Windows 2003 SP2 и пользователи домена

[Ian]

Выпросил у руководства новый сервер. Установил на него Windows 2003 R2 Standard (SP2), ввел в домен и -- жестоко обломился. Ибо не видит сервер юзеров из Active Directory, только локальных (выбираю в "размещение" -- там только локальный комп, домена не видно). Ради прикола поставил на тот же сервак пиратский Windows 2003 SP1 -- все нормально. Грешил на входящий во 2-й сервис пак SMP, сделал как велит http://support.microsoft.com/kb/948496/ но результата не получил, комп в домене присутствует (судя по показаниям оснастки "AD Users & Computers" на контроллере домена), залогиниться на новом сервере как пользователь, занесенный в AD, я могу -- но не более.
Что это может быть и в какую сторону мне рыть? Роелй на новом сервере пока не назначал (все настройки по умолчанию), контроллер домена -- Windows 2003 SP1, дышит на ладан, поэтому трогать я его побаиваюсь...

[DrEvil]

Как-то не сочетается

не видит сервер юзеров из Active Directory, только локальных

и

залогиниться на новом сервере как пользователь, занесенный в AD, я могу

. В каком месте конкретно не работает, по шагам?

[Ian]

1. Устанавливаю систему. Сетевуху она (еще) не видит, поэтому никаких вопросов не задает.
2. Устанавливаю драйвера мамки, видео, сетевухи. Ставлю статический IP-адрес.
3. Панель управления -> Система -> закладка "Имя компьютера" -> кнопка "Изменить", ввожу комп в домен, при запросе имени пользователя и пароля ввожу имя и пароль администратора компа-контроллера домена. Перезагружаюсь.
4. Захожу в комп, как какой-либо пользователь AD с административными правами. Пытаюсь через "Общий доступ и безопасность" поставить разрешение на папку жесткого диска -- показывает ТОЛЬКО локальных пользователей. По кнопке "Размещение" в выборе пользователя домен недоступен (не виден, есть только имя локального компа).
Вот то, что творится на шаге 4 меня и не устраивает.

[DrEvil]

По кнопке "Размещение" в выборе пользователя домен недоступен (не виден, есть только имя локального компа).

А какие ошибки пишутся в журнал на сервере и на доменном контроллере в этот момент (особенно с источником NETLOGON)?

К сетевым папкам на доменом контроллере (типа C$)с этого сервера есть доступ? И вы сервер в домен заводили под абсолютно новым именем, а не под использовавшимся другим (пусть и удаленным) компьютером ранее?

пользователь AD с административными правами

А не администратором позволяет войти?

[Ian]

А какие ошибки пишутся в журнал на сервере и на доменном контроллере в этот момент (особенно с источником NETLOGON)?

На стороне контроллера домена -- ошибок в журнале нет.
На стороне обсуждаемого сервера, наблюдается следующее:
1. При загрузке ОС, ориентировочно во время первого появления окна "нажмите Ctrl-Alt-Del" (раздел журнала "система")

Код: Выделить всё

Тип события:	Ошибка
Источник события:	NETLOGON
Категория события:	Отсутствует
Код события:	5719
Дата:		27.04.2009
Время:		9:13:32
Пользователь:		Н/Д
Компьютер:	TVK-NEW
Описание:
Компьютер не может установить безопасный сеанс связи с контроллером домена SQL по следующей причине: 
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. 
...<skipped>...

2. При входе под любым именем из зарегистрированных в AD (раздел журнала "приложения")

Код: Выделить всё

Тип события:	Ошибка
Источник события:	Userenv
Категория события:	Отсутствует
Код события:	1053
Дата:		27.04.2009
Время:		10:39:57
Пользователь:		NT AUTHORITY\SYSTEM
Компьютер:	TVK-NEW
Описание:
Не удалось определить имя пользователя или компьютера. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.
...<skipped>... 

При попытке выбора пользователя из AD при назначении прав на что-нибудь, новых ошибок в журнале не появляется, домена в соотвествующем окне -- тоже.

К сетевым папкам на доменом контроллере (типа C$) с этого сервера есть доступ? И вы сервер в домен заводили под абсолютно новым именем, а не под использовавшимся другим (пусть и удаленным) компьютером ранее?

1 - только через ввод имени/пароля в стандартном окне (требуется 1 раз и действует до перезагрузки контроллера домена вне зависимости от перезагрузок/перелогинов настраиваемого сервера)
2 - да
Доступ администраторам AD из домена к ресурсам налаживаемого сервера -- без вопросов.

А не администратором позволяет войти?

Да.

[DrEvil]

Ian
Ошибки говорят о проблемах в DNS (SRV записи, скорее всего), смотрите результаты DCDIAG/NETDIAG на контроллере домена. Желательно сами утилиты взять посвежее с сайта MS.

С этого сервера проверьте с помощью Nltest.exe, устанавливается ли безопасный канал связи с доменом. Проверьте также, что в AD во встроенной группе Users членствует группа Authenticated Users (Прошедшие проверку).

Служба W32Time берет время с доменного контроллера, не ругается на рассинхронизацию?

[MadA1ex]

Хм, а я делаю тупо. При первой загрузке винды, сразу ставлю дрова на сетевую карту. При первой загрузке вылазит окошко, типа что мы будем делать с сервером. Вот я с помощью автоматических средств и назначаю всякие роли для сервера. Тупо, но как грится дешево и сердито. А уже потом остальные драйвера. Управление сервером так же есть и в администрировании, если галочку сняли и закрыли после первого запуска. Там кстати и можно его сделать бэкап домен контроллером.

[DrEvil]

можно его сделать бэкап домен контроллером

Вот человеку еще только этой радости не хватало, ему бы для начала просто в домен ввести нормально. Чреватую возню с adprep оставим на крайний случай.

[Ian]

DrEvil, вы правы. там явно что-то не то с DNS на контроллере
DCDiag: все проходит, кроме

Код: Выделить всё

   Testing server: Default-First-Site-Name\TVK
      Starting test: Connectivity
         The host b1882617-026a-48c2-8c98-0227223896e7._msdcs.sql.regionopt could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name

         (b1882617-026a-48c2-8c98-0227223896e7._msdcs.sql.regionopt) couldn't

         be resolved, the server name (tvk.sql.regionopt) resolved to the IP

         address (192.168.0.3) and was pingable.  Check that the IP address is

         registered correctly with the DNS server. 
         ......................... TVK failed test Connectivity

NetDiag: все порходит, кроме

Код: Выделить всё

DNS test . . . . . . . . . . . . . : Failed
          [WARNING] Cannot find a primary authoritative DNS server for the name
            'tvk.sql.regionopt.'. [RCODE_SERVER_FAILURE]
            The name 'tvk.sql.regionopt.' may not be registered in DNS.
    [WARNING] The DNS entries for this DC are not registered correctly on DNS server '192.168.0.3'. Please wait for 30 minutes for DNS server replication.
    [FATAL] No DNS servers have the DNS records for this DC registered.

Также в журнале событий на контроллере вылазит следующее:

Код: Выделить всё

Event Type:	Error
Event Source:	DNS
Event Category:	None
Event ID:	4004
Date:		30.04.09
Time:		7:55:43
User:		N/A
Computer:	TVK
Description:
The DNS server was unable to complete directory service enumeration of zone regionopt.  
...<skipped>...

Код: Выделить всё

Event Type:	Warning
Event Source:	NETLOGON
Event Category:	None
Event ID:	5781
Date:		30.04.09
Time:		8:03:33
User:		N/A
Computer:	TVK
Description:
Dynamic registration or deletion of one or more DNS records associated with DNS domain 'sql.regionopt.' failed.  
...<skipped>...

Код: Выделить всё

Event Type:	Warning
Event Source:	LSASRV
Event Category:	SPNEGO (Negotiator) 
Event ID:	40961
Date:		30.04.09
Time:		9:14:19
User:		N/A
Computer:	TVK
Description:
The Security System could not establish a secured connection with the server DNS/prisoner.iana.org.
...<skipped>...

NLTest на подключаемом сервере возвращает:

Код: Выделить всё

Flags: 0
Trusted DC Name
Trusted DC Connection Status Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
The command completed successfully

Группа Authenticated Users там где надо членствует.

[DrEvil]

Event Source: DNS
Event Category: None
Event ID: 4004

Event Source: NETLOGON
Event Category: None
Event ID: 5781

Могут быть обьяснимы тем, что зона хранится в AD, и DNS сервер стартует тогда, когда AD еще недоступна. Лечится созданием зависимости службы DNS сервера от служб AD, ключ DependOnService в реестре, но это не срочно.

Пока открывайте файлик \Windows\System32\Config\Netlogon.dns, консоль сервера DNS и смотрите, все ли записи из Netlogon.dns есть в DNS физически. Учтите, что бардак мог возникнуть, например, из-за смены/добавления IP-адреса сервера. Если каких-то записей нет, то или делать их руками, или DCDIAG /fix. Фигово, что зону интегрировали в AD, ее теперь ни сбекапить полностью, ни восстановить в случае чего.

The Security System could not establish a secured connection with the server DNS/prisoner.iana.org.

А вот это любопытно. У вас создана корневая зона в DNS (.) или настроен форвардер, или вообще ничего не настроено?

[Ian]

DrEvil, а может лучше будет не чинить то, что ИМХО вот-вот развалится, а "с нуля" создать домен на "подопытном" сервере и вбить активных юзеров (их не так много), а на бывшем контроллере домена переставить систему и подключить его в новый домен рядовым сервером? Других серверов нет, домен используется исключительно для того, чтобы централизованно управлять пользователями (ибо текучка) и раздавать компам адреса через DHCP, а Интернет вообще раздается отдельной машиной с Линухом, которому этот самый доменный DNS в гробу привиделся...
Если такой вариант приемлем, что можно дельного почитать по этому поводу кроме хелпа от M$ и ихнего же учебного курса по администрированию AD (в котором написано абсолютно то же, что и в хелпе)? Чтобы настроить домен с минимумом глюков...

[DrEvil]

SRV записи надо чинить, ошибок там мало, иначе у вас вообще бы никто из клиентов не мог зайти. Что касается

создать домен на "подопытном" сервере и вбить активных юзеров

, то можно напороться на неприятные вещи, вроде слета всех разрешений на общие папки и файлы в них, или шифрования (если кто из VIP юзеров включил), а возиться с ActiveDirectory Migration Tool сплошной секс, на ЦД и кассетах.

Чтобы настроить домен с минимумом глюков...

Да ничего особенного не надо учитывать. Имя домена чтоб не однокомпонентное было, ну так это нынче везде небось большими буквами пишут. У вас ведь ни репликаций, ни Exchange, ни ISA нет. В идеале бы сервер DNS/DHCP вообще отдельным сделать, причем еще до создания домена, я сейчас так везде советую делать, но там есть свои неприятные нюансы.

[Ian]

DCDIAG/FIX не помог. Посмотрел я, что там творится в оснастке, и понял, что легче все-таки ставить сервер с нуля.
Там вообще не было прямой записи _msdcs.<домен> со всеми ее ветками и соответственно в прямой записи <имя_домена> тоже много чего не было... Короче, даже мне понятно: ужос-ужос-ужос... Огорченный ушел на праздники.

После праздников залил на сервер, который до того пытался ввести в домен, "чистый" image, который сделал сразу после установки системы, еще до экспериментов. Создал DC (он автоматом поднял DNS-сервер) и поднял DHCP.
При попытке добавления компов во вновь образованный домен, получил окно ошибки после ввода имени пользователя, имеющего право включать в домен: "При присоеднении к домену <имя> произошла следующая ошибка: указанный сервер не может выполнить требуемую операцию".
Для того, чтобы от этой ошибки избавится (Слава Гуглу!) и вводить компы в домен, пришлось отключить встроенный файрвол.

А теперь такой вопрос знающим людям: можно как-то настроить в этом самом встроенном убоище исключение, чтобы и компы в домен вводились, и оно работало? Или этот брандмауэр на сервере во внутренней сети вообще не нужен?

[DrEvil]

ожно как-то настроить в этом самом встроенном убоище исключение, чтобы и компы в домен вводились, и оно работало?

В AD используется RPC, а значит порты выделяются динамически. Их можно зафиксировать, но порт 135 все равно открыть придется, а все черви ломятся как раз через него. Да и тяпкой в реестре придется изрядно поработать. Не говоря о том, что придется создать порядка 30 исключений, в которых потом сам черт ногу сломит.