» Проблема входа компьютера в домен

У меня есть сеть в ней есть контроллер домена. На некоторых машинах возникает проблемма - не может войти в домен. Не пускает любого пользователя(члена домена). Если я напишу правильно логин и пароль то выдает сообщение " Не удается подключится к домену потому, что он либо недоступен либо учетная запись не найдена... повторите попытку и т.д."
Если я напишу логин без пароля то мне выдаст сообщение чтбы я проверил логин и пароль, но про невозможность подключения к домену речи даже нету. Т.е. контроллер реагирует на неправильные пароли.
Когда я сбрасываю пароли он мне предлагает ввести новый пароль но после нажатии клавиши ОК он опять выдает сообщение, что домен недоступен или нету пользователя такого.
С других компютеров в это же время я могу нормально зайти под любым пользователем.
Мне кажется что, что-то случается на компьютере и домен не хочет нормально впустить пользователя на комп.
Кто подскажет с чем это может быть связано ?

результаты dcdiag и netdiag покажите

+ антивирусом прогнать было бы не плохо

и ipconfig /all с клиента, который не хочет подключаться ..

С антивирусом все нормально (nod32 со свежими обновлениями) винда практически свежая. Самое удивительное, что до какого-то момента входил в домен нормально, и тут ни с того ни с сего перестало входить. Есть случаи что под определенным логином входить не хочет, а под админом например входит в домен.
dcdiag и netdiag запускать на контроллере домена или на "пострадавшем" компьютере?

Вот что мне показал ipconfig /all на "пострадавшем" компе
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : Kankulova
Основной DNS-суффикс . . . . . . : company.donbass
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : donbass.com

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Marvell Yukon Gigabit Ethernet 10/10
0/1000Base-T Adapter, Copper RJ-45
Физический адрес. . . . . . . . . : 00-11-2F-62-A3-AF
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.1.112
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.1
DHCP-сервер . . . . . . . . . . . : 192.168.1.2
DNS-серверы . . . . . . . . . . . : 192.168.1.2
192.168.1.3
192.168.1.1
Основной WINS-сервер . . . . . . : 192.168.1.2
Дополнительный WINS-сервер. . . . : 192.168.1.3
Аренда получена . . . . . . . . . : 15 марта 2007 г. 9:15:42
Аренда истекает . . . . . . . . . : 23 марта 2007 г. 9:15:42

Добавлено:
dcdiag на серваке выдало следующее


Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\SWETLANA
Starting test: Connectivity
......................... SWETLANA passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SWETLANA
Starting test: Replications
......................... SWETLANA passed test Replications
Starting test: NCSecDesc
......................... SWETLANA passed test NCSecDesc
Starting test: NetLogons
......................... SWETLANA passed test NetLogons
Starting test: Advertising
......................... SWETLANA passed test Advertising
Starting test: KnowsOfRoleHolders
......................... SWETLANA passed test KnowsOfRoleHolders
Starting test: RidManager
......................... SWETLANA passed test RidManager
Starting test: MachineAccount
......................... SWETLANA passed test MachineAccount
Starting test: Services
Dnscache Service is stopped on [SWETLANA]
RPCLOCATOR Service is stopped on [SWETLANA]
TrkWks Service is stopped on [SWETLANA]
TrkSvr Service is stopped on [SWETLANA]
......................... SWETLANA failed test Services
Starting test: ObjectsReplicated
......................... SWETLANA passed test ObjectsReplicated
Starting test: frssysvol
There are errors after the SYSVOL has been shared.
The SYSVOL can prevent the AD from starting.
......................... SWETLANA passed test frssysvol
Starting test: kccevent
......................... SWETLANA passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x000016AD
Time Generated: 03/15/2007 12:02:26
Event String: The session setup from the computer
An Error Event occured. EventID: 0x40000004
Time Generated: 03/15/2007 12:02:49
Event String: The kerberos client received a
An Error Event occured. EventID: 0x40000004
Time Generated: 03/15/2007 12:40:23
Event String: The kerberos client received a
An Error Event occured. EventID: 0x40000004
Time Generated: 03/15/2007 12:40:25
Event String: The kerberos client received a
An Error Event occured. EventID: 0x40000004
Time Generated: 03/15/2007 12:44:25
Event String: The kerberos client received a
An Error Event occured. EventID: 0x40000004
Time Generated: 03/15/2007 12:44:25
Event String: The kerberos client received a
......................... SWETLANA failed test systemlog

Running enterprise tests on : company.donbass
Starting test: Intersite
......................... company.donbass passed test Intersite
Starting test: FsmoCheck
......................... company.donbass passed test FsmoCheck

-----------------------------------------------------------------------------------------------------------
netdiag на сервере показал следующее :

Netcard queries test . . . . . . . : Failed
GetStats failed for 'Intel(R) PRO/1000 MT Network Connection'. [ERROR_INVALID_FUNCTION]
[FATAL] - None of the netcard drivers provided satisfactory results.



Per interface results:

Adapter : Local Area Connection

Netcard queries test . . . : Failed
NetCard Status: UNKNOWN

Host Name. . . . . . . . . : swetlana
IP Address . . . . . . . . : 192.168.1.2
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.1.1
Primary WINS Server. . . . : 192.168.1.2
Dns Servers. . . . . . . . : 192.168.1.2
192.168.1.1


AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Passed

WINS service test. . . . . : Passed


Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{3EDB97EC-ADB0-4111-A814-7BEB99014848}
1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Passed


NetBT name test. . . . . . . . . . : Passed


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Passed
[WARNING] The DNS Resolver Cache service is not running. [FFFFFFFF]
PASS - All the DNS entries for DC are registered on DNS server '192.168.1.2' and other DCs also have some of the names registered.
[WARNING] The DNS entries for this DC are not registered correctly on DNS server '192.168.1.1'. Please wait for 30 minutes for DNS server replication.


Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{3EDB97EC-ADB0-4111-A814-7BEB99014848}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{3EDB97EC-ADB0-4111-A814-7BEB99014848}
The browser is bound to 1 NetBt transport.


DC discovery test. . . . . . . . . : Passed


DC list test . . . . . . . . . . . : Passed


Trust relationship test. . . . . . : Skipped


Kerberos test. . . . . . . . . . . : Passed


LDAP test. . . . . . . . . . . . . : Passed
[WARNING] Failed to query SPN registration on DC 'lanlord.company.donbass'.


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully

active directory=> computers=> удали тут комп с который в домен невходит, по идее должно помочь )

есть домен-контроллер W2000 server.
подключаю пользователей, все прекрасно работает, но при попытке пользователями открыть како-то документ word или exel, он в начале пытается что-то доустановить себе, потом ругается, что нет дистрибутива(хотя диск я ему даю тот с которого он инсталился), затем ругается на какие-то файлы и все документ не открывается.
Если же я переутанавливаю поверх существующего офиса новый, когда машина уже в домене, то потом все работает прекрасно. В чем может быть проблема? и как все это решить без переустановки Оффиса у каждого(приблизительно 150 Пк).

Такие проблемы наблюдаются со всеми оффисами(2000,2003,ХР проф, ХР для малого бизнеса), только 97 работает нормально.

P.S. у пользователей Windows XP prof SP1,SP2, Windows 2000 prof и как правило стоит office ХР для малого бизнеса

Добавлено:
другой диск я пробовал, шлейф тоже менял. СD-Rom рабочий 100%(подключал у себя)

Доброго времени суток.
У меня проблемка так и не разрешилась.
Основная проблемма - компьютеры пользователей часто не могут войти в домен необходима однократная или многократная перезагрузка или отключение сетевого шнура, чтобы он подтянул логин и пароль из кеша и пустил в систему. Пишет сообщение, что контроллера либо нет либо он недоступен, хотя все прекрасно пингуется и пользователи заведены в АД. Эта проблемма видимо исходит из другой - основной уже несколько месяцев не работает репликация. в dns-ах были кое какие проблеммы . те что я нашел невооружонным глазом я поправил но всеравно при попытке репликации в логах пишет, что не может установить репликационную связь между серверами. Еще ругается по поводу Kerberos key

Добавлено:
Доброго времени суток.
У меня проблемка так и не разрешилась.
Основная проблемма - компьютеры пользователей часто не могут войти в домен необходима однократная или многократная перезагрузка или отключение сетевого шнура, чтобы он подтянул логин и пароль из кеша и пустил в систему. Пишет сообщение, что контроллера либо нет либо он недоступен, хотя все прекрасно пингуется и пользователи заведены в АД
Что можно посоветьвать в этом случае???????

. Эта проблемма видимо исходит из другой - основной уже несколько месяцев не работает репликация. в dns-ах были кое какие проблеммы . те что я нашел невооружонным глазом я поправил но всеравно при попытке репликации в логах пишет, что не может установить репликационную связь между серверами.
The attempt to establish a replication link for the following writable directory partition failed.
Directory partition:
%1
Source domain controller:
%4
Source domain controller address:
%2
Intersite transport (if any): - здесь у меня в логе вместо %5 ничего не записано
%5
This domain controller will be unable to replicate with the source domain controller until this problem is corrected.
User Action
Verify if the source domain controller is accessible or network connectivity is available.
Additional Data
Error value:
%6 %3

Еще ругается по поводу Kerberos key :
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server %1. The target name used was %3. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (%2), and the client realm. Please contact your system administrator.

Структура сети следующая: Главный сервер с ГК запасной сервер в этом же помещении и еще один удаленный сервер который включен через WAN. Вся маршрутизация между удаленным и этими серваками работает через BSD gateway. В принципе все работает нормально связь и маршрутизация стабильная.

NSLOOKUP показывает все записи DNS имен правильно

repadmin /showreps выдает следующее сообщение
Default-First-Site-Name\SWETLANA
DC Options: IS_GC
Site Options: (none)
DC object GUID: d715976c-9ff1-4d9f-ae6e-5c01a03f2ca3
DC invocationID: d715976c-9ff1-4d9f-ae6e-5c01a03f2ca3

==== INBOUND NEIGHBORS ======================================

DC=domain,DC=com
Default-First-Site-Name\DELTA via RPC
DC object GUID: aa3ddd32-1879-4f22-886a-b7643c8ad429
Last attempt @ 2007-04-19 10:53:37 failed, result 8606 (0x219e):
Can't retrieve message string 8606 (0x219e), error 1815.
360 consecutive failure(s).
Last success @ 2007-04-04 14:51:00.

CN=Configuration,DC=domain,DC=com
Default-First-Site-Name\DELTA via RPC
DC object GUID: aa3ddd32-1879-4f22-886a-b7643c8ad429
Last attempt @ 2007-04-19 10:53:37 was successful.

CN=Schema,CN=Configuration,DC=domain,DC=com
Default-First-Site-Name\DELTA via RPC
DC object GUID: aa3ddd32-1879-4f22-886a-b7643c8ad429
Last attempt @ 2007-04-19 10:53:37 was successful.

DC=DomainDnsZones,DC=domain,DC=com
Default-First-Site-Name\DELTA via RPC
DC object GUID: aa3ddd32-1879-4f22-886a-b7643c8ad429
Last attempt @ 2007-04-19 10:53:37 was successful.

DC=ForestDnsZones,DC=domain,DC=com
Default-First-Site-Name\DELTA via RPC
DC object GUID: aa3ddd32-1879-4f22-886a-b7643c8ad429
Last attempt @ 2007-04-19 10:53:37 was successful.

Source: Default-First-Site-Name\LANLORD
******* 707 CONSECUTIVE FAILURES since 2007-04-12 03:16:37
Last error: -2146893022 (0x80090322):
Can't retrieve message string -2146893022 (0x80090322), error 1815.

Naming Context: DC=domain,DC=com
Source: Default-First-Site-Name\LANLORD
******* WARNING: KCC could not add this REPLICA LINK due to error.

Naming Context: CN=Schema,CN=Configuration,DC=domain,DC=com
Source: Default-First-Site-Name\LANLORD
******* WARNING: KCC could not add this REPLICA LINK due to error.

Naming Context: CN=Configuration,DC=domain,DC=com
Source: Default-First-Site-Name\LANLORD
******* WARNING: KCC could not add this REPLICA LINK due to error.

Source: Default-First-Site-Name\DELTA
******* 360 CONSECUTIVE FAILURES since 2007-04-04 14:51:00
Last error: 8606 (0x219e):
Can't retrieve message string 8606 (0x219e), error 1815.

Что интересно, на другом сервере который находится в этой же комнате запустил repadmin /showreps и он показал следующее:

Default-First-Site-Name\LANLORD
DC Options: (none)
Site Options: (none)
DC object GUID: a4ebb671-a495-464f-b604-94fa1a8ad57f !!!!! В предыдущем случаее эти
DC invocationID: f3d6cba0-07ad-48fe-85b2-8e6cd936822d два набора чисел идентичны и соответствовали dns имени сервера swetlana, а в этом случае DNS имени сервера lanlord соответствует только DC object GUID: a4ebb671-a495-464f-b604-94fa1a8ad57f!!!!!

==== INBOUND NEIGHBORS ======================================

DC=aircompany,DC=donbass
Default-First-Site-Name\DELTA via RPC
DC object GUID: aa3ddd32-1879-4f22-886a-b7643c8ad429
Last attempt @ 2007-04-19 10:59:35 failed, result 5 (0x5):
Can't retrieve message string 5 (0x5), error 1815.
3322 consecutive failure(s).
Last success @ 2006-10-11 09:11:36.
Default-First-Site-Name\SWETLANA via RPC
DC object GUID: d715976c-9ff1-4d9f-ae6e-5c01a03f2ca3
Last attempt @ 2007-04-19 11:44:35 failed, result 5 (0x5):
Can't retrieve message string 5 (0x5), error 1815.
14016 consecutive failure(s).
Last success @ 2006-10-11 09:12:05.

CN=Configuration,DC=aircompany,DC=donbass
Default-First-Site-Name\DELTA via RPC
DC object GUID: aa3ddd32-1879-4f22-886a-b7643c8ad429
Last attempt @ 2007-04-19 10:59:35 failed, result 5 (0x5):
Can't retrieve message string 5 (0x5), error 1815.
3322 consecutive failure(s).
Last success @ 2006-10-11 09:08:19.
Default-First-Site-Name\SWETLANA via RPC
DC object GUID: d715976c-9ff1-4d9f-ae6e-5c01a03f2ca3
Last attempt @ 2007-04-19 11:44:35 failed, result 5 (0x5):
Can't retrieve message string 5 (0x5), error 1815.
13182 consecutive failure(s).
Last success @ 2006-10-11 09:08:26.

CN=Schema,CN=Configuration,DC=domain,DC=com
Default-First-Site-Name\DELTA via RPC
DC object GUID: aa3ddd32-1879-4f22-886a-b7643c8ad429
Last attempt @ 2007-04-19 10:59:35 failed, result 5 (0x5):
Can't retrieve message string 5 (0x5), error 1815.
3322 consecutive failure(s).
Last success @ 2006-10-11 08:54:15.
Default-First-Site-Name\SWETLANA via RPC
DC object GUID: d715976c-9ff1-4d9f-ae6e-5c01a03f2ca3
Last attempt @ 2007-04-19 11:44:35 failed, result 5 (0x5):
Can't retrieve message string 5 (0x5), error 1815.
13182 consecutive failure(s).
Last success @ 2006-10-11 08:54:15.

Source: Default-First-Site-Name\DELTA
******* 3322 CONSECUTIVE FAILURES since 2006-10-11 09:11:36
Last error: 5 (0x5):
Can't retrieve message string 5 (0x5), error 1815.

Source: Default-First-Site-Name\SWETLANA
******* 14016 CONSECUTIVE FAILURES since 2006-10-11 09:12:05
Last error: 5 (0x5):
Can't retrieve message string 5 (0x5), error 1815.


Может эти DC object GUID и DC invocationID на втором сервере и должны быть разными хотя не знаю.
Вобщем описал всю ситуацию как мог ... жду помощи....

Убери для начала лишние DNS оставь один на твой взгляд самый верный. Проверь синхронизацию времени между PDC и клиентски компом. При рассинхронизации более 5 минут Kerberos может не работать, и аутентификация не произойдет. Проверь записи DNS для контроллера домена в зоне msdcs.имя_домена.

Время я проверил и поправил. На серверах стояли разные часовые зоны у обоих +2 но у одного было выбрано Киев, Хельсинки и т...д... а у другого другие страны. Может это повлияло на работу Kerberos? Msdcs. на swetlana сервере проверил вроде все правильно и в ДНСах у нее указан только сервер swetlana a на lanlord сервере в ДНС есть и swetlana и lanlord сервера. Т.е. получается swetlana работает только с одним (своим) же dns сервером. Та же ситуация на удаленном сервере delta у него в dns-ах есть оба сервера, только еще одна проблемка и на lanlord и на delta в DNS настройках DNS\DELTA(lanlord)\Forvard Lookup Zones\_mscds.domain.com в записях типа name servers и в их настройках name servers есть следующие ошибки :lanlord.domain.com unknown
delta.domain.com 192.168.0.3*
swetlana.domain.com unknown
Не определяет айпи адреса серверов. Причем кнопки управления типа add or Deleta or edit не активны....

Если я поотключаю те DNSы что выдают ошибку вытянет ли основной сервер на котором DNS работает нормально? в сети около 200 машин. Это с учетом тех, которые находятся с удаленным сервером в другом месте.

Цитата:

" Не удается подключится к домену потому, что он либо недоступен либо учетная запись не найдена... повторите попытку и т.д."

Такая проблема последнее время все больше начинает доставать.
Самое интересное что когда заходишь не в домен, а на комп.
Он видит домен нормально.
Полностью сеть со всеми компонентами.
Возможно пропадают доверительные отношения с доменом.
Решил простым переподключением в домен.

Цитата:

Решил простым переподключением в домен.

Дело в том, что когда переподключаю компьютер в домен, то в ключить в домен не всегда получается с первого раза, приходится около 10 раз перегружаться и повторять всю операцию входа в домен заново. Это уже так достало, жаль нельзя остановить на недельку предприятие, чтобы все наладить с ноля

Цитата:

Дело в том, что когда переподключаю компьютер в домен, то в ключить в домен не всегда получается с первого раза, приходится около 10 раз перегружаться и повторять всю операцию входа в домен заново.

Попробуй сначалы вывести из домена в какую нибудь группу Work.
А затем уже потключай к домену.
У меня срабатывало сразу с первого раза.

Как раз это делаю - срабатывает с 10 попытки. Пишет что то поповоду ошибки в учетной записи (той учетки с чьими правами я пытаюсь подсоединить комп к домену) Администратора.

viberua
А точнее что за ошибка.

В этой теме я с самого начала начал писать, в чем тут проблемма. Почтиайте если хотите и можете помочь. Я старался написать как можно яснее.

Цитата:

viberua

Сегодня опять возникла эта проблема.
Попробуй делать не переподключение к домену.
А включить мастера сетевой идентификации.
Должно помочь.

А где мне этот мастер сетевой идентификации найти ? В службах или хде ?

Цитата:

viberua

Свойства системы -> Имя компьютера -> Идентификация.

Да мастер сетевой идентификации я использую, проблему включения компьютера в домен я частично поборол. Но это все просто последствия неправильной работы всех контроллеров домена в целом. Вся проблемма в тех ошибках, что я читаю в логах, серваки не видят как бы друг друга, не хотят реплицироваться, ругаются, на то что другой сервер возможно был удален и т.п. хотя все они функционируют и все в домене.

viberua
Попробуй сделать следующие действия:
Посмотри видят ли они друг друга по сетке
Очистить базы данных Wins (всех) произвести принудительную репликацию.
Очистить кеш сервера имен.
Делаешь пока только на основном DNS сервере.
Проверь записи зоны прямого просмотра.
У тебя должно быть 3 записи с типом "сервер имен" (если я правильно понял) с зачением "полным именем севера".
1 запись с типом "начальная зона" с значение "полное имя сервера, admin".
1 запись с типом "просмотр Wins" с указанием в значениях "ip всех wins серверов"
3 записи тип "узел" с указанием значения IP аресов. записи других машин нас пока не интересуют.
Зоны интегрированы в AD?
Если зоны интегрированы, то должно стоять динамическое обновление.
Везде должны быть настроены зоны обратного просмотра, в которых тоже должны присутствовать записи о всех серверах Wins и Dns.
В свойствах самой зоны есть вкладка "Серверы имен" там должны быть прописаны все сервера имен (и в обратной зоне тоже).
В свойствах самой зоны есть вкладка "Передача зон", если нету поставь галку "разрешить передачи зон" и "на любой сервер" (пока так, а дальше если захочешь по экспериментируешь ) (и в обратной зоне тоже).
В свойствах самой зоны есть вкладка "Начальная запись зоны", в строке "Основной сервер" он должен быть указан, в строке "Ответственное лицо…." admin. (и в обратной зоне тоже).
В свойствах самой зоны есть вкладка "wins" должна (или нет вопрос спорный, но на данный момент нужна) стоять галка "использовать прямой просмотр wins".
В свойствах самого сервера есть вкладка "интерфейсы" поставь (если нет) "Прослушивать: по всем ip адресам", во вкладке "пересылка" галку "разрешить пересылку", во вкладке "корневые ссылки" укажи все сервера имен.
На DHCP в параметрах области проверь параметр "006 DNS-серверы" должны идти в том порядке в котором ты хочешь, чтобы машины их запрашивали и "044 WINS/NBNS-серверы" должны идти в том порядке в котором ты хочешь, чтобы машины их запрашивали.
В сайтах и службах проведи принудительную репликацию.
На других серверах DNS перезапусти службу. По идее должны появиться точно такие же настройки, если нет проделай тоже самое с каждым.

P.S. 1-го DNS вполне хватит и для 200 машин и более.

[q]По сетке они друг друга видят я могу зайти на их шары ....
Базу данных Wins проверил, нашел ошибки - партнером репликаций в wins был старый сервер (aerolord) который нашатнулся и его не удалили корректно - я точно не знаю что там с ним произошло и как они востанавливали домен - я еще тогда здесь не работал. Было вроде дело так - был главный сервер LANLORD там полетело железо - главным стал SWETLANA потом отремонтировали LANLORD - поставили там новую систему и уже ввели его в домен как AEROLORD дали ему айпи 192.168.1.5 он снова через некоторое время упал вроде HDD посыпался. Его опять подчинили и снова в вели в сеть с именем LANLORD и дали айпи 192.168.1.3. Вот такая запутанная история. Теперь этот призрак AEROLORDA я еще нахожу в некоторых местах и пытаюсь откоректировать все записи. Удалил его оттуда и добавил другие сервера delta и lanlord. Кэш сервера имен очистил.
Зоны прямого просмотра проверил на главном сервере - там все записи в порядке, только включил еще в настройках WINS forward lookup. В начальной зоне SOA primary server указан правильно в ответственном лице написано hostmaster.domain.com. А вы как я понял говорите что там должно ответственное лицо быть Administrator?
Зоны в AD интегрированы. Как я понял АD создавался с помощью мастера и там все настройки идут по умолчанию. Динамическое обновление вроде включено - все ок.
Зоны обратного просмотра есть. И записи там корректные. Серверы имен прописаны правильно -тоже проверил . Передача зон осуществляется на любой сервер. В начально записи зоны в обратных зонах ответственное лицо опять же hostmaster хотя я смотрел такого пользователя в домене вообще нету. Видимо этот пользователь не пренадлижиты к пользователям которые существуют в AD.
В настройках днс какие интерфейсы слушать - я выбрал там тоже только те адреса которые нужны.
Мы перешли на статику, службу DHCP я еще не выключал - но вскоре сделаю это и все IP вбиваем в ручную. В сайтах и службах при попытке провести репликацию принудительно выдает ошибку, ругается на то что например не правильное имя LANLORD, например principial name is incorrect.
В логах выскакивают ошибки по поводу репликации и там есть записи со старым сервером AEROLORD где эти записи еще искать я уже не знаю. В схемах смотрели - все записи стандартные.
Спасибо за советы. С нетерпением жду новых.

viberua
[
Цитата:

Теперь этот призрак AEROLORDA я еще нахожу в некоторых местах

Это будет еще очень долго, да и посторайся пока не использовать сетевую карту этого сервера т.к. по mac адресу сетка его будет вспоминать. Лет 5 назад у нас контроллер накрылся и мы его правильно не вывели и не передали роли, он у нас до сих пор переодически всплывает сей час уже реже. Если вспомню то напишу наши действия. Одно помню, что сайт мелкософта нам тогда помог мало. К стати он будет переодически вставать в репликации сам.

Цитата:

Мы перешли на статику, службу DHCP я еще не выключал

зря он не помешает, переустановить службу да, а совсем отключать не стоит.


Добавлено:
Вот нашел несколько ссылок правда в основном только на сайте мелкософта:
http://support.microsoft.com/kb/216498/ru - Удаление данных из Active Directory после неудачного понижения роли контроллера домена
http://support.microsoft.com/kb/300684 - Сведения о настройке Windows для доменов с DNS-именем, состоящим из одной метки
http://support.microsoft.com/kb/255504 - Использование средства Ntdsutil.exe для получения и передачи ролей FSMO контроллеру домена
http://support.microsoft.com/kb/223787/ - Захват и передача ролей FSMO
http://support.microsoft.com/kb/332199 - Принудительное понижение роли контроллеров домена с помощью мастера установки Active Directory в Windows Server 2003 или Windows 2000 Server выполняется неправильно
http://www.cyberguru.ru/operating-systems/windows-admin/windows2000server-active-directory-6.html - Служба каталогов Active Directory в Windows 2000 Server
Страница 6. Понижение контроллера домена

Попробуй понизить до рядовых и вывести из домена все DC кроме 192.168.1.2 и все DNS кроме 192.168.1.2. (такого кол-ва пользователей и такой ситуации этого вполне достаточно) и посмотри что будет ли продолжаться эта бадяга. Если она продолжается то еще раз пройдись по контроллеру и проверь все настройки.
Есть мнение №1, что машины пытаются искать и авторизоваться на несуществующем контроллере. Авторизовать не могут новые или уже проработавшие машины (не пользователи), или же именно пользователи (т.е. на одной машине всегда работал пользователь1, а пользователь2 ни разу не логинился, так вот если пользователь2 будет логиниться он зайдет или нет?).
Есть мнение №2, что проблема с доступами к папкам политик. Проверь доступы к папкам: \\имя сервера\SYSVOL , \\имя сервера \SYSVOL\имя сервера.local\Policies и к каждой папке в этой (должны быть следующие доступа: SYSTEM (full), Администраторы домена (full), Администраторы предприятия (full), Прошедшие проверку (чтение и выполнение, список содержимого папки, чтение), СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ).
Есть мнение №3, что мешает перекрестная политика (скорее всего именно это, т.к. эта штука всплывает если были проблемы с репликациями и пр. с DC такие как не корректное удаление ….) и из-за этого частенько бывает ошибка «1000» только в Win2k. Зайди AD пользователи и компьютеры, выбери контейнер с юзерами (которые не логиняться), правой клавишей «свойства» «групповая политика», далее сама политика «изменить», далее «конфигурация компьютера» «Параметры безопасности» «Назначение прав пользователя» и задать параметры в «Обход перекрестной проверки». Вот это надо делать только с теми контейнерами где юзеры не могут зайти, с остальными лучше не надо.
Но еще раз повторюсь оставь пока только 1 контроллер домена, наладишь его потом поднимишь другие.
Да и по поводу
Цитата:

я точно не знаю что там с ним произошло и как они востанавливали домен - я еще тогда здесь не работал. Было вроде дело так - был главный сервер LANLORD там полетело железо - главным стал SWETLANA потом отремонтировали LANLORD - поставили там новую систему и уже ввели его в домен как AEROLORD дали ему айпи 192.168.1.5 он снова через некоторое время упал вроде HDD посыпался. Его опять подчинили и снова в вели в сеть с именем LANLORD и дали айпи 192.168.1.3. Вот такая запутанная история. Теперь этот призрак AEROLORDA я еще нахожу в некоторых местах и пытаюсь откоректировать все записи

смотри все записи в захороненных. От туда надо удалить. На сайте мелкософта удаление объектов я не нашел, зато это есть в книжке «Windows 2000 Active Directory» А.Н. Чекмарев,2001 издательство «БХВ-Петербург»,2001 на странице 251.

Понизить до рядового сервера меня уже идея посещала, только я не смогу понизить 192.168.0.3 - delta он у нас работает один удаленно. Если он перестанет работать как контроллер то все пользователи ломануться через невысокоскоростной канал к swetlan-е. Ну может на выходных попытаться стоит.
Dhcp хорошая вообще штука но она тут изначально была неправильно сделана в корне. Я бы сделал привязку к МАК адресам но пока времени небыло. Надо сперва с основным разобраться.
Доступ к папкам я проверил - вроде все нормально.
По поводу перекресной политики я проверю, спасибо.

Книги у меня такой нету. Может есть где в электронном виде ?

В логах на ГК начали появлятся сообщения о дублицирующихся пользователях. Видимо какая-то репликация начинает проходить и сервер просто получает записи пользователей с других серверов которые создавались в ручную (типа вместо репликации) на lanlord и на delta в логах ошибки kerberos частенько встречаются c eventid 4 а также в логах directory service eventid 2042 и 1988.

Цитата:

В логах на ГК начали появлятся сообщения о дублицирующихся пользователях. Видимо какая-то репликация начинает проходить и сервер просто получает записи пользователей с других серверов которые создавались в ручную (типа вместо репликации) на lanlord и на delta в логах ошибки kerberos частенько встречаются c eventid 4 а также в логах directory service eventid 2042 и 1988.

Это и есть твоя 1 проблема, из-за этого и не работают юзеры. Т.к.
Цитата:

задать параметры в «Обход перекрестной проверки»

обязательно задай т.к. машина до alt+ctrl+delete может получать данные о групповой политике на машину от одного сервера, а после попытке залогиниться запрос идет к другому и поэтому сертефикаты от kerberos разные и как результат
Цитата:

" Не удается подключится к домену потому, что он либо недоступен либо учетная запись не найдена... повторите попытку и т.д."

Но только на тех контейнера в которых проблемные пользователи, другие не трогай!!

Понял, но дело в том что kerberos ругается не на пользователей и их клиенстких машин, а ругается один сервак на другого - например на lanlord выскакивает такая ошибка:

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/swetlana.domain.com. The target name used was DOMAIN\SWETLANA$. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (DOMAIN.COM), and the client realm. Please contact your system administrator.

я уже сбрасывал пароли(лицензии) в керберос так как это было указано в интернете но что то ничего не помогло.

И скажите еще одно если я перегружу swetlana который является GC и PDC то другой сервер в это время не перехватит на себя все эти права ? Поэтому я с легкостью перегружаю delta и lanlord если я провожу там изменения. А c swetlana даже не знаю как быть.

Цитата:

а ругается один сервак на другого - например на lanlord выскакивает такая ошибка:

А сервак наверно тоже под какой-то учеткой грузится?

Добавлено:

Цитата:

И скажите еще одно если я перегружу swetlana который является GC и PDC то другой сервер в это время не перехватит на себя все эти права

Да если на том сервке это есть. Например хранителем глобального католога может быть не один сервер.

нет конечно, он загружается и появляется окошко ctrl-alt-delete и все. Т.е. там где-то ошибка взаимодействия серверов не как пользователей а как контроллеров домена.

2viberua
кстати о kerberos - если разница во времени составляет 5 минут то аунтификация проходить не будет. проведи синхронизацию на серверах и клиентах в обязательном порядке