none
Проблемы с груповыми политиками после смены ip адресса сервера. RRS feed

  • Вопрос

  • Использую Windows server 2003R2 как AD с политиками. Раньше использовалась подсеть 192.168.0.0/24. Вынужден был перейти на подсеть 172.20.46.0/24.

    Сменил IP и в DNS заного создал PTR зону. Больше не чего не делал.

    Сперва работала нормально все. Но вскоре на клиентских машинах стали выходить ошибки что нет доступа.

    Доктор вадсон выдает ошибку:

    Server=watson.microsoft.com
    UI LCID=1049
    Flags=1671504
    Brand=WINDOWS
    TitleName=Generic Host Process for Win32 Services
    DigPidRegPath=HKLM\Software\Microsoft\Windows NT\CurrentVersion\DigitalProductId
    ErrorText=Ошибка произошла на 13.06.2012 в 13:42:54.
    HeaderText=В приложении "Generic Host Process for Win32 Services" произошла ошибка,  и его необходимо закрыть.
    Stage1URL=/StageOne/svchost_exe/5_2_3790_3959/unknown/0_0_0_0/71bf3969.htm
    Stage2URL=/dw/stagetwo.asp?szAppName=svchost.exe&szAppVer=5.2.3790.3959&szModName=unknown&szModVer=0.0.0.0&offset=71bf3969
    DataFiles=C:\DOCUME~1\9B4B~1.SER\LOCALS~1\Temp\2\WERe898.dir00\svchost.exe.mdmp|C:\DOCUME~1\9B4B~1.SER\LOCALS~1\Temp\2\WERe898.dir00\appcompat.txt
    Heap=C:\DOCUME~1\9B4B~1.SER\LOCALS~1\Temp\2\WERe898.dir00\svchost.exe.hdmp
    ErrorSubPath=svchost.exe\5.2.3790.3959\unknown\0.0.0.0\71bf3969
    DirectoryDelete=C:\DOCUME~1\9B4B~1.SER\LOCALS~1\Temp\2\WERe898.dir00

    Захожу в Group Policy Management и хочу редактировать правило и мне выдается ошибка что я не имею права.  В журнале каждые 5 минут сплывают ошибки 

    Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN=31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=ngdbnet,DC=local. Этот файл должен находиться в <\\ngdbnet.local\sysvol\ngdbnet.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Указанное сетевое имя более недоступно. ). Обработка групповой политики прекращена. 

    Номер 1058 и 1030.

    Как быть подскажите пожалуйста.


    • Изменено semperN 13 июня 2012 г. 10:51
    13 июня 2012 г. 10:50

Ответы

  • Коллеги, при чем тут DNS?

    У топикстартера постоянно падает процесс, в котором работает служба Lanmanserver

    Обычная причина такого падения в русской версии Win2K3 - отсутствие патча уязвимости MS08-067 (номер статьи KB 958644 ) и активный в сети вирус использующий эту уязвимость (обычно Kido/Downadup/Conficker).

    Проверьте, установлено ли это обновление. И вообще - установите все последние обновления: подобный эффект может вызывать и попытка вируса в сети использовать уязвимости другие служб, работающих в этом процессе.


    Слава России!

    • Помечено в качестве ответа semperN 15 июня 2012 г. 6:32
    14 июня 2012 г. 9:29

Все ответы

  • Покажите ipconfig /all

    Убедитесь, что в доменной зоне прямого просмотра IP-адреса также указаны верно.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    13 июня 2012 г. 10:53
    Отвечающий
  • C:\Documents and Settings\Администратор.SERVER2003>ipconfig /all

    Настройка протокола IP для Windows

    Имя компьютера . . . . . . . . . : server2003
    Основной DNS-суффикс . . . . . . : ngdbnet.local
    Тип узла. . . . . . . . . . . . . : гибридный
    IP-маршрутизация включена . . . . : нет
    WINS-прокси включен . . . . . . . : нет
    Порядок просмотра суффиксов DNS . : ngdbnet.local

    Подключение по локальной сети - Ethernet адаптер:

    DNS-суффикс этого подключения . . :
    Описание . . . . . . . . . . . . : VIA Rhine II Compatible Fast Ethernet адаптер
    Физический адрес. . . . . . . . . : 00-19-21-2F-3E-47
    DHCP включен. . . . . . . . . . . : нет
    IP-адрес . . . . . . . . . . . . : 172.20.46.3
    Маска подсети . . . . . . . . . . : 255.255.255.0
    Основной шлюз . . . . . . . . . . : 172.20.46.1
    DNS-серверы . . . . . . . . . . . : 172.20.46.3
    192.168.92.2

    C:\Documents and Settings\Администратор.SERVER2003>

    Вот так выглядит. Один интерфейс.

    Проверил DNS везде 172.20.46.х. Старой подсети не где не осталось.



    • Изменено semperN 13 июня 2012 г. 11:04
    13 июня 2012 г. 11:02
  • Я еще запускаю MicrosoftFixit50615.msi и делаю перезагрузку. Некоторое время нормально работает но потом опять такая проблема.
    13 июня 2012 г. 11:06
  • Перерегистрируйте srv записи в DNS-зоне, обслуживающей ваш домен. Для этого запустите сервере команду netdiag /fix из комплекта support tools


    13 июня 2012 г. 11:32
  • Перерегистрируйте srv записи в DNS-зоне, обслуживающей ваш домен. Для этого запустите сервере команду netdiag /fix из комплекта support tools


    сделал.. Если все получится то отпишусь
    13 июня 2012 г. 11:42
  • У вас DNS в космос почему-то смотрит. Установите в настройках IP-протокола указатели на ТОЛЬКО и ИСКЛЮЧИТЕЛЬНО те DNS-сервера, которые занимаются вашей Active Directory.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    13 июня 2012 г. 11:44
    Отвечающий
  • У вас DNS в космос почему-то смотрит. Установите в настройках IP-протокола указатели на ТОЛЬКО и ИСКЛЮЧИТЕЛЬНО те DNS-сервера, которые занимаются вашей Active Directory.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    ОК тоже подправил. Убрал 192.168.92.2.

    А клиентам могу его раздавать? Это DNS сервер другого домена на который достаточно часто приходится ходить клиентам.  А файл зон они мне пока не пересылают. 

    13 июня 2012 г. 11:54
  • Не надо его клиентам раздавать.. Если это DNS сервер другого домена, сделайте либо дополнительную зону, либо условную пересылку запросов. Клиентам знать про этот DNS совершенно не надо..
    13 июня 2012 г. 12:01
  • Не надо его клиентам раздавать.. Если это DNS сервер другого домена, сделайте либо дополнительную зону, либо условную пересылку запросов. Клиентам знать про этот DNS совершенно не надо..
    ОК тоже подправил. Поднял slave server dns на bind заодно и его добавил в раздачу по dhcp.
    13 июня 2012 г. 12:28
  • Поднял slave server dns на bind заодно и его добавил в раздачу по dhcp.
    На всякий случай.. учтите только, что к вашему slave dns серверу клиенты будут обращаться только при недоступности основного сервера. Если он (основной) доступен, но не может ответить (не "знает") про какой-либо узел, то клиент НЕ будет обращаться ко второму dns.
    14 июня 2012 г. 4:14
  • я повторю ещё раз, чтобы теперь точно дошло:  "Установите в настройках IP-протокола указатели на ТОЛЬКО и ИСКЛЮЧИТЕЛЬНО те DNS-сервера, которые занимаются вашей Active Directory."

    все БЕЗ ИСКЛЮЧЕНИЯ члены домена должны смотреть ИСКЛЮЧИТЕЛЬНО И ТОЛЬКО на те DNS-сервера, которые владеют информацией о вашей Active Directory. Первый-первый, я второй, как понял, приём?


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    14 июня 2012 г. 5:45
    Отвечающий
  • я повторю ещё раз, чтобы теперь точно дошло:  "Установите в настройках IP-протокола указатели на ТОЛЬКО и ИСКЛЮЧИТЕЛЬНО те DNS-сервера, которые занимаются вашей Active Directory."

    все БЕЗ ИСКЛЮЧЕНИЯ члены домена должны смотреть ИСКЛЮЧИТЕЛЬНО И ТОЛЬКО на те DNS-сервера, которые владеют информацией о вашей Active Directory. Первый-первый, я второй, как понял, приём?


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    Сделал. Указал лишь только один DNS везде.

    Но проблема все равно осталась. Груповые политики падают.

    Может ли это быть связвно с тем что на шлюзе 172.20.46.1 поднят тунель в сеть где стоит другой домен не какне дружественный ко мне. Еще у меня в подсети есть терминальный сервер как раз из этого не родного домена.

    14 июня 2012 г. 8:10
  • Другой домен не причём, видимо. При условии, что теперь с разрешением DNS-имён всё в порядке, сообщение "Указанное сетевое имя более недоступно" может также указывать, что связь действительно либо обрывается физически (плохой контакт штекера на свитче), либо логически. Например, некоторые ставят на контроллер антивирусную программу, которая занимается саботажем, блокируя подозрительные (для неё) сетевые соединения.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    14 июня 2012 г. 8:43
    Отвечающий
  • Коллеги, при чем тут DNS?

    У топикстартера постоянно падает процесс, в котором работает служба Lanmanserver

    Обычная причина такого падения в русской версии Win2K3 - отсутствие патча уязвимости MS08-067 (номер статьи KB 958644 ) и активный в сети вирус использующий эту уязвимость (обычно Kido/Downadup/Conficker).

    Проверьте, установлено ли это обновление. И вообще - установите все последние обновления: подобный эффект может вызывать и попытка вируса в сети использовать уязвимости другие служб, работающих в этом процессе.


    Слава России!

    • Помечено в качестве ответа semperN 15 июня 2012 г. 6:32
    14 июня 2012 г. 9:29
  • Коллеги, при чем тут DNS?

    У топикстартера постоянно падает процесс, в котором работает служба Lanmanserver

    Обычная причина такого падения в русской версии Win2K3 - отсутствие патча уязвимости MS08-067 (номер статьи KB 958644 ) и активный в сети вирус использующий эту уязвимость (обычно Kido/Downadup/Conficker).

    Проверьте, установлено ли это обновление. И вообще - установите все последние обновления: подобный эффект может вызывать и попытка вируса в сети использовать уязвимости другие служб, работающих в этом процессе.


    Слава России!

    Спасибо за наводку. Поставил патч указанный. Надеюсь поможет. скорее всего он лезит со шлюза как раз.
    14 июня 2012 г. 10:37
  • Вы хотите сказать, что у вас не был установлен патч БЕЗОПАСНОСТИ, опубликованный 4 года назад? Как-то совершенно не думал, что такие люди ещё остались.

    Опасаюсь, систему вообще придётся пустить под нож. Теперь она наверняка кишит червями?


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI


    14 июня 2012 г. 16:12
    Отвечающий
  • Коллеги, при чем тут DNS?

    У топикстартера постоянно падает процесс, в котором работает служба Lanmanserver

    Обычная причина такого падения в русской версии Win2K3 - отсутствие патча уязвимости MS08-067 (номер статьи KB 958644 ) и активный в сети вирус использующий эту уязвимость (обычно Kido/Downadup/Conficker).

    Проверьте, установлено ли это обновление. И вообще - установите все последние обновления: подобный эффект может вызывать и попытка вируса в сети использовать уязвимости другие служб, работающих в этом процессе.


    Слава России!

    Вроде все(тьфу тьфу). Большое спасибо.за ответ. И всем большое спасибо кто пытался помочь
    15 июня 2012 г. 6:33