Windows 2003 SP2 и пользователи домена
-
- Старожил
- Сообщения: 1762
- Зарегистрирован: 01.01.1970 3:00
- Откуда: Россия, Курск-Москва
- Контактная информация:
Windows 2003 SP2 и пользователи домена
Выпросил у руководства новый сервер. Установил на него Windows 2003 R2 Standard (SP2), ввел в домен и -- жестоко обломился. Ибо не видит сервер юзеров из Active Directory, только локальных (выбираю в "размещение" -- там только локальный комп, домена не видно). Ради прикола поставил на тот же сервак пиратский Windows 2003 SP1 -- все нормально. Грешил на входящий во 2-й сервис пак SMP, сделал как велит http://support.microsoft.com/kb/948496/ но результата не получил, комп в домене присутствует (судя по показаниям оснастки "AD Users & Computers" на контроллере домена), залогиниться на новом сервере как пользователь, занесенный в AD, я могу -- но не более.
Что это может быть и в какую сторону мне рыть? Роелй на новом сервере пока не назначал (все настройки по умолчанию), контроллер домена -- Windows 2003 SP1, дышит на ладан, поэтому трогать я его побаиваюсь...
Что это может быть и в какую сторону мне рыть? Роелй на новом сервере пока не назначал (все настройки по умолчанию), контроллер домена -- Windows 2003 SP1, дышит на ладан, поэтому трогать я его побаиваюсь...
-
- Старожил
- Сообщения: 1762
- Зарегистрирован: 01.01.1970 3:00
- Откуда: Россия, Курск-Москва
- Контактная информация:
1. Устанавливаю систему. Сетевуху она (еще) не видит, поэтому никаких вопросов не задает.
2. Устанавливаю драйвера мамки, видео, сетевухи. Ставлю статический IP-адрес.
3. Панель управления -> Система -> закладка "Имя компьютера" -> кнопка "Изменить", ввожу комп в домен, при запросе имени пользователя и пароля ввожу имя и пароль администратора компа-контроллера домена. Перезагружаюсь.
4. Захожу в комп, как какой-либо пользователь AD с административными правами. Пытаюсь через "Общий доступ и безопасность" поставить разрешение на папку жесткого диска -- показывает ТОЛЬКО локальных пользователей. По кнопке "Размещение" в выборе пользователя домен недоступен (не виден, есть только имя локального компа).
Вот то, что творится на шаге 4 меня и не устраивает.
2. Устанавливаю драйвера мамки, видео, сетевухи. Ставлю статический IP-адрес.
3. Панель управления -> Система -> закладка "Имя компьютера" -> кнопка "Изменить", ввожу комп в домен, при запросе имени пользователя и пароля ввожу имя и пароль администратора компа-контроллера домена. Перезагружаюсь.
4. Захожу в комп, как какой-либо пользователь AD с административными правами. Пытаюсь через "Общий доступ и безопасность" поставить разрешение на папку жесткого диска -- показывает ТОЛЬКО локальных пользователей. По кнопке "Размещение" в выборе пользователя домен недоступен (не виден, есть только имя локального компа).
Вот то, что творится на шаге 4 меня и не устраивает.
-
- Администратор Judge Dredd
- Сообщения: 17062
- Зарегистрирован: 17.01.2003 11:52
- Контактная информация:
А какие ошибки пишутся в журнал на сервере и на доменном контроллере в этот момент (особенно с источником NETLOGON)?По кнопке "Размещение" в выборе пользователя домен недоступен (не виден, есть только имя локального компа).
К сетевым папкам на доменом контроллере (типа C$)с этого сервера есть доступ? И вы сервер в домен заводили под абсолютно новым именем, а не под использовавшимся другим (пусть и удаленным) компьютером ранее?
А не администратором позволяет войти?пользователь AD с административными правами
-
- Старожил
- Сообщения: 1762
- Зарегистрирован: 01.01.1970 3:00
- Откуда: Россия, Курск-Москва
- Контактная информация:
DrEvil писал(а):А какие ошибки пишутся в журнал на сервере и на доменном контроллере в этот момент (особенно с источником NETLOGON)?
На стороне контроллера домена -- ошибок в журнале нет.
На стороне обсуждаемого сервера, наблюдается следующее:
1. При загрузке ОС, ориентировочно во время первого появления окна "нажмите Ctrl-Alt-Del" (раздел журнала "система")
Код: Выделить всё
Тип события: Ошибка
Источник события: NETLOGON
Категория события: Отсутствует
Код события: 5719
Дата: 27.04.2009
Время: 9:13:32
Пользователь: Н/Д
Компьютер: TVK-NEW
Описание:
Компьютер не может установить безопасный сеанс связи с контроллером домена SQL по следующей причине:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
...<skipped>...
Код: Выделить всё
Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1053
Дата: 27.04.2009
Время: 10:39:57
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: TVK-NEW
Описание:
Не удалось определить имя пользователя или компьютера. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.
...<skipped>...
1 - только через ввод имени/пароля в стандартном окне (требуется 1 раз и действует до перезагрузки контроллера домена вне зависимости от перезагрузок/перелогинов настраиваемого сервера)DrEvil писал(а):К сетевым папкам на доменом контроллере (типа C$) с этого сервера есть доступ? И вы сервер в домен заводили под абсолютно новым именем, а не под использовавшимся другим (пусть и удаленным) компьютером ранее?
2 - да
Доступ администраторам AD из домена к ресурсам налаживаемого сервера -- без вопросов.
Да.DrEvil писал(а):А не администратором позволяет войти?
-
- Администратор Judge Dredd
- Сообщения: 17062
- Зарегистрирован: 17.01.2003 11:52
- Контактная информация:
Ian
Ошибки говорят о проблемах в DNS (SRV записи, скорее всего), смотрите результаты DCDIAG/NETDIAG на контроллере домена. Желательно сами утилиты взять посвежее с сайта MS.
С этого сервера проверьте с помощью Nltest.exe, устанавливается ли безопасный канал связи с доменом. Проверьте также, что в AD во встроенной группе Users членствует группа Authenticated Users (Прошедшие проверку).
Служба W32Time берет время с доменного контроллера, не ругается на рассинхронизацию?
Ошибки говорят о проблемах в DNS (SRV записи, скорее всего), смотрите результаты DCDIAG/NETDIAG на контроллере домена. Желательно сами утилиты взять посвежее с сайта MS.
С этого сервера проверьте с помощью Nltest.exe, устанавливается ли безопасный канал связи с доменом. Проверьте также, что в AD во встроенной группе Users членствует группа Authenticated Users (Прошедшие проверку).
Служба W32Time берет время с доменного контроллера, не ругается на рассинхронизацию?
Хм, а я делаю тупо. При первой загрузке винды, сразу ставлю дрова на сетевую карту. При первой загрузке вылазит окошко, типа что мы будем делать с сервером. Вот я с помощью автоматических средств и назначаю всякие роли для сервера. Тупо, но как грится дешево и сердито. А уже потом остальные драйвера. Управление сервером так же есть и в администрировании, если галочку сняли и закрыли после первого запуска. Там кстати и можно его сделать бэкап домен контроллером.
-
- Старожил
- Сообщения: 1762
- Зарегистрирован: 01.01.1970 3:00
- Откуда: Россия, Курск-Москва
- Контактная информация:
DrEvil, вы правы. там явно что-то не то с DNS на контроллере
DCDiag: все проходит, кроме
NetDiag: все порходит, кроме
Также в журнале событий на контроллере вылазит следующее:
NLTest на подключаемом сервере возвращает:
Группа Authenticated Users там где надо членствует.
DCDiag: все проходит, кроме
Код: Выделить всё
Testing server: Default-First-Site-Name\TVK
Starting test: Connectivity
The host b1882617-026a-48c2-8c98-0227223896e7._msdcs.sql.regionopt could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(b1882617-026a-48c2-8c98-0227223896e7._msdcs.sql.regionopt) couldn't
be resolved, the server name (tvk.sql.regionopt) resolved to the IP
address (192.168.0.3) and was pingable. Check that the IP address is
registered correctly with the DNS server.
......................... TVK failed test Connectivity
Код: Выделить всё
DNS test . . . . . . . . . . . . . : Failed
[WARNING] Cannot find a primary authoritative DNS server for the name
'tvk.sql.regionopt.'. [RCODE_SERVER_FAILURE]
The name 'tvk.sql.regionopt.' may not be registered in DNS.
[WARNING] The DNS entries for this DC are not registered correctly on DNS server '192.168.0.3'. Please wait for 30 minutes for DNS server replication.
[FATAL] No DNS servers have the DNS records for this DC registered.
Код: Выделить всё
Event Type: Error
Event Source: DNS
Event Category: None
Event ID: 4004
Date: 30.04.09
Time: 7:55:43
User: N/A
Computer: TVK
Description:
The DNS server was unable to complete directory service enumeration of zone regionopt.
...<skipped>...
Код: Выделить всё
Event Type: Warning
Event Source: NETLOGON
Event Category: None
Event ID: 5781
Date: 30.04.09
Time: 8:03:33
User: N/A
Computer: TVK
Description:
Dynamic registration or deletion of one or more DNS records associated with DNS domain 'sql.regionopt.' failed.
...<skipped>...
Код: Выделить всё
Event Type: Warning
Event Source: LSASRV
Event Category: SPNEGO (Negotiator)
Event ID: 40961
Date: 30.04.09
Time: 9:14:19
User: N/A
Computer: TVK
Description:
The Security System could not establish a secured connection with the server DNS/prisoner.iana.org.
...<skipped>...
Код: Выделить всё
Flags: 0
Trusted DC Name
Trusted DC Connection Status Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
The command completed successfully
-
- Администратор Judge Dredd
- Сообщения: 17062
- Зарегистрирован: 17.01.2003 11:52
- Контактная информация:
Event Source: DNS
Event Category: None
Event ID: 4004
Могут быть обьяснимы тем, что зона хранится в AD, и DNS сервер стартует тогда, когда AD еще недоступна. Лечится созданием зависимости службы DNS сервера от служб AD, ключ DependOnService в реестре, но это не срочно.Event Source: NETLOGON
Event Category: None
Event ID: 5781
Пока открывайте файлик \Windows\System32\Config\Netlogon.dns, консоль сервера DNS и смотрите, все ли записи из Netlogon.dns есть в DNS физически. Учтите, что бардак мог возникнуть, например, из-за смены/добавления IP-адреса сервера. Если каких-то записей нет, то или делать их руками, или DCDIAG /fix. Фигово, что зону интегрировали в AD, ее теперь ни сбекапить полностью, ни восстановить в случае чего.
А вот это любопытно. У вас создана корневая зона в DNS (.) или настроен форвардер, или вообще ничего не настроено?The Security System could not establish a secured connection with the server DNS/prisoner.iana.org.
-
- Старожил
- Сообщения: 1762
- Зарегистрирован: 01.01.1970 3:00
- Откуда: Россия, Курск-Москва
- Контактная информация:
DrEvil, а может лучше будет не чинить то, что ИМХО вот-вот развалится, а "с нуля" создать домен на "подопытном" сервере и вбить активных юзеров (их не так много), а на бывшем контроллере домена переставить систему и подключить его в новый домен рядовым сервером? Других серверов нет, домен используется исключительно для того, чтобы централизованно управлять пользователями (ибо текучка) и раздавать компам адреса через DHCP, а Интернет вообще раздается отдельной машиной с Линухом, которому этот самый доменный DNS в гробу привиделся...
Если такой вариант приемлем, что можно дельного почитать по этому поводу кроме хелпа от M$ и ихнего же учебного курса по администрированию AD (в котором написано абсолютно то же, что и в хелпе)? Чтобы настроить домен с минимумом глюков...
Если такой вариант приемлем, что можно дельного почитать по этому поводу кроме хелпа от M$ и ихнего же учебного курса по администрированию AD (в котором написано абсолютно то же, что и в хелпе)? Чтобы настроить домен с минимумом глюков...
-
- Администратор Judge Dredd
- Сообщения: 17062
- Зарегистрирован: 17.01.2003 11:52
- Контактная информация:
SRV записи надо чинить, ошибок там мало, иначе у вас вообще бы никто из клиентов не мог зайти. Что касается
, то можно напороться на неприятные вещи, вроде слета всех разрешений на общие папки и файлы в них, или шифрования (если кто из VIP юзеров включил), а возиться с ActiveDirectory Migration Tool сплошной секс, на ЦД и кассетах.создать домен на "подопытном" сервере и вбить активных юзеров
Да ничего особенного не надо учитывать. Имя домена чтоб не однокомпонентное было, ну так это нынче везде небось большими буквами пишут. У вас ведь ни репликаций, ни Exchange, ни ISA нет. В идеале бы сервер DNS/DHCP вообще отдельным сделать, причем еще до создания домена, я сейчас так везде советую делать, но там есть свои неприятные нюансы.Чтобы настроить домен с минимумом глюков...
-
- Старожил
- Сообщения: 1762
- Зарегистрирован: 01.01.1970 3:00
- Откуда: Россия, Курск-Москва
- Контактная информация:
DCDIAG/FIX не помог. Посмотрел я, что там творится в оснастке, и понял, что легче все-таки ставить сервер с нуля.
Там вообще не было прямой записи _msdcs.<домен> со всеми ее ветками и соответственно в прямой записи <имя_домена> тоже много чего не было... Короче, даже мне понятно: ужос-ужос-ужос... Огорченный ушел на праздники.
После праздников залил на сервер, который до того пытался ввести в домен, "чистый" image, который сделал сразу после установки системы, еще до экспериментов. Создал DC (он автоматом поднял DNS-сервер) и поднял DHCP.
При попытке добавления компов во вновь образованный домен, получил окно ошибки после ввода имени пользователя, имеющего право включать в домен: "При присоеднении к домену <имя> произошла следующая ошибка: указанный сервер не может выполнить требуемую операцию".
Для того, чтобы от этой ошибки избавится (Слава Гуглу!) и вводить компы в домен, пришлось отключить встроенный файрвол.
А теперь такой вопрос знающим людям: можно как-то настроить в этом самом встроенном убоище исключение, чтобы и компы в домен вводились, и оно работало? Или этот брандмауэр на сервере во внутренней сети вообще не нужен?
Там вообще не было прямой записи _msdcs.<домен> со всеми ее ветками и соответственно в прямой записи <имя_домена> тоже много чего не было... Короче, даже мне понятно: ужос-ужос-ужос... Огорченный ушел на праздники.
После праздников залил на сервер, который до того пытался ввести в домен, "чистый" image, который сделал сразу после установки системы, еще до экспериментов. Создал DC (он автоматом поднял DNS-сервер) и поднял DHCP.
При попытке добавления компов во вновь образованный домен, получил окно ошибки после ввода имени пользователя, имеющего право включать в домен: "При присоеднении к домену <имя> произошла следующая ошибка: указанный сервер не может выполнить требуемую операцию".
Для того, чтобы от этой ошибки избавится (Слава Гуглу!) и вводить компы в домен, пришлось отключить встроенный файрвол.
А теперь такой вопрос знающим людям: можно как-то настроить в этом самом встроенном убоище исключение, чтобы и компы в домен вводились, и оно работало? Или этот брандмауэр на сервере во внутренней сети вообще не нужен?
-
- Администратор Judge Dredd
- Сообщения: 17062
- Зарегистрирован: 17.01.2003 11:52
- Контактная информация:
В AD используется RPC, а значит порты выделяются динамически. Их можно зафиксировать, но порт 135 все равно открыть придется, а все черви ломятся как раз через него. Да и тяпкой в реестре придется изрядно поработать. Не говоря о том, что придется создать порядка 30 исключений, в которых потом сам черт ногу сломит.ожно как-то настроить в этом самом встроенном убоище исключение, чтобы и компы в домен вводились, и оно работало?