IA64 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору На работе стоит сервак под W2K+SP4. Подняты AD, DNS, DFS. В серваке 3 сетевых – две в локальную сеть (две разных подсети) и одна наружу в инет.   Проьлема следующего плана. После настройки роутинга и NAT для доступа в инет, в одной подсети начались проблемы с применением групповых политик. Вход в AD выполняется без проблем, но групповые политики не применяются и при попытке задать список доступа для какого-нибудь объекта файловой системы – выдается сообщение об ощибке (при формировании списка доступных пользователей и групп пользователей которые загружаются с контроллера домена). В другой подсети все работает нормально.     По отчетам выяснил следующее – на проблемных машинах с некоторой периодичностью возникают такие сообщения об ошибке:     1006 - Windows cannot bind to <domain name> domain. (Invalid Credentials). Group Policy processing aborted.     1003 -Windows cannot query for the list of Group Policy objects. A message that describes the reason for this was previously logged by the policy engine. По датам, оказалось эти  ошибки начали появляться с момента настройки NAT на серваке. Какую еще информацию надо предоставить?   Очень нужна ваша помощь! Название исправлено в соответствии с п. 2.4 правил. lynx. Всего записей: 14 | Зарегистр. 06-05-2004 | Отправлено: 20:16 11-09-2004 | Исправлено: lynx, 22:28 11-09-2004

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Во-первых, multihomed (несколько сетевых интерфейсов или протоколов, или и то и другое) контроллеры домена -- очень плохая идея. Чревато и не рекомендовано. Во-вторых, давай сюда конфигурацию сети: `route print`, `ipconfig /all` на сервере. Также вывод команды dcdiag там же. На каких интерфейсах слушает DNS? На каких соединениях запрещен "File and Printer Sharing"? Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 01:04 12-09-2004

IA64 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Комментарии к отчетам.   Локальные подсети 10.0.0.0 и 10.0.1.0. Проблемы возникают в подсети 10.0.1.0.   Внешняя подсеть 10.0.2.0 выходит сразу на линуксовый сервак, на котором подняты маскарадинг и форвардинг и фильтрация пакетов из внешней сети 192.168.1.0.   "File and Printer Sharing" активирована на всех интерфейсах (хотя наверное на внешнем 10.0.2.0 она совсем не нужна)   IP адреса прописаны на всех машинах статически.   Служба времени на серваке временно остановлена. Сбор системной информации выполнятся после перезагрузки сервака, поэтому на некоторых интерфейсах статистика показала ноль переданных-полученых пакетов .   Далее привожу логи Start Dcdiag ****************************************************************** Код:   Domain Controller Diagnosis   Performing initial setup:    * Verifying that the local machine School3server, is a DC.      * Connecting to directory service on server School3server.    * Collecting site info.    * Identifying all servers.    * Found 1 DC(s). Testing 1 of them.    Done gathering initial info.   Doing initial required tests        Testing server: Default-First-Site-Name\SCHOOL3SERVER       Starting test: Connectivity          * Active Directory LDAP Services Check          * Active Directory RPC Services Check          ......................... SCHOOL3SERVER passed test Connectivity   Doing primary tests        Testing server: Default-First-Site-Name\SCHOOL3SERVER       Starting test: Replications          * Replications Check          ......................... SCHOOL3SERVER passed test Replications       Test omitted by user request: Topology       Test omitted by user request: CutoffServers       Starting test: NCSecDesc          * Security Permissions Check for            CN=Schema,CN=Configuration,DC=school3,DC=local          * Security Permissions Check for            CN=Configuration,DC=school3,DC=local          * Security Permissions Check for            DC=school3,DC=local          ......................... SCHOOL3SERVER passed test NCSecDesc       Starting test: NetLogons          * Network Logons Privileges Check          ......................... SCHOOL3SERVER passed test NetLogons       Starting test: Advertising          The DC SCHOOL3SERVER is advertising itself as a DC and having a DS.          The DC SCHOOL3SERVER is advertising as an LDAP server          The DC SCHOOL3SERVER is advertising as having a writeable directory          The DC SCHOOL3SERVER is advertising as a Key Distribution Center          Warning: SCHOOL3SERVER is not advertising as a time server.          The DS SCHOOL3SERVER is advertising as a GC.          ......................... SCHOOL3SERVER failed test Advertising       Starting test: KnowsOfRoleHolders          Role Schema Owner = CN=NTDS Settings,CN=SCHOOL3SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=school3,DC=local          Role Domain Owner = CN=NTDS Settings,CN=SCHOOL3SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=school3,DC=local          Role PDC Owner = CN=NTDS Settings,CN=SCHOOL3SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=school3,DC=local          Role Rid Owner = CN=NTDS Settings,CN=SCHOOL3SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=school3,DC=local          Role Infrastructure Update Owner = CN=NTDS Settings,CN=SCHOOL3SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=school3,DC=local          ......................... SCHOOL3SERVER passed test KnowsOfRoleHolders       Starting test: RidManager          * Available RID Pool for the Domain is 1602 to 1073741823          * School3server.school3.local is the RID Master          * DsBind with RID Master was successful          * rIDAllocationPool is 1102 to 1601          * rIDNextRID: 1175          * rIDPreviousAllocationPool is 1102 to 1601          ......................... SCHOOL3SERVER passed test RidManager       Starting test: MachineAccount          * SPN found :LDAP/School3server.school3.local/school3.local          * SPN found :LDAP/School3server.school3.local          * SPN found :LDAP/SCHOOL3SERVER          * SPN found :LDAP/School3server.school3.local/SCHOOL3          * SPN found :LDAP/75ebeddd-e437-44a9-980c-22038d4f4d1a._msdcs.school3.local          * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/75ebeddd-e437-44a9-980c-22038d4f4d1a/school3.local          * SPN found :HOST/School3server.school3.local/school3.local          * SPN found :HOST/School3server.school3.local          * SPN found :HOST/SCHOOL3SERVER          * SPN found :HOST/School3server.school3.local/SCHOOL3          * SPN found :GC/School3server.school3.local/school3.local          ......................... SCHOOL3SERVER passed test MachineAccount       Starting test: Services          * Checking Service: Dnscache          * Checking Service: NtFrs          * Checking Service: IsmServ          * Checking Service: kdc          * Checking Service: SamSs          * Checking Service: LanmanServer          * Checking Service: LanmanWorkstation          * Checking Service: RpcSs          * Checking Service: RPCLOCATOR          * Checking Service: w32time             w32time Service is stopped on [SCHOOL3SERVER]          * Checking Service: TrkWks          * Checking Service: TrkSvr          * Checking Service: NETLOGON          ......................... SCHOOL3SERVER failed test Services       Test omitted by user request: OutboundSecureChannels       Starting test: ObjectsReplicated          SCHOOL3SERVER is in domain DC=school3,DC=local          Checking for CN=SCHOOL3SERVER,OU=Domain Controllers,DC=school3,DC=local in domain DC=school3,DC=local on 1 servers             Object is up-to-date on all servers.          Checking for CN=NTDS Settings,CN=SCHOOL3SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=school3,DC=local in domain CN=Configuration,DC=school3,DC=local on 1 servers             Object is up-to-date on all servers.          ......................... SCHOOL3SERVER passed test ObjectsReplicated       Starting test: frssysvol          * The File Replication Service Event log test          The SYSVOL has been shared, and the AD is no longer          prevented from starting by the File Replication Service.          ......................... SCHOOL3SERVER passed test frssysvol       Starting test: kccevent          * The KCC Event log test          Found no KCC errors in Directory Service Event log in the last 15 minutes.          ......................... SCHOOL3SERVER passed test kccevent       Starting test: systemlog          * The System Event log test          An Error Event occured.  EventID: 0x00004E8A             Time Generated: 09/12/2004   11:47:29             (Event String could not be retrieved)          ......................... SCHOOL3SERVER failed test systemlog        Running enterprise tests on : school3.local       Starting test: Intersite          Skipping site Default-First-Site-Name, this site is outside the scope            provided by the command line arguments provided.            ......................... school3.local passed test Intersite       Starting test: FsmoCheck          GC Name: \\School3server.school3.local          Locator Flags: 0xe00001bd          PDC Name: \\School3server.school3.local          Locator Flags: 0xe00001bd          Warning: DcGetDcName(TIME_SERVER) call failed, error 1355          A Time Server could not be located.          The server holding the PDC role is down.          Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1355          A Good Time Server could not be located.          KDC Name: \\School3server.school3.local          Locator Flags: 0xe00001bd          ......................... school3.local failed test FsmoCheck   end Dcdiag ******************************************************************   start Route print ************************************************************** Код:   Список интерфейсов 0x1 ........................... MS TCP Loopback interface 0x1000003 ...00 50 fc b4 e6 b1 ...... Realtek 8139-series PCI NIC                                                       0x1000004 ...00 0d 61 2d 24 f1 ...... Realtek 8139-series PCI NIC                                                       0x1000005 ...00 01 02 fd 32 29 ...... 3Com EtherLink PCI ------------------------------------------------------------------------------------------------ Активные маршруты: Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика           0.0.0.0          0.0.0.0         10.0.2.2        10.0.2.1  1          10.0.0.0    255.255.255.0         10.0.0.1        10.0.0.1  1          10.0.0.1  255.255.255.255        127.0.0.1       127.0.0.1  1          10.0.1.0    255.255.255.0         10.0.1.1        10.0.1.1  1          10.0.1.1  255.255.255.255        127.0.0.1       127.0.0.1  1          10.0.2.0    255.255.255.0         10.0.2.1        10.0.2.1  1          10.0.2.1  255.255.255.255        127.0.0.1       127.0.0.1  1    10.255.255.255  255.255.255.255         10.0.0.1        10.0.0.1  1    10.255.255.255  255.255.255.255         10.0.1.1        10.0.1.1  1    10.255.255.255  255.255.255.255         10.0.2.1        10.0.2.1  1         127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1  1         224.0.0.0        224.0.0.0         10.0.0.1        10.0.0.1  1         224.0.0.0        224.0.0.0         10.0.1.1        10.0.1.1  1         224.0.0.0        224.0.0.0         10.0.2.1        10.0.2.1  1   255.255.255.255  255.255.255.255         10.0.2.1        10.0.2.1  1 Основной шлюз:            10.0.2.2 ------------------------------------------------------------------------------------------------ Постоянные маршруты:   Отсутствует   end Route print **************************************************************   start Ipconfig print ************************************************************* Код:   Настройка протокола IP для Windows 2000 Имя компьютера  . . . . . . . . . : School3server Основной DNS суффикс  . . . . . . : school3.local Тип узла  . . . . . . . . . . . . : Широковещательный Включена IP-маршрутизация . . . . : Да Доверенный WINS-сервер  . . . . . : Нет Порядок просмотра суффиксов DNS . : school3.local   Адаптер Ethernet Учебная подсеть: DNS суффикс этого подключения . . :   Описание  . . . . . . . . . . . . : 3Com EtherLink 10/100 PCI Физический адрес. . . . . . . . . : 00-01-02-FD-32-29 DHCP разрешен . . . . . . . . . . : Нет IP-адрес  . . . . . . . . . . . . : 10.0.0.1 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . :   DNS-серверы . . . . . . . . . . . : 10.0.0.1   Адаптер Ethernet Администр. подсеть: DNS суффикс этого подключения . . :   Описание  . . . . . . . . . . . . : Realtek RTL8139/810X Family PCI Fast Ethernet NIC Физический адрес. . . . . . . . . : 00-0D-61-2D-24-F1 DHCP разрешен . . . . . . . . . . : Нет IP-адрес  . . . . . . . . . . . . : 10.0.1.1 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . :   DNS-серверы . . . . . . . . . . . : 10.0.1.1   Адаптер Ethernet Интернет: DNS суффикс этого подключения . . :   Описание  . . . . . . . . . . . . : ђфряІхЁ Realtek RTL8139(A) PCI Fast Ethernet #2 Физический адрес. . . . . . . . . : 00-50-FC-B4-E6-B1 DHCP разрешен . . . . . . . . . . : Нет IP-адрес  . . . . . . . . . . . . : 10.0.2.1 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 10.0.2.2 DNS-серверы . . . . . . . . . . . : 127.0.0.1    end Ipconfig print ************************************************************** В отчетах NetDiag около 20 страниц. Какой именно раздел нужен? Всего записей: 14 | Зарегистр. 06-05-2004 | Отправлено: 15:52 12-09-2004

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Непонятно, пытался ли ты поднять NAT на контроллере домена, или речь все же идет о сервере с линуксом. Если ты писал про линукс, то это никак не может вызвать твои проблемы. А вот использование CIDR маршрутизации на сервере с Windows -- может. Цитата:    10.255.255.255  255.255.255.255         10.0.0.1        10.0.0.1  1      10.255.255.255  255.255.255.255         10.0.1.1        10.0.1.1  1      10.255.255.255  255.255.255.255         10.0.2.1        10.0.2.1  1   Смотри, вместо 10.0.{0,1,2}.255, как должно быть в соответвии с CIDR, в качестве широковещательного адреса настроен единственный 10.255.255.255 для всех трех сетей. Откуда взялся этот адрес? А он взялся из класса сетей -- "A". Смешивание классической классовой маршрутизации с classless-маршрутизацией -- это малоизвестный глюк (или фича?) стека TCP/IP в Windows 2000. Косвенно наличие данной проблемы подтверждается наличием данного документа, а твой случай подтверждает ее на практике. Ноги растут скорее всего именно отсюда, т.к. в текущей конфигурации у тебя широковещательные пакеты попадают только в сеть 10.0.0.0/24. Единственный выход, который я сейчас вижу, -- вручную удалять автоматически созданные маршруты и вручную же прописывать правильные, соответствующие твоим classless-сетям.   Добавлено Хотя, с другой стороны, Windows-клиенты (2000) в обоих твоих подсетях также считают, что широковещательным адресом должен быть именно 10.255.255.255, ведь в них находится тот же стек TCP/IP, с теми же самыми глюкофичами. Т.е. если даже ты настроишь правильные широковещательные адреса на сервере, то клиенты не будут считать их широковещательными. Т.е. то же самое надо проделывать и на клиентах. Либо вообще полностью менять адресацию сетей, чтобы маски сетей соответствовали их классам.   Вот именно поэтому и не рекомендовано иметь контроллеры домена с несколькими интерфейсами, на которые подключены сети с Windows-клиентами, входящими в домен. Ведь в случае одного интерфейса, даже несмотря на описанные проблемы с адресами, все бы работало, т.к. и сервер и клиенты считали бы один, пусть неправильный, но одинаковый, адрес широковещательным. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 19:05 12-09-2004

IA64 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору NAT поднят на контроллере домена (IP в IP). А на линуксе сидит билинговая система и прочая обвязка, связанная с безопасностью внутренней сети.     Согласен что немного напутано, особенно с маршрутизацией. Такие серьезные проекты подымаю впервые. Хорошо, а если внутренние подсети перевести в класс С (192.168.x.x)? Всего записей: 14 | Зарегистр. 06-05-2004 | Отправлено: 20:54 12-09-2004

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: NAT поднят на контроллере домена (IP в IP). А на линуксе сидит билинговая система и прочая обвязка, связанная с безопасностью внутренней сети.   Что-то совсем этого не видно по твоей информации выше... А нафига на контроллере NAT? И чем биллинг на линуксе препятствует наличию NAT'а на нем же? IMO, NAT'у место именно на линуксе, но никак не на контроллере домена. По крайней мере, из той информации, что ты предоставил, никак не следует обратное.   Цитата: Хорошо, а если внутренние подсети перевести в класс С (192.168.x.x)? Это самый правильный выход. Не забудь только DNS-записи также поменять. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 22:21 12-09-2004

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Проблемы с GPO: Некорректная работа DC после настройки NAT

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование