30
  • Именно. Только в Вашем случае я бы задействовал кеширование членства, ели Вы не планируете разворачивать в филиале Exchange. Ну и помните про мастера инфраструктуры, роль которого не слудует совмещать с функционалом ГК, если только у Вас каждый (т.е. все) из контроллеров не является ГК.

    Вы статью, ссылку на которую я вам предоставил, прочли?.. Прочтите: http://support.microsoft.com/default.aspx/kb/216970 - вопросов меньше будет. Это именно то, о чем Вы спрашивали.
    • Предложено в качестве ответа Dmitry PonomarevEditor 30 ноября 2009 г. 10:33
    • Помечено в качестве ответа olhovik 30 ноября 2009 г. 10:48
    30 ноября 2009 г. 9:31
    Отвечающий
  • Именно. Только в Вашем случае я бы задействовал кеширование членства, ели Вы не планируете разворачивать в филиале Exchange. Ну и помните про мастера инфраструктуры, роль которого не слудует совмещать с функционалом ГК, если только у Вас каждый (т.е. все) из контроллеров не является ГК.

    Вы статью, ссылку на которую я вам предоставил, прочли?.. Прочтите: http://support.microsoft.com/default.aspx/kb/216970 - вопросов меньше будет. Это именно то, о чем Вы спрашивали.

    Не совмещать я не могу по причине отсутствия лишних dc. Легализация и кризис подкрались одновременно :( А вот сделать каждый dc гк вполне по силам :) спасибо
    Василий
    • Помечено в качестве ответа olhovik 30 ноября 2009 г. 10:48
    • Снята пометка об ответе olhovik 30 ноября 2009 г. 10:48
    30 ноября 2009 г. 10:47