Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Пользователи не могут логиниться в домен Win2000 srv

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

Alan Mon

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ситуация в следующем. Имеется домен Company.local и удаленный филиал, в котором поднят Child.Company.local. В филиале стоит DC, который не является сервером глобального каталога. Домены в Native mode. Связь между доменами ADSL. Так вот при недоступности GC головного офиса пользователи не могут залогиниться в дочерний домен.
 
Прочитал на MS про ключ IgnoreGCFailures. Прописал его на дочернем DC, разрулил контроллеры по сайтам, но все равно не работает. Логиниться может только администратор. В чем я не прав?
Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 13:09 07-09-2004
Alan Mon

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не сочтите за подъем темы, но в ходе экспериментов появилась новая информация.
При недоступности родительского DC (который является GC) на компьютеры филиала могут логиниться пользователи родительского домена (из кеша). Пользователи дочернего домена получают сообщение о неправильности имени или пароля.
Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 12:52 08-09-2004
TomAlex

Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Не сталкивался, но я бы поиграл параметрами "медленного соединения" в политике домена и вариантами логина при обнаружении такого соединения.
Всего записей: 43 | Зарегистр. 07-09-2004 | Отправлено: 21:26 08-09-2004
Alan Mon

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TomAlex
Может я чего пропустил, но все политики, имеющие отношение к "медленным соединениям" влияют на обработку перемещаемых профилей. У меня таких нет. Есть еще идеи?
Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 10:33 09-09-2004
TomAlex

Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Alan Mon
Да, ты прав. Там была строка по поводу применения отдельных политик при медленном соединении, но я проверил, все они относятся к перемещаемым профилям.
Идеи?
Ну, вот еще: User configuration -- Administrative -- System -- Group policy -- Group policy domain controller selection
Если не указано, что "с любого", то требует доступности PDC Operation master.
 
Но странно, странно... AD ведь все равно должна быть доступна, и списой пользователей, и пароли...
 
Добавлено
О! Нашел!
Цитировать все долго, суть:
"Если сервер глобального каталога оказывается недоступным, контроллер домена, осуществляющего аутентификацию, не будет располагать данными для авторизации пользователей. Исключение составляют члены группы Администраторы Домена"
И далее:
"Тем не менее, любой  DC может быть сконфигурирован как GC... Например, чтобы снизить нагрузку на медленные линии связи, принято устанавливать как минимум по одному серверу GC для каждого узла."
 
Enjoy!
Всего записей: 43 | Зарегистр. 07-09-2004 | Отправлено: 13:19 09-09-2004 | Исправлено: TomAlex, 13:30 09-09-2004
Alan Mon

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А ссылку можешь дать, где ты это вычитал?
Потому что у меня другая информация, причем по обоим пунктам.
Вот это по первому пункту.
А по второму я читал наоборот, чтобы уменьшить траффик, не надо ставить глобальный каталог в каждом сайте. Ссылку, правда, сходу не найду.
Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 16:57 09-09-2004
TomAlex

Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Ну, по первому пункту -- я уже успел прочитать, как только ты упомянул ключ IgnoreGCFailures. Мне не нравится то, что это относится только к Windows 2000 Server, а у меня сеть уже давно смешанная (2000-2003), и еще фраза: Windows 2000 provides this key for diagnostic purposes. -- не факт что будет работать.
 
Два GC не уменьшают траффик; по словам Микрософт, один GC нужен: "... to reduce administrative intervention, hardware requirements, and other related overhead..."
Если четко расписать репликацию, то траффик будет не больше, чем при входе пользователей в сеть. Имхо, одной автоматической репликацией в сутки можно обойтись. А если я вношу какие крупные изменения в АД, то мне не в лом реплицировать и в ручную.
 
Автор строк, что я цитировал -- Чекмарев. Windows Server 2003 в подлиннике., Bhv-Петербург, 2004, часть V, глава 18, стр 819. Ссылок на оригиналы источников он, естественно, не приводит, якобы, все сам написал :/
Всего записей: 43 | Зарегистр. 07-09-2004 | Отправлено: 17:29 09-09-2004
Alan Mon

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ладно. Устал я с этим бороться. Сделаю второй DC GC и черт с ним.
Просто я про этот ключик уже очень много в инете прочитал и везде пишут, что он работает. Сам Microsoft рекомендует для small branch offices не ставить туда GC, а пользоваться именно таким способом. А у меня почему-то не работает.
Все. Тема закрыта, всем спасибо, все свободны
 
P.S.
Слушай, а ты терминалами случаем не пользуешься? А то я тут поднимал вопрос, да толком никто не ответил. Снова поднимать тему не хочется. Загляни если что
Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 18:18 09-09-2004
Alan Mon

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я нашел ответ на вопрос, почему у меня не работает ключ IgnoreGCFailures.
Как выяснилось, эта штука работает только в случае ОДНОГО домена:
 

Цитата:
In a multi-domain environment, global catalog servers are required to process a user logon request. If there is no global catalog server in the site, the domain controller in the site has to contact a global catalog server in the hub site to retrieve universal group information. This creates two issues: 1) if the WAN is not avail the logon fails and 2) if the WAN is available, additional network traffic is needed between the branch and the hub. If it is mandatory that users log on at all times, then you must deploy a global catalog server to the site.  

 
Информация почерпнута отсюда . Точнее, Chapter 2.
Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 17:02 17-09-2004
zx12r



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Поднимаю тему.  
 
Возникла такая же ситуация. Домены Win 2003 основной режим.
 
На обоих включил глобальный каталог. Однако не помогло, и пользователи дочернего домена не могли весь день залогиниться из-за отсутсвия связи.
 
Затем провел эксперимент. Создал ещё один тестовый дочерний домен и на нем включил глобальный каталог и ещё кэширование универсальных групп (вроде так звучит),
 
отключил этот домен от родительского и пользователи могут логиниться... но у меня нет универсальных групп. в чем дело?  
 
з.ы.
 
вот нашёл
------------
<a "http://www.fcenter.ru/forprint.shtml?online/articles/software/os/13024" target=_blank> Здесь написано</a> что "когда сотрудник удаленного офиса хочет войти в сеть, система провести регистрацию пользователя в сети и создать его контекст безопасности. Для этого ей необходимо узнать, в какие группы входит пользователь. Узнать о локальных и глобальных группах Windows 2000 может на своем ближайшем контроллере, но по устройству сети, глобальный каталог находится в головном офисе. Проверить членство пользователя в универсальных группах можно только, сделав запрос к глобальному каталогу. Поэтому на момент регистрации необходимо послать запрос в головной офис. Если связь оборвана и глобальный каталог не доступен, то пользователю будет отказано в регистрации (по умолчанию в этой ситуации). Если в реестре поставить значение "игнорировать ошибки, связанные с членством в универсальных группах", в системе безопасности образуется дыра.
 
Windows Server 2003 предлагает механизм кэширования универсальных групп. Теперь требуется подключение к глобальному каталогу только при самой первой регистрации пользователя. Эти группы попадают на контроллер и там сохраняются. Каждая последующая регистрация пользователя не потребует обращения, потому что членство в универсальных группах уже известно. При этом кэширование информации определенным образом обновляется: через условленные промежутки времени информация глобального каталога запрашивается для обновления информации о членстве пользователей в универсальных группах."
--------
 
Т.е. получается независимо от того, входит пользователь в универсальную группу или нет, системе нужно это проверить. Таким образом включение кэширования членства в универсальных группах решило проблему?
 
Но почему же не помогало включение глобального каталога на дочернем домене, ведь там же содержиться информация об универсальных группах?
Всего записей: 74 | Зарегистр. 16-02-2007 | Отправлено: 14:45 02-06-2007
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Пользователи не могут логиниться в домен Win2000 srv


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru