Mertvii
22-02-2011, 19:14
Преамбула: домен АД с 2мя КД (w2k3R2 и w2k8R2), клиенты - windows XP SP3. Сетевые настройки раздаются с DHCP. На всех клиентах через GP включено кэширование входа в систему.
Суть проблемы: на нескольких клиентах каждый раз по включению наблюдается следующая картина: в application логах - жалобы от userenv на невозможность найти КД и, соответсвенно, выполнить автозапрос сертефиката. (Источник события: Userenv, Коды событий: 1054 и 15), в system логах - жалобы от ntp, что он настроен на получение времени с КД, а тот недоступен, и жалобы netlogon того же плана (Код события: 5719, "Для домена AD-MINSK нет доступного контроллера домена. Ошибка: Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть). Сеть при этом работает (В приложенной жпгшке можно увидеть, что непосредственно перед этой ошибкой система рапортует об обнаружении сетевого адаптера и успешной его активации). В систему юзер входит (кеш включен), но не отрабатывают logon-скрипты, тоже ругаясь на то, что домен/КД не обнаружен (они обращаются к нему, чтобы вытянуть инфу по членству в группах данного юзверя)
Ситуация разрешается сама приблизительно через 10-15 минут - как раз когда, согласно настройкам GP, должна произойти следующая попытка обнаружить КД (и если после этого, не перегружаясь, просто перезайти в систему, то все скрипты отработают).
Т.е. всё работает, но что-то на самом этапе старта препятствует успешному обнаружению КД.
Возможные причины я вижу в том, что на эти машины либо ставилась ОС с дисков каких-нибудь сборок, плана "WINDOWS XP + VISTA + WIN7 + весь софта преинсталирован + RESCUE DISK", в которых "оптимизаторы" могли много чего поотключать или натюнинговать (с тех пор сборки пользую только свои), либо это новые машины и с этих сборок ОС ставили поставщики (с тех пор покупаем без преинстала) - это единственное, пожалуй, что эти "капризные" машины объединяет. Или же ОС, которые ставились со сборок, были пропатчены по самое "не могу" - остальные клиенты работают уже года 2-3 без реинстала, и не апдейтились ни разу (развёртывание WSUS-а в процессе). Т.е., судя по всему, попытка выполнить обнаружение КД выполняется слишком рано на этих конкретных машинах, когда необходимые подсистемы ещё не готовы её обслужить; либо запуск этих подсистем отложен (спасибо г-м "птимизаторам")
Хотелось бы решить проблему без реинстала, по-возможности. Может кто-то сталкивался с подобным. Прилагаю жпег со скринами журнальных логов.
Суть проблемы: на нескольких клиентах каждый раз по включению наблюдается следующая картина: в application логах - жалобы от userenv на невозможность найти КД и, соответсвенно, выполнить автозапрос сертефиката. (Источник события: Userenv, Коды событий: 1054 и 15), в system логах - жалобы от ntp, что он настроен на получение времени с КД, а тот недоступен, и жалобы netlogon того же плана (Код события: 5719, "Для домена AD-MINSK нет доступного контроллера домена. Ошибка: Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть). Сеть при этом работает (В приложенной жпгшке можно увидеть, что непосредственно перед этой ошибкой система рапортует об обнаружении сетевого адаптера и успешной его активации). В систему юзер входит (кеш включен), но не отрабатывают logon-скрипты, тоже ругаясь на то, что домен/КД не обнаружен (они обращаются к нему, чтобы вытянуть инфу по членству в группах данного юзверя)
Ситуация разрешается сама приблизительно через 10-15 минут - как раз когда, согласно настройкам GP, должна произойти следующая попытка обнаружить КД (и если после этого, не перегружаясь, просто перезайти в систему, то все скрипты отработают).
Т.е. всё работает, но что-то на самом этапе старта препятствует успешному обнаружению КД.
Возможные причины я вижу в том, что на эти машины либо ставилась ОС с дисков каких-нибудь сборок, плана "WINDOWS XP + VISTA + WIN7 + весь софта преинсталирован + RESCUE DISK", в которых "оптимизаторы" могли много чего поотключать или натюнинговать (с тех пор сборки пользую только свои), либо это новые машины и с этих сборок ОС ставили поставщики (с тех пор покупаем без преинстала) - это единственное, пожалуй, что эти "капризные" машины объединяет. Или же ОС, которые ставились со сборок, были пропатчены по самое "не могу" - остальные клиенты работают уже года 2-3 без реинстала, и не апдейтились ни разу (развёртывание WSUS-а в процессе). Т.е., судя по всему, попытка выполнить обнаружение КД выполняется слишком рано на этих конкретных машинах, когда необходимые подсистемы ещё не готовы её обслужить; либо запуск этих подсистем отложен (спасибо г-м "птимизаторам")
Хотелось бы решить проблему без реинстала, по-возможности. Может кто-то сталкивался с подобным. Прилагаю жпег со скринами журнальных логов.