(no subject)

Oct 13, 2011 17:30

Друзья, коллеги, читатели! Кто силен в администрировании windows, прошу потратить 3 минуты и, если получится, помочь советом.

Понимаю, что тема избитая, сам перечитал несколько десятков подобных тем на форумах, но так и не удается решить проблему.

Суть: с нескольких (3 из 20) машин не удается нормально работать в домене, т.е. они не могут зайти на сетевые ресурсы, не авторизуются на ISA.

Подробное описание:
Домен. Win 2003 Standard R2 SP2 (+ Exchange 2003), сделан основным контроллером домена (до этого был резервным контроллером) после падения главного сервера (умер RAID 5).Имя сервера - amdsrve, домен amd.local Был перенесен глобальный каталог, [в правильном порядке сделан хозяином всех ролей (если смотреть AD users and computers, "хозяева операций" домена amd.local то там всюду прописан amdsrve.amd.local), заново настроен DNS (с удалением и переустановкой этой службы), переустановлена служба сертификации. На всякий случай приведу из ntdsutil:
metadata cleanup: select operation target
select operation target: list dom
Найдено доменов: 1
0 - DC=amd,DC=local
select operation target: list sites
Найдено сайтов: 1
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=amd,DC=local
select operation target: sel site 0
Сайт - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=amd,DC=local
Нет текущего домена
Нет текущего сервера
Нет текущего контекста именования
select operation target: list servers in site
Найдено серверов: 1
0 - CN=AMDSRVE,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,D
C=amd,DC=local

В итоге получил практически чистые логи (ругается репликация Exchange, т.к. некуда, и я вывел в лог Kerberos, там ошибки вида
A Kerberos Error Message was received:
on logon session
Client Time:
Server Time: 16:2:9.0000 10/13/2011 Z
Error Code: 0xd KDC_ERR_BADOPTION
Extended Error: 0xc00000bb KLIN(0)
Client Realm:
Client Name:
Server Realm: AMD.LOCAL
Server Name: host/amdsrve.amd.local
Target Name: host/amdsrve.amd.local@AMD.LOCAL
Error Text:
File: 9
Line: b22
Error Data is in record data.

dcdiag и netdiag проходят без ошибок. IP сервера 10.1.1.4, он же указан в настройках сети и сам у себя DNS-сервером и у [I]проблемных рабочих станций тоже[/I] (особо отмечу это, потому что 3/4 случаев связаны с тем, что прописаны кривые DNS-сервера). Адреса провайдреских DNS, как положено, указаны в Пересылке в настройках DNS-сервера.

Рабочие станции - Win XP SP3 (для SP2 у микрософта есть специальный патч ), firewall пробовал выключать и включать, статические ip, одна из машин:
ip 10.1.1.7
mask 255.255.255.0
gate 10.1.1.5
DNS 10.1.1.4

Эти машины спокойно (хотя и с подвисанием на 3-5 минут) выводятся из домена и вводятся обратно. С них отлично пингуется контроллер домена, он же прекрасно резолвится через nslookup.
Тем не менее, в логах этих машин есть следующее:
LSASRV (Код(ID) 40960) "Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть (0xc000005e)"

LSASRV (Код(ID) 40961) "Системе безопасности не удалось установить безопасное подключение к серверу cifs/amdsrve.amd.local. Отсутствуют доступные протоколы проверки подлинности."

Микрософт пишет, что эти два предупреждения - не проблема, и можно не обращать на них внимания. Всё бы ничего, да только сеть-то не работает...
AutoEnrollment (Код(ID) 15) "Автоматическая подача заявки на сертификат Локальная система: не удалось связаться с каталогом Active Directory (0x8007054b). Указанный домен не существует или к нему невозможно подключиться. Подача заявки выполнена не будет."

Микрософт пишет, мол DNS нормально настройте. Так он настроен!
и еще:
Userenv (Код(ID) 1006) Не удалось выполнить привязку к домену amd.local. (Нет данных). Обработка групповой политики прекращена.

Userenv (Код(ID) 1030) Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.

Userenv (Код(ID) 1053) Не удалось определить имя пользователя или компьютера. (Внутренняя ошибка. ). Обработка групповой политики прекращена.

Userenv (Код(ID) 1054) "Не удалось получить имя контроллера домена в этой сети. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.

NETLOGON (Код(ID) 5719) "Для домена amd.local нет доступного контроллера домена. Ошибка: Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.Убедитесь в том, что компьютер подключен к сети и повторите попытку."

Всё, что я прочитал за много часов в интернете, говорит об ошибках в настройке DNS или физических проблемах в структуре сети. Но... у меня все нормально!
Адрес DNS сервера на машинах я проверял несколько раз, даже пробовал удалять сетевуху из устройств и заново настраивать, переподключать в другой порт на свиче, многократно выводил из домена и вводил заново (с удалением учетки компа из AD user and computers).

Помимо проблем с рабочими станциями, подобное есть и с серверами: через RDP не могу зайти под доменным админом на прокси-сервер (который 10.1.1.5, тоже Win 2003 Standard R2 SP2) - говорит Access denied, хотя тоже выводил и вводил его в домен; на вновь поднятом основном сервере поставил Win 2008 Enterprise SP2 x64 RU, он тоже легко ввелся в домен, но при попытке сделать его вторым контроллером домена появлялась ошибка:
DNS успешно запросила запись ресурса размещения службы (SRV), используемой для выяснения размещения контроллера домена Active Directory для домена "amd.local":
Запрос был для SRV-записи для _ldap._tcp.dc._msdcs.amd.local
Этим запросом были идентифицированы следующие контроллеры домена Active Directory:
amdsrve.amd.local
К возможным причинам этой ошибки относятся:
- Записи узлов (A), которые сопоставляют имя контроллера домена Active Directory его IP-адресам, утеряны или содержат неправильные адреса.
- Контроллеры доменов Active Directory, зарегистрированные в DNS, не подключены к сети или не запущены.

В сети перестал работать RAdmin...

Я не знаю, что сделать еще... Помогите пожалуйста мудрым советом!

обсуждение тут
http://forum.oszone.net/thread-217885.html

UPD Вопрос разрешился обновлением Win 2003 до 2008. Вот жопа-то. Exchange 2003 при этом не захотел работать ни в какую. Вообще никак. Работа Exchange 2003 на Win 2008 в принципе поддерживается, при наличии у обоих сервис-паков, но все-таки это не совсем хорошо, Микрософт прямо об этом везде пишет.
Дистрибутива Exchange с интегрированным SP2 найти не удалось, переустановить или удалить он не дался. Переход (обновление) на Exchange 2007 невозможен, поскольку тот работает только на x64. Пришлось делать откат...

Для решения вопросов в домене поднял временный DC; на обычном современном компе (core i3 2100, 4 Gb) Win 2003 на удивление летает - перезагрузка происходит за пару минут, чего не скажешь о серваке с xeon`ами.
А Exchange оказался удивительно живуч: я взял недельный бэкап, где сервер был контроллером домена, снес AD совсем, снова сделал контроллером домена, уже не основным, а Exchange поднялся, как ни в чем не бывало, и заработал, со всеми ящиками и настройками. УРА!

одминское, работа

Previous post Next post
Up