Comments | i_nikita: (без темы)

i_nikita

(Untitled)

Oct 13, 2011 17:30

Друзья, коллеги, читатели! Кто силен в администрировании windows, прошу потратить 3 минуты и, если получится, помочь советом.

Понимаю, что тема избитая, сам перечитал несколько десятков подобных тем на форумах, но так и не удается решить проблему.

Суть: с нескольких (3 из 20) машин не удается нормально работать в домене, т.е. они не могут зайти ( Read more... )

одминское, работа

Leave a comment

Back to all threads

trin_3_trin October 13 2011, 14:05:32 UTC

http://blog.christophermichaelwebb.com/windows/how-to-seize-fsmo-roles-and-clean-up-failed-domain-controllers-in-active-directory/165/

Думаю, что в части cleanup остались проблемы.

i_nikita October 13 2011, 15:14:25 UTC

неа.

metadata cleanup: select operation target
select operation target: list dom
Найдено доменов: 1
0 - DC=amd,DC=local
select operation target: list sites
Найдено сайтов: 1
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=amd,DC=local
select operation target: sel site 0
Сайт - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=amd,DC=local
Нет текущего домена
Нет текущего сервера
Нет текущего контекста именования
select operation target: list servers in site
Найдено серверов: 1
0 - CN=AMDSRVE,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,D
C=amd,DC=local

trin_3_trin October 13 2011, 16:49:56 UTC

А какая-то ругань на DC в моменты попыток входа с проблемных машин есть? Они туда вообще суются за логином? В support tools есть утиль nltest (с ключом dclist для твоего домена) - можно попробовать посмотреть, куда они лезть пытаются (если пытаются).

i_nikita October 13 2011, 17:10:21 UTC

в логах чисто.

nltest /dclist:amd
Get list of DCs in domain 'amd' from '\\AMDSRVE'.
amdsrve.amd.local [PDC] [DS] Site: Default-First-Site-Name
The command completed successfully

trin_3_trin October 13 2011, 17:28:54 UTC

Интересно, а с машины не в составе домена, можно запросить подключение к какому-нибудь ресурсу на DC (admin$ скажем), получится войти через DOMAIN\user и соотв. пароль? Загадочно как у тебя там...

i_nikita October 13 2011, 17:44:52 UTC

ну вот с прокси, который в очередной раз перезавел в домен, но находясь под локальным админом, на серверную шару зашел таким образом, правда, тупил минуту-две.

trin_3_trin October 13 2011, 18:04:27 UTC

A Global Catalog включен на DC? Хотя, конечно, вряд ли оно бы так влияло...

i_nikita October 13 2011, 18:09:19 UTC

Конечно, глобальный каталог я сначала перенес, а после удаления первого контроллера этой галки не вижу.

trin_3_trin October 14 2011, 07:21:57 UTC

Хм, пожалуй, я исчерпался. ) Думаю, всё же, стоит порыть в сторону не DC, а проблемных станций. Посмотреть на них сниффером трафик smb и kerberos. Как-то странно, что так избирательно глючит.

trin_3_trin October 14 2011, 11:11:36 UTC

Слушай, а вот у тебя керберос failed в netdiag только с проблемных машин или с непроблемных тоже?
На проблемных klist tickets что-то выдает? Может, попытаться обновить пароль машины в домене через netdom resetpwd и сбросить кэш кребероса? такое ощущение, что либо как-то фаерволлится трафик до KDC, либо что-то порушилось с тикетами.

i_nikita October 17 2011, 19:10:29 UTC

с тикетами проблема была, да. не выдавались.
netdom resetpwd попробовал, не помогло.

вопрос решился апргрейдом 2003 до 2008. Теперь, правда, exchange 2003 как-то надо поднять...

Back to all threads