Здравствуйте, после настройки мастера безопасности на контроллере домена (server 2003) и на клиентах (XP) начали появляться ошибки 1030, 1058. Прочёл эту тему http://support.microsoft.com/kb/842804/ru. Обновления установлены, а в реестр изменения вносить не спешу...стоит ли это делать? У меня не наблюдается длительного (около часа) входа в систему после перезагрузки.

Вообще-то параметр WaitForNetwork рекомендуется всегда устанавливать, дабы групповая политика отрабатывалась на клиентах, т.к. без него клиенты с ХР входят в систему, и ГП может примениться только через пару часов. А если к ней скрипты привязаны?

это понятно, а если проблемы с сетевым подключением, то на комп вообще не получится попасть?

Получится, если не отключено кэширование доменного пароля. А локально попасть - сетевое подключение ни при чем.

а как проверить отключено ли кэширование доменного пароля?

Если знаете где - смотрите ГП (RSOP). Если нет - выдерните сетевой кабель и пробуйте залогиниться в домен.

Выполнил действия, описанные в этой статье http://support.microsoft.com/kb/842804/ru. На контроллере домена ошибки появляться перестали, остались только на машине XP

ipconfig c 2003
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : FILE-SERVER
Основной DNS-суффикс . . . . . . : ak-holding.sss
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : ak-holding.sss
Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Физический адрес. . . . . . . . . : 00-15-17-44-3E-D1
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.202.20
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.202.1
DNS-серверы . . . . . . . . . . . : 192.168.202.20
192.168.202.25

c XP
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : lar
Основной DNS-суффикс . . . . . . : ak-holding.sss
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : ak-holding.sss
Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) 82566DM-2 Gigabit Network Connection
Физический адрес. . . . . . . . . : 00-22-64-A5-F5-88
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.202.55
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.202.1
DHCP-сервер . . . . . . . . . . . : 192.168.202.25
DNS-серверы . . . . . . . . . . . : 192.168.202.20
192.168.202.25
Аренда получена . . . . . . . . . : 20 августа 2009 г. 10:12:27
Аренда истекает . . . . . . . . . : 29 октября 2011 г. 10:12:27

KpaH4iTo, в статье KB887303 (http://support.microsoft.com/kb/887303) больше вариантов.
Вы уже задавали этот вопрос (http://forum.oszone.net/post-1113618.html#post1113618) три месяца назад.

Petya V4sechkin,
спасибо статья помогла

У меня несколько другая проблема, которая, как я подозреваю произошла после смены пароля Администратора:

На ГКД примерно раз в 2 часа появляются ошибки


Как я думаю, ошибки (см. ниже) стали выползать после того, как был изменен пароль built-in Администратора. Ошибки следующие:

Application:

Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1058
Date: 01/08/2010
Time: 08:25:36
User: METAL\administrator
Computer: DCNEW
Description:
Windows cannot access the file gpt.ini for GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=metal,DC=local. The file must be present at the location <\\metal.local\sysvol\metal.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Logon failure: unknown user name or bad password. ). Group Policy processing aborted.



Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1030
Date: 01/08/2010
Time: 08:25:36
User: METAL\administrator
Computer: DCNEW
Description:
Windows cannot query for the list of Group Policy objects. Check the event log for possible messages previously logged by the policy engine that describes the reason for this.

и System :

Event Type: Warning
Event Source: LSASRV
Event Category: SPNEGO (Negotiator)
Event ID: 40960
Date: 01/08/2010
Time: 08:25:36
User: N/A
Computer: DCNEW
Description:
The Security System detected an authentication error for the server cifs/dcnew.metal.local. The failure code from authentication protocol Kerberos was "The attempted logon is invalid. This is either due to a bad username or authentication information.
(0xc000006d)".


И вот результаты отработки команд на двух КД


У меня два контроллера - Dcnew - главный - и BDC - второстепенный

Главный контроллер - Dcnew

Netdiag /q

........................................

Computer Name: DCNEW
DNS Host Name: dcnew.metal.local
System info : Microsoft Windows Server 2003 (Build 3790)
Processor : x86 Family 6 Model 30 Stepping 5, GenuineIntel
List of installed hotfixes :
...


Per interface results:
Adapter : Local Area Connection 2
Host Name. . . . . . . . . : dcnew
IP Address . . . . . . . . : 192.168.150.199
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.150.100
Primary WINS Server. . . . : 192.168.150.199
Secondary WINS Server. . . : 192.168.150.205
Dns Servers. . . . . . . . : 192.168.150.205
192.168.150.199

Global results:
[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.
DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.150.205' and other DCs also have some of the names registered.
PASS - All the DNS entries for DC are registered on DNS server '192.168.150.199' and other DCs also have some of the names registered.
IP Security test . . . . . . . . . : Skipped
The command completed successfully



Dcdiag /q

An Error Event occured. EventID: 0xC25A001D
Time Generated: 08/01/2010 11:53:06
(Event String could not be retrieved)
......................... DCNEW failed test systemlog



Ipconfig /all

Windows IP Configuration
Host Name . . . . . . . . . . . . : dcnew
Primary Dns Suffix . . . . . . . : metal.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : metal.local

Ethernet adapter Local Area Connection 2:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
Physical Address. . . . . . . . . : 00-21-5E-67-50-99
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.150.199
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.150.100
DNS Servers . . . . . . . . . . . : 192.168.150.205
192.168.150.199
Primary WINS Server . . . . . . . : 192.168.150.199
Secondary WINS Server . . . . . . : 192.168.150.205



Repadmin /showreps

Default-First-Site\DCNEW
DC Options: IS_GC
Site Options: (none)
DC object GUID: a52bdc5b-ff1f-4ecc-9390-a2bf459d29b6
DC invocationID: b7ead90e-d132-42ac-93c1-cb7726921982

==== INBOUND NEIGHBORS ======================================
DC=metal,DC=local
Default-First-Site\BDC via RPC
DC object GUID: 73ebe5a3-9212-4fff-ba5c-a27f2eca1db7
Last attempt @ 2010-08-01 12:21:49 was successful.

CN=Configuration,DC=metal,DC=local
Default-First-Site\BDC via RPC
DC object GUID: 73ebe5a3-9212-4fff-ba5c-a27f2eca1db7
Last attempt @ 2010-08-01 12:16:41 was successful.

CN=Schema,CN=Configuration,DC=metal,DC=local
Default-First-Site\BDC via RPC
DC object GUID: 73ebe5a3-9212-4fff-ba5c-a27f2eca1db7
Last attempt @ 2010-08-01 12:16:41 was successful.

DC=DomainDnsZones,DC=metal,DC=local
Default-First-Site\BDC via RPC
DC object GUID: 73ebe5a3-9212-4fff-ba5c-a27f2eca1db7
Last attempt @ 2010-08-01 12:16:41 was successful.

DC=ForestDnsZones,DC=metal,DC=local
Default-First-Site\BDC via RPC
DC object GUID: 73ebe5a3-9212-4fff-ba5c-a27f2eca1db7
Last attempt @ 2010-08-01 12:16:41 was successful.





Дополнительный контроллер BDC

Netdiag /q

.........................................
Computer Name: BDC
DNS Host Name: bdc.metal.local
System info : Microsoft Windows Server 2003 (Build 3790)
Processor : x86 Family 15 Model 4 Stepping 3, GenuineIntel
List of installed hotfixes :
...
[WARNING] The net card 'Marvell Yukon 88E8050 PCI-E ASF Gigabit Ethernet Controller - Teefer2 Miniport' may not be working.
[WARNING] The net card 'Marvell Yukon 88E8050 PCI-E ASF Gigabit Ethernet Controller' may not be working.

Per interface results:
Adapter : Local Area Connection 2
Host Name. . . . . . . . . : bdc.metal.local
IP Address . . . . . . . . : 192.168.150.205
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.150.100
Primary WINS Server. . . . : 192.168.150.199
Secondary WINS Server. . . : 192.168.150.205
Dns Servers. . . . . . . . : 192.168.150.199
192.168.150.205

Adapter : Local Area Connection
Netcard queries test . . . : Failed
NetCard Status: DISCONNECTED
Some tests will be skipped on this interface.

Host Name. . . . . . . . . : bdc
Autoconfiguration IP Address : 169.254.245.188
Subnet Mask. . . . . . . . : 255.255.0.0
Default Gateway. . . . . . :
Dns Servers. . . . . . . . :


Global results:
[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.

DNS test . . . . . . . . . . . . . : Passed
[WARNING] Cannot find a primary authoritative DNS server for the name
'bdc.metal.local.'. [ERROR_TIMEOUT]
The name 'bdc.metal.local.' may not be registered in DNS.
PASS - All the DNS entries for DC are registered on DNS server '192.168.150.199' and other DCs also have some of the names registered.
PASS - All the DNS entries for DC are registered on DNS server '192.168.150.205' and other DCs also have some of the names registered.
IP Security test . . . . . . . . . : Skipped


The command completed successfully

Dcdiag /q

Warning: BDC is not advertising as a time server.
......................... BDC failed test Advertising
Could not open w32time Service on [BDC]:failed with 1060: Win32 Error 1060
......................... BDC failed test Services

Repadmin /showreps

Default-First-Site\BDC
DC Options: (none)
Site Options: (none)
DC object GUID: 73ebe5a3-9212-4fff-ba5c-a27f2eca1db7
DC invocationID: 24fc05e0-f880-4224-8a36-70440af21918

==== INBOUND NEIGHBORS ======================================

DC=metal,DC=local
Default-First-Site\DCNEW via RPC
DC object GUID: a52bdc5b-ff1f-4ecc-9390-a2bf459d29b6
Last attempt @ 2010-08-01 12:22:21 was successful.

CN=Configuration,DC=metal,DC=local
Default-First-Site\DCNEW via RPC
DC object GUID: a52bdc5b-ff1f-4ecc-9390-a2bf459d29b6
Last attempt @ 2010-08-01 11:59:43 was successful.

CN=Schema,CN=Configuration,DC=metal,DC=local
Default-First-Site\DCNEW via RPC
DC object GUID: a52bdc5b-ff1f-4ecc-9390-a2bf459d29b6
Last attempt @ 2010-08-01 11:48:51 was successful.

DC=DomainDnsZones,DC=metal,DC=local
Default-First-Site\DCNEW via RPC
DC object GUID: a52bdc5b-ff1f-4ecc-9390-a2bf459d29b6
Last attempt @ 2010-08-01 11:48:51 was successful.

DC=ForestDnsZones,DC=metal,DC=local
Default-First-Site\DCNEW via RPC
DC object GUID: a52bdc5b-ff1f-4ecc-9390-a2bf459d29b6
Last attempt @ 2010-08-01 11:48:51 was successful.

Ipconfig /all


Windows IP Configuration
Host Name . . . . . . . . . . . . : bdc
Primary Dns Suffix . . . . . . . : metal.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : metal.local

Ethernet adapter Local Area Connection 2:
Connection-specific DNS Suffix . : metal.local
Description . . . . . . . . . . . : Intel(R) PRO/100 M Network Connection
Physical Address. . . . . . . . . : 00-13-20-49-8A-14
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.150.205
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.150.100
DNS Servers . . . . . . . . . . . : 192.168.150.199
192.168.150.205
Primary WINS Server . . . . . . . : 192.168.150.199
Secondary WINS Server . . . . . . : 192.168.150.205


Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Marvell Yukon 88E8050 PCI-E ASF Gigabit Ethernet Controller
Physical Address. . . . . . . . . : 00-13-20-49-8A-13
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Autoconfiguration IP Address. . . : 169.254.245.188
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . :


Прошу помощи

Notsaint,
Не стоит делать "перекрестные" ссылки на обоих серверах DNS друг на друга. Укажите первым какой-либо один, либо самого себя.
http://eventid.net/display.asp?eventid=40960&eventno=8508&source=LSASRV&phase=1 - по поводу 40960
Проверьте, в доп. свойствах DHCP сервера изменили пароль? А также в назначенных заданиях (автоматически эти пароли не меняются).
http://eventid.net/display.asp?eventid=1030&eventno=1542&source=Userenv&phase=1 - 1030
http://eventid.net/display.asp?eventid=1058&eventno=1752&source=Userenv&phase=1 - 1058
Изучайте )

Про перекрестные ссылки спасибо, не подумал.

А вот об этом

Проверьте, в доп. свойствах DHCP сервера изменили пароль? А также в назначенных заданиях (автоматически эти пароли не меняются) »

что-то не слышал. И никаких доп.заданий у меня вроде бы не наблюдается...

Хочу поделиться своим опытом решения этого вопроса. Такая ошибка вылезала только на клиентских машинах, в домене один "центровой" и два контроллера. На каждом из них выполнил dfsutil /purgemupcache. Действо возымело эффект на некоторой доле машин. А дальше посмотрел какие именно политики вызывают проблемы, удалил их сделал снова. При этом сделал разделение один скрипт - одна политика, потому как именно скрипты отказывались выполняться корректно.