Mertvii
25-07-2012, 13:42
День добрый. Столкнулся в процессе изучения указанной технологии на практике с парой непонятных моментов. Скорее всего дело в том, что я не до конца пока понимаю всю последовательность действий, выполняемых системой при логине в домен, может кто-нибудь подскажет в каком направлении гуглить.
В домене 2 КД, w2k3R2 и w2k8Sp1; который w2k3r2 ещё и GC (да и вообще носитель почти всех FSMO ролей). Насколько помню из учебника, реализация отказоустойчивого входа есть "из коробки" - если один КД отказывает, в сеть ты всё равно войдёшь, политики получишь и т.д. Решил поставить эксперимент, взял виртуальную машину с winXPSP3, заведённую давно как раз для таких случаев, полностью рабочую и введёную в домен, в качестве "сбойного" решил выбрать w2k3r2 КД, заодно и посмотреть как оно без доступа к GC себя будет вести; на файрволе w2k3r2 прописал правило, блокирующее весь трафик с опытной машины (winXP). Далее на winXPSP3 - gpupdate /force, ребут, анализ логов. В логах вот такое дело:
Event ID: 1030 Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.
Event ID: 1058 Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=my-ad-domain,DC=office,DC=loc. Этот файл должен находиться в <\\my-ad-domain.office.loc\sysvol\my-ad-domain.office.loc\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не удается найти указанный файл. ). Обработка групповой политики прекращена.
И далее целая масса подобных ошибок для каждой из применимых к данной станции GPO, а также логон\стартап скриптов (тех, что тоже хранятся в SYSVOL, в папках logon\startup своих политик)
Насколько я понимаю, со 2ым КД станция, всё же, связалась? Ведь как-то она получила список GPO и узнала по каким путям в sysvol искать настройки и скрипты. Но затем при попытке получить их, она почему-то "лезет" на "сбойный" КД и, мало того, не сумев получить с него требуемого, не пытается связаться со вторым.
Делаю nslookup my-ad-domain.office.loc, получаю ответом список из двух ip, первым идёт ip w2k3r2("сбойный"), затем w2k8. Это может объяснять почему при обращении по указанному пути - \\my-ad-domain.office.loc\sysvol\my-ad-domain.office.loc\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini - оно использует адресс сбойного (тупо первый в списке), но почему не обращается после неудачи ко 2му - вопрос. Отказоустойчивости я в подобной схеме не вижу.
В домене 2 КД, w2k3R2 и w2k8Sp1; который w2k3r2 ещё и GC (да и вообще носитель почти всех FSMO ролей). Насколько помню из учебника, реализация отказоустойчивого входа есть "из коробки" - если один КД отказывает, в сеть ты всё равно войдёшь, политики получишь и т.д. Решил поставить эксперимент, взял виртуальную машину с winXPSP3, заведённую давно как раз для таких случаев, полностью рабочую и введёную в домен, в качестве "сбойного" решил выбрать w2k3r2 КД, заодно и посмотреть как оно без доступа к GC себя будет вести; на файрволе w2k3r2 прописал правило, блокирующее весь трафик с опытной машины (winXP). Далее на winXPSP3 - gpupdate /force, ребут, анализ логов. В логах вот такое дело:
Event ID: 1030 Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.
Event ID: 1058 Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=my-ad-domain,DC=office,DC=loc. Этот файл должен находиться в <\\my-ad-domain.office.loc\sysvol\my-ad-domain.office.loc\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не удается найти указанный файл. ). Обработка групповой политики прекращена.
И далее целая масса подобных ошибок для каждой из применимых к данной станции GPO, а также логон\стартап скриптов (тех, что тоже хранятся в SYSVOL, в папках logon\startup своих политик)
Насколько я понимаю, со 2ым КД станция, всё же, связалась? Ведь как-то она получила список GPO и узнала по каким путям в sysvol искать настройки и скрипты. Но затем при попытке получить их, она почему-то "лезет" на "сбойный" КД и, мало того, не сумев получить с него требуемого, не пытается связаться со вторым.
Делаю nslookup my-ad-domain.office.loc, получаю ответом список из двух ip, первым идёт ip w2k3r2("сбойный"), затем w2k8. Это может объяснять почему при обращении по указанному пути - \\my-ad-domain.office.loc\sysvol\my-ad-domain.office.loc\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini - оно использует адресс сбойного (тупо первый в списке), но почему не обращается после неудачи ко 2му - вопрос. Отказоустойчивости я в подобной схеме не вижу.