Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Проблемы с GPO: Некорректная работа DC после настройки NAT

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

IA64



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
На работе стоит сервак под W2K+SP4. Подняты AD, DNS, DFS. В серваке 3 сетевых – две в локальную сеть (две разных подсети) и одна наружу в инет.  
Проьлема следующего плана. После настройки роутинга и NAT для доступа в инет, в одной подсети начались проблемы с применением групповых политик. Вход в AD выполняется без проблем, но групповые политики не применяются и при попытке задать список доступа для какого-нибудь объекта файловой системы – выдается сообщение об ощибке (при формировании списка доступных пользователей и групп пользователей которые загружаются с контроллера домена). В другой подсети все работает нормально.  
 
По отчетам выяснил следующее – на проблемных машинах с некоторой периодичностью возникают такие сообщения об ошибке:  
  1006 - Windows cannot bind to <domain name> domain. (Invalid Credentials). Group Policy processing aborted.  
  1003 -Windows cannot query for the list of Group Policy objects. A message that describes the reason for this was previously logged by the policy engine.
По датам, оказалось эти  ошибки начали появляться с момента настройки NAT на серваке.
Какую еще информацию надо предоставить?
 
Очень нужна ваша помощь!





Название исправлено в соответствии с п. 2.4 правил. lynx.

Всего записей: 14 | Зарегистр. 06-05-2004 | Отправлено: 20:16 11-09-2004 | Исправлено: lynx, 22:28 11-09-2004
ooptimum



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Во-первых, multihomed (несколько сетевых интерфейсов или протоколов, или и то и другое) контроллеры домена -- очень плохая идея. Чревато и не рекомендовано.
Во-вторых, давай сюда конфигурацию сети: `route print`, `ipconfig /all` на сервере. Также вывод команды dcdiag там же. На каких интерфейсах слушает DNS? На каких соединениях запрещен "File and Printer Sharing"?

Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 01:04 12-09-2004
IA64



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Комментарии к отчетам.
 
Локальные подсети 10.0.0.0 и 10.0.1.0. Проблемы возникают в подсети 10.0.1.0.  
Внешняя подсеть 10.0.2.0 выходит сразу на линуксовый сервак, на котором подняты маскарадинг и форвардинг и фильтрация пакетов из внешней сети 192.168.1.0.
 
"File and Printer Sharing" активирована на всех интерфейсах (хотя наверное на внешнем 10.0.2.0 она совсем не нужна)
 
IP адреса прописаны на всех машинах статически.
 
Служба времени на серваке временно остановлена.
Сбор системной информации выполнятся после перезагрузки сервака, поэтому на некоторых интерфейсах статистика показала ноль переданных-полученых пакетов .
 
Далее привожу логи
Start Dcdiag ******************************************************************

Код:
 
Domain Controller Diagnosis
 
Performing initial setup:
   * Verifying that the local machine School3server, is a DC.  
   * Connecting to directory service on server School3server.
   * Collecting site info.
   * Identifying all servers.
   * Found 1 DC(s). Testing 1 of them.
   Done gathering initial info.
 
Doing initial required tests
   
   Testing server: Default-First-Site-Name\SCHOOL3SERVER
      Starting test: Connectivity
         * Active Directory LDAP Services Check
         * Active Directory RPC Services Check
         ......................... SCHOOL3SERVER passed test Connectivity
 
Doing primary tests
   
   Testing server: Default-First-Site-Name\SCHOOL3SERVER
      Starting test: Replications
         * Replications Check
         ......................... SCHOOL3SERVER passed test Replications
      Test omitted by user request: Topology
      Test omitted by user request: CutoffServers
      Starting test: NCSecDesc
         * Security Permissions Check for
           CN=Schema,CN=Configuration,DC=school3,DC=local
         * Security Permissions Check for
           CN=Configuration,DC=school3,DC=local
         * Security Permissions Check for
           DC=school3,DC=local
         ......................... SCHOOL3SERVER passed test NCSecDesc
      Starting test: NetLogons
         * Network Logons Privileges Check
         ......................... SCHOOL3SERVER passed test NetLogons
      Starting test: Advertising
         The DC SCHOOL3SERVER is advertising itself as a DC and having a DS.
         The DC SCHOOL3SERVER is advertising as an LDAP server
         The DC SCHOOL3SERVER is advertising as having a writeable directory
         The DC SCHOOL3SERVER is advertising as a Key Distribution Center
         Warning: SCHOOL3SERVER is not advertising as a time server.
         The DS SCHOOL3SERVER is advertising as a GC.
         ......................... SCHOOL3SERVER failed test Advertising
      Starting test: KnowsOfRoleHolders
         Role Schema Owner = CN=NTDS Settings,CN=SCHOOL3SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=school3,DC=local
         Role Domain Owner = CN=NTDS Settings,CN=SCHOOL3SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=school3,DC=local
         Role PDC Owner = CN=NTDS Settings,CN=SCHOOL3SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=school3,DC=local
         Role Rid Owner = CN=NTDS Settings,CN=SCHOOL3SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=school3,DC=local
         Role Infrastructure Update Owner = CN=NTDS Settings,CN=SCHOOL3SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=school3,DC=local
         ......................... SCHOOL3SERVER passed test KnowsOfRoleHolders
      Starting test: RidManager
         * Available RID Pool for the Domain is 1602 to 1073741823
         * School3server.school3.local is the RID Master
         * DsBind with RID Master was successful
         * rIDAllocationPool is 1102 to 1601
         * rIDNextRID: 1175
         * rIDPreviousAllocationPool is 1102 to 1601
         ......................... SCHOOL3SERVER passed test RidManager
      Starting test: MachineAccount
         * SPN found :LDAP/School3server.school3.local/school3.local
         * SPN found :LDAP/School3server.school3.local
         * SPN found :LDAP/SCHOOL3SERVER
         * SPN found :LDAP/School3server.school3.local/SCHOOL3
         * SPN found :LDAP/75ebeddd-e437-44a9-980c-22038d4f4d1a._msdcs.school3.local
         * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/75ebeddd-e437-44a9-980c-22038d4f4d1a/school3.local
         * SPN found :HOST/School3server.school3.local/school3.local
         * SPN found :HOST/School3server.school3.local
         * SPN found :HOST/SCHOOL3SERVER
         * SPN found :HOST/School3server.school3.local/SCHOOL3
         * SPN found :GC/School3server.school3.local/school3.local
         ......................... SCHOOL3SERVER passed test MachineAccount
      Starting test: Services
         * Checking Service: Dnscache
         * Checking Service: NtFrs
         * Checking Service: IsmServ
         * Checking Service: kdc
         * Checking Service: SamSs
         * Checking Service: LanmanServer
         * Checking Service: LanmanWorkstation
         * Checking Service: RpcSs
         * Checking Service: RPCLOCATOR
         * Checking Service: w32time
            w32time Service is stopped on [SCHOOL3SERVER]
         * Checking Service: TrkWks
         * Checking Service: TrkSvr
         * Checking Service: NETLOGON
         ......................... SCHOOL3SERVER failed test Services
      Test omitted by user request: OutboundSecureChannels
      Starting test: ObjectsReplicated
         SCHOOL3SERVER is in domain DC=school3,DC=local
         Checking for CN=SCHOOL3SERVER,OU=Domain Controllers,DC=school3,DC=local in domain DC=school3,DC=local on 1 servers
            Object is up-to-date on all servers.
         Checking for CN=NTDS Settings,CN=SCHOOL3SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=school3,DC=local in domain CN=Configuration,DC=school3,DC=local on 1 servers
            Object is up-to-date on all servers.
         ......................... SCHOOL3SERVER passed test ObjectsReplicated
      Starting test: frssysvol
         * The File Replication Service Event log test
         The SYSVOL has been shared, and the AD is no longer
         prevented from starting by the File Replication Service.
         ......................... SCHOOL3SERVER passed test frssysvol
      Starting test: kccevent
         * The KCC Event log test
         Found no KCC errors in Directory Service Event log in the last 15 minutes.
         ......................... SCHOOL3SERVER passed test kccevent
      Starting test: systemlog
         * The System Event log test
         An Error Event occured.  EventID: 0x00004E8A
            Time Generated: 09/12/2004   11:47:29
            (Event String could not be retrieved)
         ......................... SCHOOL3SERVER failed test systemlog
   
   Running enterprise tests on : school3.local
      Starting test: Intersite
         Skipping site Default-First-Site-Name, this site is outside the scope  
         provided by the command line arguments provided.  
         ......................... school3.local passed test Intersite
      Starting test: FsmoCheck
         GC Name: \\School3server.school3.local
         Locator Flags: 0xe00001bd
         PDC Name: \\School3server.school3.local
         Locator Flags: 0xe00001bd
         Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
         A Time Server could not be located.
         The server holding the PDC role is down.
         Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1355
         A Good Time Server could not be located.
         KDC Name: \\School3server.school3.local
         Locator Flags: 0xe00001bd
         ......................... school3.local failed test FsmoCheck
 

end Dcdiag ******************************************************************
 
start Route print **************************************************************

Код:
 
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x1000003 ...00 50 fc b4 e6 b1 ...... Realtek 8139-series PCI NIC                                                      
0x1000004 ...00 0d 61 2d 24 f1 ...... Realtek 8139-series PCI NIC                                                      
0x1000005 ...00 01 02 fd 32 29 ...... 3Com EtherLink PCI
------------------------------------------------------------------------------------------------
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0         10.0.2.2        10.0.2.1  1
         10.0.0.0    255.255.255.0         10.0.0.1        10.0.0.1  1
         10.0.0.1  255.255.255.255        127.0.0.1       127.0.0.1  1
         10.0.1.0    255.255.255.0         10.0.1.1        10.0.1.1  1
         10.0.1.1  255.255.255.255        127.0.0.1       127.0.0.1  1
         10.0.2.0    255.255.255.0         10.0.2.1        10.0.2.1  1
         10.0.2.1  255.255.255.255        127.0.0.1       127.0.0.1  1
   10.255.255.255  255.255.255.255         10.0.0.1        10.0.0.1  1
   10.255.255.255  255.255.255.255         10.0.1.1        10.0.1.1  1
   10.255.255.255  255.255.255.255         10.0.2.1        10.0.2.1  1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1  1
        224.0.0.0        224.0.0.0         10.0.0.1        10.0.0.1  1
        224.0.0.0        224.0.0.0         10.0.1.1        10.0.1.1  1
        224.0.0.0        224.0.0.0         10.0.2.1        10.0.2.1  1
  255.255.255.255  255.255.255.255         10.0.2.1        10.0.2.1  1
Основной шлюз:            10.0.2.2
------------------------------------------------------------------------------------------------
Постоянные маршруты:
  Отсутствует
 

end Route print **************************************************************
 
start Ipconfig print *************************************************************

Код:
 
Настройка протокола IP для Windows 2000
Имя компьютера  . . . . . . . . . : School3server
Основной DNS суффикс  . . . . . . : school3.local
Тип узла  . . . . . . . . . . . . : Широковещательный
Включена IP-маршрутизация . . . . : Да
Доверенный WINS-сервер  . . . . . : Нет
Порядок просмотра суффиксов DNS . : school3.local
 
Адаптер Ethernet Учебная подсеть:
DNS суффикс этого подключения . . :  
Описание  . . . . . . . . . . . . : 3Com EtherLink 10/100 PCI
Физический адрес. . . . . . . . . : 00-01-02-FD-32-29
DHCP разрешен . . . . . . . . . . : Нет
IP-адрес  . . . . . . . . . . . . : 10.0.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :  
DNS-серверы . . . . . . . . . . . : 10.0.0.1
 
Адаптер Ethernet Администр. подсеть:
DNS суффикс этого подключения . . :  
Описание  . . . . . . . . . . . . : Realtek RTL8139/810X Family PCI Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-0D-61-2D-24-F1
DHCP разрешен . . . . . . . . . . : Нет
IP-адрес  . . . . . . . . . . . . : 10.0.1.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :  
DNS-серверы . . . . . . . . . . . : 10.0.1.1
 
Адаптер Ethernet Интернет:
DNS суффикс этого подключения . . :  
Описание  . . . . . . . . . . . . : ђфряІхЁ Realtek RTL8139(A) PCI Fast Ethernet #2
Физический адрес. . . . . . . . . : 00-50-FC-B4-E6-B1
DHCP разрешен . . . . . . . . . . : Нет
IP-адрес  . . . . . . . . . . . . : 10.0.2.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.0.2.2
DNS-серверы . . . . . . . . . . . : 127.0.0.1
 

 end Ipconfig print **************************************************************
В отчетах NetDiag около 20 страниц. Какой именно раздел нужен?

Всего записей: 14 | Зарегистр. 06-05-2004 | Отправлено: 15:52 12-09-2004
ooptimum



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Непонятно, пытался ли ты поднять NAT на контроллере домена, или речь все же идет о сервере с линуксом. Если ты писал про линукс, то это никак не может вызвать твои проблемы. А вот использование CIDR маршрутизации на сервере с Windows -- может.
Цитата:
   10.255.255.255  255.255.255.255         10.0.0.1        10.0.0.1  1  
   10.255.255.255  255.255.255.255         10.0.1.1        10.0.1.1  1  
   10.255.255.255  255.255.255.255         10.0.2.1        10.0.2.1  1  

Смотри, вместо 10.0.{0,1,2}.255, как должно быть в соответвии с CIDR, в качестве широковещательного адреса настроен единственный 10.255.255.255 для всех трех сетей. Откуда взялся этот адрес? А он взялся из класса сетей -- "A". Смешивание классической классовой маршрутизации с classless-маршрутизацией -- это малоизвестный глюк (или фича?) стека TCP/IP в Windows 2000. Косвенно наличие данной проблемы подтверждается наличием данного документа, а твой случай подтверждает ее на практике. Ноги растут скорее всего именно отсюда, т.к. в текущей конфигурации у тебя широковещательные пакеты попадают только в сеть 10.0.0.0/24.
Единственный выход, который я сейчас вижу, -- вручную удалять автоматически созданные маршруты и вручную же прописывать правильные, соответствующие твоим classless-сетям.
 
Добавлено
Хотя, с другой стороны, Windows-клиенты (2000) в обоих твоих подсетях также считают, что широковещательным адресом должен быть именно 10.255.255.255, ведь в них находится тот же стек TCP/IP, с теми же самыми глюкофичами. Т.е. если даже ты настроишь правильные широковещательные адреса на сервере, то клиенты не будут считать их широковещательными. Т.е. то же самое надо проделывать и на клиентах. Либо вообще полностью менять адресацию сетей, чтобы маски сетей соответствовали их классам.
 
Вот именно поэтому и не рекомендовано иметь контроллеры домена с несколькими интерфейсами, на которые подключены сети с Windows-клиентами, входящими в домен. Ведь в случае одного интерфейса, даже несмотря на описанные проблемы с адресами, все бы работало, т.к. и сервер и клиенты считали бы один, пусть неправильный, но одинаковый, адрес широковещательным.

Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 19:05 12-09-2004
IA64



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
NAT поднят на контроллере домена (IP в IP). А на линуксе сидит билинговая система и прочая обвязка, связанная с безопасностью внутренней сети.  
 
Согласен что немного напутано, особенно с маршрутизацией. Такие серьезные проекты подымаю впервые.
Хорошо, а если внутренние подсети перевести в класс С (192.168.x.x)?

Всего записей: 14 | Зарегистр. 06-05-2004 | Отправлено: 20:54 12-09-2004
ooptimum



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
NAT поднят на контроллере домена (IP в IP). А на линуксе сидит билинговая система и прочая обвязка, связанная с безопасностью внутренней сети.  

Что-то совсем этого не видно по твоей информации выше... А нафига на контроллере NAT? И чем биллинг на линуксе препятствует наличию NAT'а на нем же? IMO, NAT'у место именно на линуксе, но никак не на контроллере домена. По крайней мере, из той информации, что ты предоставил, никак не следует обратное.
 

Цитата:
Хорошо, а если внутренние подсети перевести в класс С (192.168.x.x)?

Это самый правильный выход. Не забудь только DNS-записи также поменять.

Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 22:21 12-09-2004
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Проблемы с GPO: Некорректная работа DC после настройки NAT


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru