» Общие вопросы про AD (Active Directory)

Есть что-то от dcdiag.

Doing initial required tests

Testing server: Default-First-Site-Name\SS2
Starting test: Connectivity
......................... SS2 passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SS2
Starting test: Replications
......................... SS2 passed test Replications
Starting test: NCSecDesc
......................... SS2 passed test NCSecDesc
Starting test: NetLogons
......................... SS2 passed test NetLogons
Starting test: Advertising
......................... SS2 passed test Advertising
Starting test: KnowsOfRoleHolders
......................... SS2 passed test KnowsOfRoleHolders
Starting test: RidManager
......................... SS2 passed test RidManager
Starting test: MachineAccount
......................... SS2 passed test MachineAccount
Starting test: Services
......................... SS2 passed test Services
Starting test: ObjectsReplicated
......................... SS2 passed test ObjectsReplicated
Starting test: frssysvol
......................... SS2 failed test frssysvol
Starting test: frsevent
......................... SS2 passed test frsevent
Starting test: kccevent
......................... SS2 passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x0000165B
Time Generated: 01/13/2005 16:35:56
Event String: The session setup from the computer WS032928

An Error Event occured. EventID: 0x000016AD
Time Generated: 01/13/2005 16:38:18
Event String: The session setup from the computer WS032928

An Error Event occured. EventID: 0x0000168F
Time Generated: 01/13/2005 16:58:52
Event String: Deregistration of the DNS record

An Error Event occured. EventID: 0x0000168F
Time Generated: 01/13/2005 16:58:52
Event String: Deregistration of the DNS record

An Error Event occured. EventID: 0x0000168F
Time Generated: 01/13/2005 16:58:52
Event String: Deregistration of the DNS record

An Error Event occured. EventID: 0x0000168F
Time Generated: 01/13/2005 16:58:52
Event String: Deregistration of the DNS record

......................... SS2 failed test systemlog
Starting test: VerifyReferences
......................... SS2 passed test VerifyReferences

Дальше все passed. Блин, чем дальше в лес, тем толще партизаны. Что теперь с этим делать? Мне это честно говоря ни о чем не говорит

Alxdhere

Цитата:

SS2 failed test systemlog

dcdiag посмотрел в eventlog и нашел там ошибки. на это и поругался.
посмотри на майкрософте по поиску "error [eventid твоей ошибки]"...

Добавлено
токо event id вводи не как 0x0000168F
а как , например: 1111 ( как он есть в журнале)...

2 G14
Пошарился в инете. Нифига не врубился.
У меня DNS сервер поднят на DC. DHCP на отдельном сервере Novell NetWare 6.0 sp4. Через nslookup имена разрешаются, как внутренние, так и наружные.
В свойствах DNS сервера:
Forwarders - указан список forward ip addresses, где ip серверов провайдера.
Advanced - Server options: BIND secondaries и последние 3 пункта включены, остальное выключено. Name checking - All names. Load zon data... - from AD & registry.
Root Hints - чего он там сам прописал, то и написано, я туды не лазил.
Monitoring - ничего не включено.
Event logging - all events.
Debug logging - все выключено.

--

В логах DNS есть ошибки. Последняя EventID: 6702
DNS server has updated its own host (A) records. In order to ensure that its DS-integrated peer DNS servers are able to replicate with this server, an attempt was made to update them with the new records through dynamic update. An error was encountered during this update, the record data is the error code.

If this DNS server does not have any DS-integrated peers, then this error
should be ignored.

If this DNS server's Active Directory replication partners do not have the correct IP address(es) for this server, they will be unable to replicate with it.

--

При логине на клиентской станции в Event Log есть ошибки. w32time - мне кажется из-за того же DNS она. 5719 netlogon пишет что нет DC в домене. Гад! И 40961 на LsaSrv. Долбится куда то в prisoner.iana.org?!

--

Вообще, как мне понять в каком месте копать по поводу "SS2 failed test systemlog"? На запрос инфы по ошибке error 5775 показало, что это вообще к netlogon относится. Фигня какая-то!
Чего мне делать?!

Добавлено:
Только что запустил dcdiag /s:ss2.domain.ru > test.txt. Все тесты прошел! Я перед этим только убрал лишние записи в DNS (они устарели) и выставил Name checking - All names.
Но на клиентской станции так и не применяется политика для computer при перезагрузке

Alxdhere

Цитата:

EventID: 6702

Цитата:

To insure proper replication, follow these steps: 1. Find this server's Active Directory replication partners that run the DNS server.
2. Open DNS Manager and connect in turn to each of the replication partners.
3. On each server, check the host (A record) registration for THIS server.
4. Delete any A records that do NOT correspond to IP addresses of this server.
5. If there are no A records for this server, add at least one A record corresponding to an address on this server, that the replication partner can contact. (In other words, if there multiple IP addresses for this DNS server, add at least one that is on the same network as the Active Directory DNS server you are updating.)
6. It is not necessary to update EVERY replication partner. It is only necessary that the records are fixed up on enough replication partners so that every server that replicates with this server will receive (through replication) the new data.

Цитата:

5719 netlogon

вот что я нашел по этой ошибке


Цитата:

И 40961 на LsaSrv

почитай


Цитата:

У меня DNS сервер поднят на DC. DHCP на отдельном сервере Novell

вообще у меня есть подозрения, что это может быть из-за того, что dhcp не авторизован в AD(или авторизован ?).... при этом, насколько я помню динамическое обновление dns не работает (хотя могу ошибаться)....

2 G14
Спасибо. Читаю. Но думаю, switch не приделах. DHCP - авторизован. Как определить, что динамическое обновление dns работает? При подключении компа к домену записи пополняются. Я считаю, что это и есть показателем динамического обновления.

Я еще обращаю внимание на то, что ошибки генерятся на клиентской машине только до логина пользователя (я так думаю), т.к. не применение GPO к computer является результатом невозможности достучаться до DC под юзером SYSTEM. B DNS таки работает процентов на 60% имена разрешает, форвардирует и т.п.

Я запустил netdiag, он много всего писал и выдал:
Redir and Browser test . . . . . . : Failed (?)
DC list test . . . . . . . . . . . : Failed (он у меня один, какой список ? )
Kerberos test. . . . . . . . . . . : Failed (это важно ?!)
LDAP test. . . . . . . . . . . . . : Failed (а это важно?!)
Cannot find DC to run LDAP tests on. The error occurred was: The specified d
omain either does not exist or could not be contacted.

This computer cannot be joined to the [ss2] domain because of one of the
following reasons.

1. The DNS SRV record for [ss2] is not registered in DNS; or

2. A zone from the following list of DNS zones does not include delegation
to its child zone.

Such zones can include [_ldap._tcp.dc._msdcs.ss2], and root zone.

Ask your network/DNS administrator to perform the following actions: To
find out why the SRV record for [ss2] is not registered in the DNS,
run the dcdiag command prompt tool with the command RegisterInDNS on the
domain controller that did not perform the registration.
[WARNING] Cannot find DC in domain 'ss2'. [ERROR_NO_SUCH_DOMAIN]

Как создать SRV запись не пойму. Она имена служб предлагает _finger, _ftp, _http и пр. Они тут при чем?! Не пойму.

Буквально только что народ обсуждал, как восстановить SRV-записи:
SRV-записи в DNS (Windows 2003)
Missing DNS entries in AD DC DNS

Alxdhere

Цитата:

LDAP test. . . . . . . . . . . . . : Failed (а это важно?!)

Цитата:

DC list test . . . . . . . . . . . : Failed

да.


Цитата:

1. The DNS SRV record for [ss2] is not registered in DNS;

http://support.microsoft.com/kb/265706/EN-US/
http://forum.ru-board.com/topic.cgi?forum=8&topic=9235#1

Я прошу прощения, но netdiag запустил с неверным параметром. Указал не имя домена, а имя сервера. Надо было netdiag /d:domain.ru, а я взял netdiag /d:ss2, где ss2 - имя сервера ss2.domain.ru.
Теперь
Kerberos test. . . . . . . . . . . : Failed - это вроде фигня
Остальное все Passed!

А керберос не работает вероятно потому что не синхронизировано время с внешним источником. Где-то выше ты говорил про ошибку w32time. Настрой синхронизацию с каким-нить сервером времени.

Добавлено:
Точнее не с внешним, а с между компьютерами домена. При рассинхронизации больше минуты(примерно, точно не помню) как раз возникает ошибка керберос. Можно настроить синронизацию и по времени контролера домена, но тем не менее лучше чтобы время было синхронизировано с источником из инета. Почему так лучше? Ну например при разборе логов, для избежания ошибок

SergeyDoronin

Цитата:

Точнее не с внешним, а с между компьютерами домена. При рассинхронизации больше минуты(примерно, точно не помню) как раз возникает ошибка керберос.

коротко: когда пользователь хочет аутентифицироваться с помощью kerberos, он посылает запрос контроллеру домена(в Win2003 все DC являются центрами распределения ключей керберос), зашифрованный хэшем своего пароля. В запрос входит имя пользователя, имя домена (realm), запрос на TGT билет , метка времени и еще кое-какие данные... DC сравнивает метку времени и если расхождение с локальным временем сервера не более 5 минут (по умолчанию) и DC смог расшифровать пакет с помошью своей копии хэша пароля, считается , что все ок и пользователю выдается билет TGT.

Добавлено:
Alxdhere

Цитата:

Kerberos test. . . . . . . . . . . : Failed - это вроде фигня

кстати, эта "фигня" - дефолтовый основной опознавательный протокол для 2000 и выше машин в AD.....я бы не стал так относиться к нему....
У тебя на контроллере случаем файрволлов\фильтров не живет ?

Блин. Слов нет.
Я поставил w2k3 rus под Virtual PC. Поднял AD, DHCP, DNS - та же херня. Значит где-то у меня изначальная ошибка!

Я проверил, как на сервере, так и на клиентских машинах netlogon не работает и горит красным в Event Viewer - System. Чего мне с ним делать. Я перечитал в инете столько - что голова трещит, а решения не нашел

Alxdhere

Цитата:

так и на клиентских машинах netlogon не работает и горит красным в Event Viewer - System

текст и event id ошибки ?

Добавлено:
в Advanced TCP/IP Settings dns прописан ?

5719 Netlogon

No Domain Controller is available for domain TFTOT due to the following:
There are currently no logon servers available to service the logon request. .
Make sure that the computer is connected to the network and try again. If the problem persists, please contact your domain administrator.

DNS - прописан. Это я в первую очередь проверил. Иначе бы он вообще не соединялся наверное.

Alxdhere

Цитата:

Я проверил, как на сервере, так и на клиентских машинах netlogon не работает

под виртуальной машиной ?
попробуй найти в реестре контроллера
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon]
"DependOnService" и добавить в зависимость DNS.
Возможно netlogon стартует раньше dns и умирает....

Alxdhere
Шальная мысль в голову пришла. Попробуй клиентскую машину вывести из домена, проверь, чтобы удалился соответствующий ей объект "Computer" и введи ее снова в домен.
Кстати, ошибки Netlogon прут только на одной машине или на всех?

Нет. На реальных тачках проблемы. Виртуальный у меня только сервер.
2 G14
Изменил как сказали. Перезапустил сервис на сервере. Надо видимо сервер перезапускать, чтобы убедится в работоспособности Это завтра. У меня рабочий день кончился

2 Alan Mon
Пробовал. Та же фигня.

Добавлено:
Про ошибки забыл. На тестовой и на сервере ошибки.

С утра пораньше всандалил w2k3 server на тестовую тачку. Создал отдельную сеть, чтоб по живому не резать. Пока вроде все работает. Ничего не понимаю.

А может NT4 с доменом и Exchange в сети мешать? В домен машины не включены, но Exchange используют. Я планирую NT4 грохнуть, поэтому пока ее просто игнорирую. Может она мешает DNS???

Добавлено:
Забыл добавить. На локальной станции при вводе команды nslookup выдает
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.1.7: Timed out
*** Default servers are not available
Default Server: UnKnown
Address: 192.168.1.7

Имена разрешает но сервер типа не найден. Это как?!

Добавлено:
Все! Разобрался! Оказывается DNS на w2k3 не работает с DHCP на NetWare. Точнее они просто не взаимодействуют между собой и поэтому DNS не мог автоматически обновлять свои записи. Вот так.
Теперь у меня HASP Loader как сервис не стартует на автопилоте. Только руками. Гад Но это фигня. С ним разберусь. Всем спасибо за помощь!

Alxdhere
Вопрос. На ДНС сервере есть параметр - динамическое обновление. По умолчанию там стоит только безопасные обновления, если принудительно заставить обновлять зоны, то по моему ДНС будет работать с любым DHCP сервером. IMHO

2 psj
Я вроде пробовал. Не получалось.

Сейчас у меня на сервере w2k3 все ок. Только предупреждения:
w32time EID=22
MrxSmb EID=3019
DHCPserver EID=1056
LasSrv EID=40961

На клиентской машине все равно netlogon EID=5719. Что за фигня такая?! Читаю EventID.net пока, но решение в голове не складывается

Alxdhere
хоть бы краткие тексты ошибок приводил....


Цитата:

DHCPserver EID=1056

Event ID 1056 Is Logged After Installing DHCP

Цитата:

MrxSmb EID=3019

не смог определить тип перенаправителя ? это не страшно.
http://support.microsoft.com/kb/138365/EN-US/

2 G14
Исправлюсь. Буду писать описания

DHCPserver EID=1056 - разобрался, все ок, прописал credentials.
MrxSmb EID=3019 - изменил время autodisconnect на 600.

А вот что делать с netlogon EID=5719 No Domain Controller is available....? Блин. Искал в google.group ни у кого похоже нет четкого решения

Alxdhere
Ощущение, что на станциях некорректно прописан домен. Как не знаю, да это и не принципиально. У меня было нечто подобное - вылечил исключением станции из домена, затем удаляешь ее на контроллере, затем вводишь заново в домен. При EID=5513 - достаточно просто заново ввести в домен.

Alxdhere

Цитата:

netlogon EID=5719 No Domain Controller is available....?

возможные варианты:
How to force Kerberos to use TCP instead of UDP

вообще то станция с 2000\ХР при входе сначала запрашивает службу netlogon на предмет списка требуемых для входа серверов. Насколько я понимаю, netlogon обращается к dns и берет оттуда записи для ldap, kdc, gc, pdc и отдает клиенту....
после чего клиент опрашивает по UDP389 порту этот список адресов пока не получит корректный ответ или не перепробует все в списке. как только получен корректный ответ, начинается процедура входа с контроллера.... информация кэшируется...

исходя из этого, я все же склоняюсь к тому что ошибка возникает из за dns....

Цитата:

Я поставил w2k3 rus под Virtual PC.

клиент реальный? в новый (на VirPC)домен заново вводил?

Все! В субботу нашел причину ошибок, а сегодня, в понедельник, провел контрольный тест и убедился, что нашел верную причину. Короче говоря, драйвер сетевой карты на клиентской тачке запускался после того, как запускались сетевые сервисы! А так как тачка супер P4-3HT, 512 и пр. То, как я понимаю, сервисы завершались с ошибкой раньше, чем в компе появлялась сеть В итоге, я просто выставил приоритет запуска сетевой карты в 0 и все заработало влет! Вообще из Event Log System исчезли ошибки. Политика применяется. Права назначаются. Класс!!!

Всем спасибо за помощь, без нее я бы не нашел решения.

Alxdhere
Объясни пожалуйста каким образом:
Цитата:

я просто выставил приоритет запуска сетевой карты в 0

Не могу сообразить. А то вдруг когда-то понадобится, а как сделать не знаю

Alxdhere
Мне тоже не совсем понятно, как это такое может быть,
ведь устройства раньше инициализируются, чем любой сервис?

Поянение пожалуйста напишите.

Может и так все, как Вы сказали, но установке ключа Start в 0 в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\yukonwxp (у меня сетевая Marvell Yukon) помогла.

Было Start = 3, стало Start = 0. И все ок!

P.S. На мысль натолкнуло вот что. В Google.group искал ответ на свой вопрос по этой теме и наткнулся, что у одного человека в сети все клиенты нормально работали, а новые супер тачки бренды (!) Dell 2.4 не работали. Та же ошибка выходила, что и у меня. И он тоже думал как я. Только ответа там не было, сделал он или нет. Поэтому я не сразу попробовал этот метод. Когда уже психанул начал править ключи реестра в наглую и наткнулся.

2 pazdak
Я думаю, что аппаратка конечно вперед инициализируется, но ведь служебные сервисы не работают с аппараткой напрямую. Они должны вызывать api функции системы, которые обращаются к сервисы (драйверу) соотв. устройства. Вот и взаимосвязь.

Я создал множество пакетов для публикации пользователям. Отладил. Работают. Создал политики, которые выполняют Publish. Все ок, только бегать к пользователям и перелогиниваться под админом не прикалывает. Может есть возможность удаленно (без radmina) заходить на машину пользователя под админом (не мешая пользователю) и ставить софт? Кто-нибудь решал такую задачу?

Alxdhere

Цитата:

для публикации пользователям. Отладил. Работают

Цитата:

перелогиниваться под админом не прикалывает

ну вообще то публикация - для того чтобы юзеры сами ставили опубликованное ПО, по желанию.....если им не хватает прав, определи установку с повышенными привилегиями...
Если же трабл в том, что влом бегать - назначай приложение...

Цитата:

заходить на машину пользователя под админом (не мешая пользователю) и ставить софт?

если ставить что то консольное, то попасть в установку\удаление прог ...что то я не представляю такого....
если GUI, то ... какие клиенты то ? все одинаковые ?

Добавлено:
вот весь софт для администрирования:
http://forum.ru-board.com/topic.cgi?forum=8&topic=1696#1

Спасибо G14 за линк.

Значит сделать Assign... понятно. И для computer. Можно и так, но тогда наверное лучше всего сделать отдельную ou чтобы на время туда комп поместить для инсталляции всего софта, а потом в рабочую ou. Не будет тормозить, если политики установки на computer сделать для всего нужного софта?

Я нашел Remote Desktop Connection - встроенное средство WinXP (у меня все клиенты WinXP). Но он требует поднять на домене Terminal Server. Соответственно я задаюсь вопросом, а "стоит ли овчинка выделки"? Кто-нибудь пользуется таким и чего оно даст?

Добавлено:
У меня Published AutoCAD 2005 не хотит под Users ставиться, гад. Office ставиться, а он нет. Вот и вопрос возник.