Neonir Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Всем доброго дня. У меня сложилась следующая ситуация: Имеется небольшая локальная сеть, домен(2k) с 2мя контроллерами, и недавно появилась небольшая удаленная подсеть(диапазон ip другой) подключенная через idsl к инету и vpn`ом к основной сети. На машинах(ОС - XP) удаленной сети при каждом включении в логи пишется следующее:   Код (ID): 1054 Источник: NT AUTHORITY/SYSTEM Тип: Ошибка Описание: Не удалось получить имя контроллера домена в этой сети. (Указанный домен не существует или к нему невозможно подключиться.) Обработка групповой политики прекращена. и Тип: Ошибка Источник: AutoEnrollment Код (ID): 15 Компьютер: имя_компьютера Описание: Автоматическая подача заявки на сертификат локального компьютера: не удалось связаться с каталогом Active Directory (0x8007054b). Указанный домен не существует или к нему невозможно подключиться. Подача заявки выполнена не будет.   Настройки сети, на мой взгляд правильные, ping по имени проходит(в обе стороны), ДНС по имени домена выдает верные ip контроллеров(и наоборот), фаерволов нет. В dcdiag и netdiag на конроллере все чисто. gpresult на клиентах показывает что политика регулярно применяется. Gpupdate на клиентах проходит без ошибок. Когда машины находились в основной сети с контроллерами ошибок не было. Вопрос в следующем, в чем проблема, что происходит и почему? Читал: http://support.microsoft.com/default.aspx?scid=kb;ru;310461 http://support.microsoft.com/default.aspx?scid=kb;ru;326152 но, имхо толку от написанного там мало. Заранее благодарен, за любые мысли, идеи, ссылки. Ну, что ты буквочки экономишь в названии? Чтобы по фильтру потом тему было не найти? Название исправлено в соответствии с п. 2.4 правил. lynx. Всего записей: 96 | Зарегистр. 04-02-2005 | Отправлено: 11:12 07-02-2005 | Исправлено: lynx, 22:59 08-02-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: удаленная подсеть(диапазон ip другой)   в сайт, где находится контроллер домена эта подсеть входит ? Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 11:49 07-02-2005

Neonir Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата:  в сайт, где находится контроллер домена эта подсеть входит ?   Хмм... Идея интересная, в сайт эта подсеть и вправду не входила, ввел диапазон в имующийся сайт, проблема сохранилась. Можно попробовать создать под нее ище один сайт, но имхо это проблему не решит, если я правильно понимаю суть работы и назначения сайтов. Все равно контроллера в проблемной подсети нет, и клиентам как и сейчас придется запрашивать политики.  Или я не прав? Всего записей: 96 | Зарегистр. 04-02-2005 | Отправлено: 15:27 07-02-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Все равно контроллера в проблемной подсети нет, и клиентам как и сейчас придется запрашивать политики. если клиенты в одном сайте с контроллером и нормально работает dns, имо, максимум что может возникнуть - не все политики применятся, если подключение по твоему vpn медленное(по умолчанию, наскоко я помню менее 500Кб\с). Судя по твоим ошибкам, я б сказал, что проблема в dns. Клиент не может получить список DC в сайте. ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 15:43 07-02-2005

Neonir Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Да абсолютно верно. Судя по ошибкам и я пришел первоначально к такому выводу. Но удивительно: DNS test . . . . . . . . . . . . . : Passed PASS - All the DNS entries for "имя домена"are registered on DNS server '192.168.1.2' and other DCs also have some of the names registered. И nslookup "имя_домена" - все корректно. gpupdate - все политики обновились, все хорошо, ошибок в логах нет только сообщение, что все обнавилось. Потом они регулярно согласно настроенному для сайта шедулеру обновляются. Да,соединение медленное и это определяется корректно, как видно из gpresult клиента. Не корректно, происходит поиск домена или запрос на гр. политики, только при загрузке ос.   В связи с этим у меня появляется ряд вопросов: какой транспорт используют гр.политики для обнавления? В какой момент происходит обращение к dns сервакам при поиске контроллеров? каков таймаут ожидания ответа? Какой сервис(netlogon) отвечает за это(загрузку GP и вход в домен)? Всего записей: 96 | Зарегистр. 04-02-2005 | Отправлено: 16:08 07-02-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: DNS test . . . . . . . . . . . . . : Passed   PASS - All the DNS entries for "имя домена"are registered on DNS server '192.168.1.2' and other DCs also have some of the names registered.   ты где это делал ? Цитата: какой транспорт используют гр.политики для обнавления?   RPC, насколько я знаю   Цитата: В какой момент происходит обращение к dns сервакам при поиске контроллеров? при загрузке   ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 16:47 07-02-2005

Neonir Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата:  ты где это делал ?   Это кусок netdiag с контроллера. Привел в подтверждение слов что с настройка dns все окей. Цитата:  RPC, насколько я знаю Тоесть запрос инициируется при помощи svchost.exe? А инициирует данный запрос кто? сама служба rpc, или какая то из зависимых от нее? Я это к тому спрашиваю, что возможно если запрос на поиск контроллеров делает одна служба(назавем ее "номер 1"), а запрос на загрузку гр. политик другая("номер 2"), то возможно что "номер 1" еще не успела получить ответ из за медленного соединения от контроллера, а "номер 2" уже послала запрос к "номер 1" на предмет того к какому домену ей обращатся за груповыми. Вот и получается что службе "номер 2" приходит ответ от "номер 1", что домена не существует или к нему не подключится. И это объясняло бы почему групповые нормально применяются в последствии. Тогда если мне удатся выяснить кто к кому обращается при загрузке, то возможно поможет постановка служб в зависимость, или увеличение таймаутов ожидания ответа. Хотя возможно это все бред моего воспаленного разума. И дело тут совсем в другом. Цитата: при загрузке Это я и сам понимаю, а по конкретнее если не сложно? Всего записей: 96 | Зарегистр. 04-02-2005 | Отправлено: 17:26 07-02-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Neonir Цитата: Это кусок netdiag с контроллера. я не думаю, что это гарантирует, что клиенты через VPN нормально видят dns.   Если я выдерну на клиенте шнурок из сетевухи, а на серваке сделаю netdiag, я тоже увижу, что все ок а клиент не сможет войти . Кто на клиентах первым dns поставлен? Из удаленной подсети все клиенты видят dns нормально? У тебя в удаленной подсети dns есть ? Кто шлюз по умолчанию? теперь по получению списка и применению GPO. 1. клиент запрашивает у dns ip контроллера домена.   2. получив ip клиент соединяется с контроллером и в процессе опознания контроллером получает список GPO и порядок применения. (тут, насколько я понимаю, отпадают вопросы про много служб.) В процессе применения GPO участвует куча DLL, называющиеся клиентскими расширениями политик, если я правильно понял твой вопрос. Хочешь подробнее - почитай это: Group Policy Components How Security Settings Extension Works Group Policy Collection ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 09:22 08-02-2005 | Исправлено: G14, 11:03 08-02-2005

Neonir Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Если я выдерну на клиенте шнурок из сетевухи, а на серваке сделаю netdiag, я тоже увижу, что все ок а клиент не сможет войти .   Ну не перегибай палку, я и сам понимаю что проблема может быть скажем перекрытии портов, на фаерволе, или в ненастроенной маршрутизации нужных протоколов. Но тогда если грешить на сеть/связь/канал, возникает вопрос, чем загрузка политики и обращение к ДНС при старте  машины отличается от обращений в процессе работы(раз в час) и в часности, от gpupdate, и nslookup? Ну раз считаешь, что проблема именно в ДНС, предложи идею как проверить, а то у меня все идеи иссякли, неделю пытаюсь копать этот вопрос. P.s. пасибо за ссылки. Всего записей: 96 | Зарегистр. 04-02-2005 | Отправлено: 10:19 08-02-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: перекрытии портов, на фаерволе как настроен vpn, там есть аутентификация клиента ? первоначально запрос идет от имени машины, и если фаервол пускает только по логину клиента, он может не пустить запрос машины.... ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 11:01 08-02-2005

Neonir Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: [/q] [q]как настроен vpn, там есть аутентификация клиента ? первоначально запрос идет от имени машины, и если фаервол пускает только по логину клиента, он может не пустить запрос машины.... Vpn поддерживают циски, просто инкапсулируют идущие на них ip пакеты и шифруют их. посути они выполняют роль бриджа между сетями, ничего не фаерволится, все кроме бродкастов маршрутизируется. Всего записей: 96 | Зарегистр. 04-02-2005 | Отправлено: 11:31 08-02-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору кто шлюз по умолчанию для клиента? ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 12:06 08-02-2005

Neonir Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Для полноты картины, меня сети типа: 192.168.1.x 192.168.2.x ШЛЮЗЫ - 192.168.1.1 192.168.2.1 Всего записей: 96 | Зарегистр. 04-02-2005 | Отправлено: 13:02 08-02-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Neonir на клиенте dns зависит от tcp\ip ? такое ощущение, что поиск dns на клиенте начинается раньше, чем стартует сеть.... ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 13:26 08-02-2005

Neonir Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору G14 Вот и мне кажется что проблема где то тут. Цитата: на клиенте dns зависит от tcp\ip ? Ты про зависимость службы ДНС-клиент, от драйвера tcp/ip? Да зависит. Более того когда машины сейчас находящиеся в дальней подсети стояли в одной сети с серваками все у них было ок. Всего записей: 96 | Зарегистр. 04-02-2005 | Отправлено: 13:34 08-02-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору пробовал? : http://support.microsoft.com/kb/239924 на 2000 SP4 стоит? на клиенте: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters] DynamicSiteName = чему? попробуй прописать   SiteName REG_SZ [имя сайта] ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 13:54 08-02-2005

Neonir Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: пробовал? : http://support.microsoft.com/kb/239924   Да. В самом начале при появлении первой машины в той сети, правда не с этой целью, а в попытке решить проблему долгого входа в сеть клиентов цисочного дчсп, но и это проблему не решило. Завтра точно проверю поможет ли плане текущей проблемы. Цитата: на 2000 SP4 стоит?   На DC? К извращениям и мазохизму не склонен, стоит. + все обнавления на начало января. Цитата: DynamicSiteName = чему?   Имени моего сайта. Цитата: SiteName REG_SZ [имя сайта] Это типо жестко определить к какому сайту обращатся? Попробовал, не помогло. Всего записей: 96 | Зарегистр. 04-02-2005 | Отправлено: 15:16 08-02-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору может службе netlogon в зависимости поставить tcp\ip ? ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 09:56 09-02-2005

Neonir Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: может службе netlogon в зависимости поставить tcp\ip ? можно конечно, но тогда при проблемах с сетью, люди не смогут зайти на машину под своим профилями. Попробовать правда стоит для эксперимента... Всего записей: 96 | Зарегистр. 04-02-2005 | Отправлено: 10:17 09-02-2005

Neonir Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: может службе netlogon в зависимости поставить tcp\ip Не помогло, может что то еще запихнуть в зависимости...типо workstation? DisableDHCPMediaSense=1 тоже не помогло. Всего записей: 96 | Зарегистр. 04-02-2005 | Отправлено: 11:22 10-02-2005

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Удаленная подсеть (VPN): не применяются групповые политики

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование