pavel1394 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору viberua Попробуй сделать следующие действия: Посмотри видят ли они друг друга по сетке Очистить базы данных Wins (всех) произвести принудительную репликацию. Очистить кеш сервера имен. Делаешь пока только на основном DNS сервере. Проверь записи зоны прямого просмотра.   У тебя должно быть 3 записи с типом "сервер имен" (если я правильно понял) с зачением "полным именем севера". 1 запись с типом "начальная зона" с значение "полное имя сервера, admin". 1 запись с типом "просмотр Wins" с указанием в значениях "ip всех wins серверов"   3 записи тип "узел" с указанием значения IP аресов. записи других машин нас пока не интересуют. Зоны интегрированы в AD? Если зоны интегрированы, то должно стоять динамическое обновление.   Везде должны быть настроены зоны обратного просмотра, в которых тоже должны присутствовать записи о всех серверах Wins и Dns. В свойствах самой зоны есть вкладка "Серверы имен" там должны быть прописаны все сервера имен (и в обратной зоне тоже). В свойствах самой зоны есть вкладка "Передача зон", если нету поставь галку "разрешить передачи зон" и "на любой сервер" (пока так, а дальше если захочешь по экспериментируешь ) (и в обратной зоне тоже). В свойствах самой зоны есть вкладка "Начальная запись зоны", в строке "Основной сервер" он должен быть указан, в строке "Ответственное лицо…." admin. (и в обратной зоне тоже). В свойствах самой зоны есть вкладка "wins" должна (или нет вопрос спорный, но на данный момент нужна) стоять галка "использовать прямой просмотр wins". В свойствах самого сервера есть вкладка "интерфейсы" поставь (если нет) "Прослушивать: по всем ip адресам", во вкладке "пересылка" галку "разрешить пересылку", во вкладке "корневые ссылки" укажи все сервера имен. На DHCP в параметрах области проверь параметр "006 DNS-серверы" должны идти в том порядке в котором ты хочешь, чтобы машины их запрашивали и "044 WINS/NBNS-серверы" должны идти в том порядке в котором ты хочешь, чтобы машины их запрашивали. В сайтах и службах проведи принудительную репликацию. На других серверах DNS перезапусти службу. По идее должны появиться точно такие же настройки, если нет проделай тоже самое с каждым.     P.S. 1-го DNS вполне хватит и для 200 машин и более. Всего записей: 50 | Зарегистр. 01-11-2006 | Отправлено: 22:39 03-05-2007

viberua Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору [q]По сетке они друг друга видят я могу зайти на их шары .... Базу данных Wins проверил, нашел ошибки - партнером репликаций в wins был старый сервер (aerolord) который нашатнулся и его не удалили корректно -  я точно не знаю что там с ним произошло и как они востанавливали домен - я еще тогда здесь не работал. Было вроде дело так - был главный сервер LANLORD там полетело железо - главным стал SWETLANA  потом отремонтировали LANLORD - поставили там новую систему и уже ввели его в домен как AEROLORD дали ему айпи 192.168.1.5 он снова через некоторое время упал вроде HDD посыпался. Его опять подчинили и снова в вели в сеть с именем LANLORD и дали айпи 192.168.1.3. Вот такая запутанная история. Теперь этот призрак AEROLORDA я еще нахожу в некоторых местах и пытаюсь откоректировать все записи. Удалил его оттуда и добавил другие сервера delta и lanlord. Кэш сервера имен очистил.   Зоны прямого просмотра проверил на главном сервере - там все записи в порядке, только включил еще в настройках WINS forward lookup. В начальной зоне SOA primary server указан правильно в ответственном лице написано hostmaster.domain.com. А вы как я понял говорите что там должно ответственное лицо быть Administrator? Зоны в AD интегрированы. Как я понял АD создавался с помощью мастера и там все настройки идут по умолчанию. Динамическое обновление вроде включено - все ок. Зоны обратного просмотра есть. И записи там корректные. Серверы имен прописаны правильно -тоже проверил . Передача зон осуществляется на любой сервер. В начально записи зоны в обратных зонах ответственное лицо опять же hostmaster хотя я смотрел такого пользователя в домене вообще нету. Видимо этот пользователь не пренадлижиты к пользователям которые существуют в AD. В настройках днс какие интерфейсы слушать - я выбрал там тоже только те адреса которые нужны. Мы перешли на статику, службу DHCP я еще не выключал - но вскоре сделаю это и все IP вбиваем в ручную. В сайтах и службах при попытке провести репликацию принудительно выдает ошибку, ругается на то что например не правильное имя LANLORD, например principial name is incorrect. В логах выскакивают ошибки по поводу репликации и там есть записи со старым сервером AEROLORD где эти записи еще искать я уже не знаю. В схемах смотрели - все записи стандартные.   Спасибо за советы. С нетерпением жду новых. Всего записей: 96 | Зарегистр. 16-12-2005 | Отправлено: 12:58 07-05-2007

pavel1394 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору viberua [ Цитата: Теперь этот призрак AEROLORDA я еще нахожу в некоторых местах   Это будет еще очень долго, да и посторайся пока не использовать сетевую карту этого сервера т.к. по mac адресу сетка его будет вспоминать. Лет 5 назад у нас контроллер накрылся и мы его правильно не вывели и не передали роли, он у нас до сих пор переодически всплывает сей час уже реже. Если вспомню то напишу наши действия. Одно помню, что сайт мелкософта нам тогда помог мало. К стати он будет переодически вставать в репликации сам. Цитата: Мы перешли на статику, службу DHCP я еще не выключал   зря он не помешает, переустановить службу да, а совсем отключать не стоит.     Добавлено: Вот нашел несколько ссылок правда в основном только на сайте мелкософта:   http://support.microsoft.com/kb/216498/ru - Удаление данных из Active Directory после неудачного понижения роли контроллера домена http://support.microsoft.com/kb/300684 - Сведения о настройке Windows для доменов с DNS-именем, состоящим из одной метки http://support.microsoft.com/kb/255504 - Использование средства Ntdsutil.exe для получения и передачи ролей FSMO контроллеру домена http://support.microsoft.com/kb/223787/ - Захват и передача ролей FSMO http://support.microsoft.com/kb/332199 - Принудительное понижение роли контроллеров домена с помощью мастера установки Active Directory в Windows Server 2003 или Windows 2000 Server выполняется неправильно http://www.cyberguru.ru/operating-systems/windows-admin/windows2000server-active-directory-6.html - Служба каталогов Active Directory в Windows 2000 Server Страница 6. Понижение контроллера домена Всего записей: 50 | Зарегистр. 01-11-2006 | Отправлено: 17:59 07-05-2007

pavel1394 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Попробуй понизить до рядовых и вывести из домена все DC кроме 192.168.1.2 и все DNS кроме 192.168.1.2. (такого кол-ва пользователей и такой ситуации этого вполне достаточно) и посмотри что будет ли продолжаться эта бадяга. Если она продолжается то еще раз пройдись по контроллеру и проверь все настройки.   Есть мнение №1, что машины пытаются искать и авторизоваться на несуществующем контроллере. Авторизовать не могут новые или уже проработавшие машины (не пользователи), или же именно пользователи (т.е. на одной машине всегда работал пользователь1, а пользователь2 ни разу не логинился, так вот если пользователь2 будет логиниться он зайдет или нет?).   Есть мнение №2, что проблема с доступами к папкам политик. Проверь доступы к папкам: \\имя сервера\SYSVOL , \\имя сервера \SYSVOL\имя сервера.local\Policies и к каждой папке в этой (должны быть следующие доступа: SYSTEM (full), Администраторы домена (full), Администраторы предприятия (full), Прошедшие проверку (чтение и выполнение, список содержимого папки, чтение), СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ).   Есть мнение №3, что мешает перекрестная политика (скорее всего именно это, т.к. эта штука всплывает если были проблемы с репликациями и пр. с DC такие как не корректное удаление ….) и из-за этого частенько бывает ошибка «1000» только в Win2k. Зайди AD пользователи и компьютеры, выбери контейнер с юзерами (которые не логиняться), правой клавишей «свойства» «групповая политика», далее сама политика «изменить», далее «конфигурация компьютера» «Параметры безопасности» «Назначение прав пользователя» и задать параметры в «Обход перекрестной проверки». Вот это надо делать только с теми контейнерами где юзеры не могут зайти, с остальными лучше не надо. Но еще раз повторюсь оставь пока только 1 контроллер домена, наладишь его потом поднимишь другие.   Да и по поводу Цитата: я точно не знаю что там с ним произошло и как они востанавливали домен - я еще тогда здесь не работал. Было вроде дело так - был главный сервер LANLORD там полетело железо - главным стал SWETLANA  потом отремонтировали LANLORD - поставили там новую систему и уже ввели его в домен как AEROLORD дали ему айпи 192.168.1.5 он снова через некоторое время упал вроде HDD посыпался. Его опять подчинили и снова в вели в сеть с именем LANLORD и дали айпи 192.168.1.3. Вот такая запутанная история. Теперь этот призрак AEROLORDA я еще нахожу в некоторых местах и пытаюсь откоректировать все записи смотри все записи в захороненных. От туда надо удалить. На сайте мелкософта удаление объектов я не нашел, зато это есть в книжке «Windows 2000 Active Directory» А.Н. Чекмарев,2001 издательство «БХВ-Петербург»,2001 на странице 251. Всего записей: 50 | Зарегистр. 01-11-2006 | Отправлено: 09:48 08-05-2007

viberua Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Понизить до рядового сервера меня уже идея посещала, только я не смогу понизить 192.168.0.3 - delta он у нас работает один удаленно. Если он перестанет работать как контроллер то все пользователи ломануться через невысокоскоростной канал к swetlan-е. Ну может на выходных попытаться стоит. Dhcp хорошая вообще штука но она тут изначально была неправильно сделана в корне. Я бы сделал привязку к МАК адресам но пока времени небыло. Надо сперва с основным разобраться. Доступ к папкам я проверил - вроде все нормально. По поводу перекресной политики я проверю, спасибо.   Книги у меня такой нету. Может есть где в электронном виде ?     В логах на ГК начали появлятся сообщения о дублицирующихся пользователях. Видимо какая-то репликация начинает проходить и сервер просто получает записи пользователей с других серверов которые создавались в ручную (типа вместо репликации) на lanlord и на delta в логах ошибки kerberos частенько встречаются c eventid 4 а также в логах directory service eventid 2042 и 1988. Всего записей: 96 | Зарегистр. 16-12-2005 | Отправлено: 13:54 08-05-2007

pavel1394 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: В логах на ГК начали появлятся сообщения о дублицирующихся пользователях. Видимо какая-то репликация начинает проходить и сервер просто получает записи пользователей с других серверов которые создавались в ручную (типа вместо репликации) на lanlord и на delta в логах ошибки kerberos частенько встречаются c eventid 4 а также в логах directory service eventid 2042 и 1988. Это и есть твоя 1 проблема, из-за этого и не работают юзеры. Т.к. Цитата: задать параметры в «Обход перекрестной проверки» обязательно задай т.к. машина до alt+ctrl+delete может получать данные о групповой политике на машину от одного сервера, а после попытке залогиниться запрос идет к другому и поэтому сертефикаты от kerberos разные и как результат Цитата: " Не удается подключится к домену потому, что он либо недоступен либо учетная запись не найдена... повторите попытку и т.д." Но только на тех контейнера в которых проблемные пользователи, другие не трогай!! Всего записей: 50 | Зарегистр. 01-11-2006 | Отправлено: 14:14 08-05-2007

viberua Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Понял, но дело в том что kerberos ругается не на пользователей и их клиенстких машин, а ругается один сервак на другого - например на lanlord выскакивает такая ошибка:   The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/swetlana.domain.com.  The target name used was DOMAIN\SWETLANA$. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named  machine accounts in the target realm (DOMAIN.COM), and the client realm.   Please contact your system administrator.   я уже сбрасывал пароли(лицензии) в керберос так как это было указано в интернете но что то ничего не помогло.     И скажите еще одно если я перегружу swetlana который является GC и PDC то другой сервер в это время не перехватит на себя все эти права ? Поэтому я с легкостью перегружаю delta и lanlord если я провожу там изменения. А c swetlana даже не знаю как быть. Всего записей: 96 | Зарегистр. 16-12-2005 | Отправлено: 14:33 08-05-2007

pavel1394 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: а ругается один сервак на другого - например на lanlord выскакивает такая ошибка:   А сервак наверно тоже под какой-то учеткой грузится?   Добавлено: Цитата: И скажите еще одно если я перегружу swetlana который является GC и PDC то другой сервер в это время не перехватит на себя все эти права   Да если на том сервке это есть. Например хранителем глобального католога может быть не один сервер. Всего записей: 50 | Зарегистр. 01-11-2006 | Отправлено: 14:55 08-05-2007

viberua Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору нет конечно,  он загружается и появляется окошко ctrl-alt-delete и все. Т.е. там где-то ошибка взаимодействия серверов не как пользователей а как контроллеров домена. Всего записей: 96 | Зарегистр. 16-12-2005 | Отправлено: 15:02 08-05-2007

viberua Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору да это я уже провел - теперь время работает синхронно Всего записей: 96 | Зарегистр. 16-12-2005 | Отправлено: 15:16 08-05-2007

pavel1394 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: он загружается и появляется окошко ctrl-alt-delete и все. Он, что ни под одной учеткой не загружается? Всего записей: 50 | Зарегистр. 01-11-2006 | Отправлено: 17:46 08-05-2007

viberua Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ну почему не загружается, загружается он скорее всего как Админ, но как я это могу проверить. Я знаю то, что после того как сервак загрузится то он включен в режиме ожидания ввода логина и пароля. Но тем неменее при загрузке, он скорее всего связывается с другими серверами  под определенной учётной записью. Всего записей: 96 | Зарегистр. 16-12-2005 | Отправлено: 10:04 10-05-2007

pavel1394 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору viberua Если честно я не совсем понял Цитата: Ну почему не загружается, загружается он скорее всего как Админ, но как я это могу проверить. Я знаю то, что после того как сервак загрузится то он включен в режиме ожидания ввода логина и пароля. Но тем неменее при загрузке, он скорее всего связывается с другими серверами  под определенной учётной записью. С другими серверами он взаимодействовать начинает еще сразу по мере загрузки соответствующих служб, т.е. задолго до появления alt-ctrl-del, а загрузка пользователя того или иного означает кто и с какими правами будет им управлять + запуск дополнительных ресурсов. Всего записей: 50 | Зарегистр. 01-11-2006 | Отправлено: 10:39 10-05-2007

viberua Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Привет. Я планирую сделать вот что: сначала вывести lanlord из контроллеров, пересадить на нем систему и добавить его к домену, посмотреть пойдет ли репликация с swetlana - если да то сделать его PDC, мастером схемы, мастером dns имен, ГК и т.п. Ну чтобы он стал главным, т.е. передать права со светланы на него.Потом пресобрать delta и тоже переподключить в домен, а в конце swetlana вывести из домена и заново подгрузить. Надеюсь поможет.Я правда еще не совсем понимаю как права передавать от одного, другому серваку.     Обязательно ли нужны динамические обновления в ДНС ?   Если в сети 200 или 300 машин и их имена или айпишники меняются не так уж часто  - то неужели нельзя добавлять записи в ручную? И можно ли включить динамическое обновление ДНС позже -если буду затруднения с добавлением данных ?     на моих ДНС серверах от таких динамических обновлений было очень много мусора старых записей например pc.mydomain.com имеет адрес 192.168.1.5 а еще с этим айпишником есть запись pcda.mydomain.com или pc.mydomain.com принадлежит еще адрес 192.168.1.25   Можно ли реплицировать не только данные относящиеся к AD но и например файлы и папки ? Т.е.  я хочу чтобы копия определенной папки была на другом серваке всегда в актуальном состоянии, или ну хотябы раз в сутки чтобы синхронизировалась или просто с главного копировалась на дублирующий сервер? Всего записей: 96 | Зарегистр. 16-12-2005 | Отправлено: 18:47 14-05-2007

pavel1394 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Я планирую сделать вот что: сначала вывести lanlord из контроллеров, пересадить на нем систему и добавить его к домену, посмотреть пойдет ли репликация с swetlana - если да то сделать его PDC, мастером схемы, мастером dns имен, ГК и т.п. Ну чтобы он стал главным, т.е. передать права со светланы на него.Потом пресобрать delta и тоже переподключить в домен, а в конце swetlana вывести из домена и заново подгрузить. Надеюсь поможет.Я правда еще не совсем понимаю как права передавать от одного, другому серваку Это сильно не поможет, самое большее избавишься от мелких ошибок, а старые и удаленные записи будут передоваться в месте с ролями. Зато получишь большой гимморой.   Цитата: Обязательно ли нужны динамические обновления в ДНС ? Нет необязательно. Цитата: И можно ли включить динамическое обновление ДНС позже   Да. Цитата: я хочу чтобы копия определенной папки была на другом серваке всегда в актуальном состоянии А простая архивация не пдойдет? Всего записей: 50 | Зарегистр. 01-11-2006 | Отправлено: 22:13 14-05-2007

viberua Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Простая архивация не знаю даже - может и пойдет. Мне нужно чтобы работало как зеркало фтп. Но это уже второстепенная задача.   Цитата: Это сильно не поможет, самое большее избавишься от мелких ошибок, а старые и удаленные записи будут передоваться в месте с ролями. Зато получишь большой гимморой.     А как я могу начать все сначала? У меня ведь есть пользователи, их данные хранятся кое как в существующем каталоге, кроме того их папки с профилями Documents and settings хранятся на их компьютерах. Я допустим создам все с нуля - новый domain.com подобавляю туда контроллеры доменов и начну создавать пользователей вручную. Далее когда они начнут  входить в домен то они будут пользовать профиль старый? например user.DOMAIN или будут создавать новый профиль и новую папку в которой все эти профили будут хранится например user.DOMAIN00.     Я просто уже столкнулся с такой проблеммой - в Active directory Computers and Users рядом возле учетной записи например user появлялась запись (видимо при попытках репликации) например, user;&%fa12ace и т.п. и пользователь user который попытался войти в домен увидел на своем рабочем столе пустоту - просто создалась папка user.DOMAIN00 или user.DOMAIN01 и создался как бы новый профиль.   Не столкнусь ли я с той же проблеммой когда буду создавать домен заново и заново заводить там пользователей? Подхватят ли они свои профили и учётные записи на компьютерах и будут ли работать как и работали раньше?   Если такая проблемма будет, то как мне сделать все с начала не принося ущерб в работе компании ? Всего записей: 96 | Зарегистр. 16-12-2005 | Отправлено: 15:14 15-05-2007

viberua Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Доброго времени суток всем. Пишу снова в эту же тему. Потому, что проблема моя и название темы и самой проблемы что была описана ранее вытекает из той проблемы о которой я сейчас напишу.   Как оказалось все совсем не хорошо. Контроллеры не реплицируются. Время их репликации истекло уже давно более 60 дней. Подозрения на главный контроллер который есть мастером всех ролей, ГК и т.д. . Мне кажется там просто нужна переустановка системы.   Проблема вот в чём. Для того, чтобы сохранить всех польлзователей и группы и организационные подразделения которые почти в полной мере хранятся на ГК я должен как-то их перенести на другой нормально работающий сервер. Я попытался добавить контроллер домена в домен. Но я не смог добавить новый контроллер на котором стоит 2003 R2 SP2 rus standart edition. Ругается на то, что лес не готов принять этот сервер. Предлагает подготовить лес с помощью утилиты adprep. Я почитал про эту утилиту. Она может помочь в случае если домен работает и реплицируется нормально - что в моем случае абсолютно противоположно. Есть подозрения может это он с SP2 такую ошибку выдает? может кто пробовал ? В сети контроллеры все на 2003 винде правда английская версия и SP1. И возможно не standart а enterprise версия - но мне кажется это не принципиально. Домен работает в режиме 2000 native.     Попытался удалить один из доменов чтобы переустановить на нем систему- но к сожалению dcpromo кроме как с ключиком /forceremooval работать не хотит.   Получается удалить нормально не могу, добавить нормально тоже не могу  и пока не знаю как. Да и не извесно начнется ли репликация на новый контроллер или там уже клиника.   Если репликация не возможна, то как мне востановить всех пользователей и групы. Если я допустим создам домен заново?     Спасибо! Всего записей: 96 | Зарегистр. 16-12-2005 | Отправлено: 11:43 20-06-2007

viberua Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Все получилось.   На двух дополнительных контроллерах принудительно понизил их до сервера, потом с помощью ntdsutil почистил их записи на swetlanе, и также почистил в сайтах и сервисах, и в днсах. Потом заново их повысил до контроллеров домена и все реплицируется. Уже сутки! У кого похожая проблема - удачи.   Надеюсь теперь всё пойдет как надо.   Всем кто писал мне в пост огромное спасибо - полюбому каждый сделал вклад в мой труд.   Думаю тема закрыта. Всего записей: 96 | Зарегистр. 16-12-2005 | Отправлено: 18:48 21-06-2007

Mushroomer Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору viberua Цитата: The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/swetlana.domain.com.  The target name used was DOMAIN\SWETLANA$. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named  machine accounts in the target realm (DOMAIN.COM), and the client realm.   Please contact your system administrator.   У меня такое сообщение было, когда в DNS один IP был выдан двум разным компьютерам. Удалил ненужный - все пришло в норму и сообщение изчезло. Всего записей: 22844 | Зарегистр. 19-01-2002 | Отправлено: 12:26 25-01-2008

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Проблема входа компьютера в домен

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование