none
Почему теряются доверительные отношения между рабочей станцией и доменом? RRS feed

  • Общие обсуждения

  • Имеется домен Windows Server 2008 R2, два контроллера (один физический, второй виртуальный), репликация раз в час. И время от времени разные компьютеры в сети отказываются впускать пользователей, утверждая, что "отсутствуют доверительные отношения". Я, в принципе, нашёл вариант решения последствий - запустить на контроллере netdom reset с указанием проблемного компьютера (если я ничего не путаю), но хотелось бы понять, в чем может быть причина такого поведения, можно ли её если не совсем устранить, то хотя бы свести к минимуму?
    26 февраля 2013 г. 6:25

Все ответы

  • Репликация между домен-контроллерами нормальная? dcdiag , repadmin /showrepl не показывают каких-либо ошибок? 

    26 февраля 2013 г. 7:07
    Модератор
  • Пока похоже на рассинхрон между КД. Указанные выше _osr команды и результаты с обоих контроллеров в студию. По netdom - можно с рабочей станции netdom resetpwd использовать (и это значительно более безопасно, чем на DC с netdom играться - reset на самом деле не делает никаких изменений кроме как разрывает и заново устанавливает secure channel с теми же учётными данными: то бишь можно и ребутом станции с тем же успехом фиксить)
    26 февраля 2013 г. 7:24
    Отвечающий
  • Не были ли эти компьютеры клонированы без sysprep'a?

    Microsoft Certified Do Nothing Expert

    26 февраля 2013 г. 10:59
  • Репликация между домен-контроллерами нормальная? dcdiag , repadmin /showrepl не показывают каких-либо ошибок? 

    Repadmin про все попытки репликации написал, что они успешны.

    Dcdiag написал про все проверки, что они пройдены, за одним исключением: про несколько компьютеров указаны ошибки вида "Не удалось установить сеанс с компьютера "COMP", так как указанная компьютером учетная запись доверия "COMP$" отсутствует в базе данных безопасности." И, как следствие, "не пройдена проверка SystemLog". Но при этом среди тех компьютеров, на которые система ругнулась, не присутствует компьютер, на котором проявилась проблема из первого сообщения.

    Как запустить Netdom на рабочей станции? Простого копирования exe-шника с контроллера мало, чего-то ему не хватает.

    Хочу попробовать Nltest, но там вроде как требуется запуск от имени доменной учётки, каковая в силу ситуации как раз может быть недоступна.

    Компьютеры клонировались, но вообще-то с sysprep'ом. Вы подозреваете, что SID или ещё что-то дублируется?

    26 февраля 2013 г. 12:35
  • "Не удалось установить сеанс с компьютера "COMP", так как указанная компьютером учетная запись доверия "COMP$" отсутствует в базе данных безопасности."
    А вот это не пароль. Это удалённая кем-то из AD комповая учётка.
    Как запустить Netdom на рабочей станции? Простого копирования exe-шника с контроллера мало, чего-то ему не хватает.
    Если XP, то установите Support Tools с дистрибутива.
    Компьютеры клонировались, но вообще-то с sysprep'ом. Вы подозреваете, что SID или ещё что-то дублируется?
    Если штатным sysprep'ом, то с очень большой вероятностью не в этом дело.
    netdom тоже потребует доменную админскую учётку, но это для того, чтобы из-под неё на указанном DC сменить рабочей станции пароль.
    26 февраля 2013 г. 12:41
    Отвечающий
  • Компьютеры клонировались, но вообще-то с sysprep'ом. Вы подозреваете, что SID или ещё что-то дублируется?

    Они, случаем, не включенными ли в домен клонировались?

    А то возможен такой вариант, что склонированный компьютер входит, используя имя и пароль уже существующего в сети компьютера ( скоторого был склонирован), затем Вы его переименовываете - и переименовываете таким образом учетную запись уже существующего компьютера, после чего уже существующий компьютер не может подключиться к домену - учетной записи компьютера с его именем больше нет - она переименована.


    Слава России!


    • Изменено M.V.V. _ 26 февраля 2013 г. 14:07
    26 февраля 2013 г. 14:06