При входе в домен вин2003 выполняется скрипт, монтирующий диски. Диски он подмонтирует, но пишет, что прав на вход нет: "2221 Не найдено имя пользователя".
Диски монтируются с файлсервера, который по совместительству является резервным КД. Вход в систему происходит нормально, пользователь зарегестрирован, права выданы.
И еще проблема: на сетевой дискм можно войти только по правой кнопке мыши -> открыть; двойным щелчком не открывается - пишет нет прав.

Как выглядит скрипт, какие права на шару, какие права на диск?

Вот скрипт:

net use g: \\fileserver\LLIapa /delete
net use g: \\fileserver\LLIapa
... и так 10 дисков.

Все пользователи и группы лежат прямо в корне домена, без всяких вложенных OU. Соответственно все находятся в группе Domain Users.
Права на шары выставлены так, что группе Domain Users дан доступ на запись, чтение, etc. Другие юзеры без проблем работают с такими же правами,
а новые акки глючат страшно(работают после пляски с бубном и то хреново).
Еще несколько вопросов:
1) Может ли это быть из-за глюков резервного контроллера(он хреново реплицируется)?
2) К какому из контроллеров присоединяются юзеры при аутентификации?
3) Выдержит ли один контроллер сеть из 100 компов?

Права на шару стоят стандартные, или специальные?
Какие права стоят на NTFS?

1. А в чем это заключается?
2. Которого первым найдут, 50/50.
3. Да, но если он умрет будет плохо, очень плохо.

1. А в чем это заключается?

Иногда приходится заходить на резервный и в оснастке Users and Computers щелкать правой кнопкой по имени домена и жать "Connect to domain controller". Только после этого новые записи переносятся на резервный. Но вот с правами беда.

У клиента вылетает вот такая штука в консоли:

Недействительный пароль или имя пользователя для \\fileserver\LLIapa.
Введите имя пользователя для 'fileserver':.

Добрый день! У меня проблема с автоматическим монтированием дисков Windows Server 2003 немного другая: на файловом сервере (он же контроллер домена) расшарен общий ресурс "Налогоплательщик ЮЛ", при попытке смонтировать сетевой диск через Active Directory, у пользователей этот диск не монтируется, хотя все остальные, где нет пробелов монтируются без проблем.
вот пример пакетника:

net use U: \\server1\base_1s /persistent:no
net use N: "\\server1\Налогоплательщик ЮЛ\" /persistent:no

При запуске через командную строку на клиентской машине всё работает.
В чём может быть дело?

Обнаружил такую штуку:
В списке на добавление прав нет новых юзеров, хотя в домене они типа заведены, под ними входить можно.

to zippi
Судя по всему у тебя проблемы именно из-за того что домены не синхронизируются (проблемы с репликацией), попробуй выключить один контроллер и проверь работу. Кстати какие-нибудь ошибки в Журнале событий есть?
Также рекомендую почитать книгу Федора Зубанова Active Directory подход профессионала.

Второй контроллер является, по совместительству, и файлсерваком. Можно ли как-нибудь на врема разжаловать резервный, но чтобы он остался членом домена и смог выступать файлсерваком? Я понимаю что надо доку читать, но просто нужно срочно исправить эту ситуацию на первое время.

Запускаешь dcpromo.exe и следуешь инструкциям.

Еще такая штука: диски монтируются, но по двойному щелчку в него нельзя зайти, только по правой кнопкой -> Открыть. Действие по умолчанию(по двойному щелчку) стоит open(0). Че это за фигня?

zippi

понизь его до уровня обычного сервера пуск - выполнить - dcpromo.exe

GreenIce
попробуй выключить один контроллер и проверь работу.
Обалденный совет!
Кстати какие-нибудь ошибки в Журнале событий есть?
Этот уже лучше.

попробуй выключить один контроллер и проверь работу.


Обалденный совет!
И чем вам так не понравился этот совет? Если у человека возможные проблемы с репликацией домена, то самый простой способ проверь это, это убрать репликацию. И если второй контроллер никакой особой нагрузке не несет, то не вижу никаких препятствий к его выключению.

replmon.exe для этого существует. Весело будет, если DC грохнется, когда второй будет выключен.

Для тестирования часа 2 хватит за глаза, и если за это время грохнится контроллер разница будет невилика. Ну может какой то пользователь пароль потеряет если поменял, политику тоже в это время вряд ли кто будет менять.

А как пользоваться replmon.exe еще читать нужно.

Вот логи:
На главном КД:

Directory Service:

1. Active Directory did not perform an authenticated remote procedure call (RPC) to another domain controller because the desired service principal name (SPN) for the destination domain controller is not registered on the Key Distribution Center (KDC) domain controller that resolves the SPN.
Destination domain controller:
2696ca2e-b00b-4586-b27f-84b65074d04d._msdcs.ntbsamara.ru
SPN:
E3514235-4B06-11D1-AB04-00C04FC2DCD2/2696ca2e-b00b-4586-b27f-84b65074d04d/ntbsamara.ru@ntbsamara.ru

2. This is the replication status for the following directory partition on the local domain controller.
Directory partition:
DC=ForestDnsZones,DC=ntbsamara,DC=ru
The local domain controller has not recently received replication information from a number of domain controllers. The count of domain controllers is shown, divided into the following intervals.
More than 24 hours:
1
More than a week:
1
More than one month:
1
More than two months:
0
More than a tombstone lifetime:
0
Tombstone lifetime (days):
60
Domain controllers that do not replicate in a timely manner may encounter errors. It may miss password changes and be unable to authenticate. A DC that has not replicated in a tombstone lifetime may have missed the deletion of some objects, and may be automatically blocked from future replication until it is reconciled.
To identify the domain controllers by name, install the support tools included on the installation CD and run dcdiag.exe.
You can also use the support tool repadmin.exe to display the replication latencies of the domain controllers in the forest. The command is "repadmin /showvector /latency <partition-dn>".


DNS:

1. The DNS server was unable to complete directory service enumeration of zone ntbsamara.ru. This DNS server is configured to use information obtained from Active Directory for this zone and is unable to load the zone without it. Check that the Active Directory is functioning properly and repeat enumeration of the zone. The extended error debug information (which may be empty) is "". The event data contains the error.

2. The DNS server was unable to complete directory service enumeration of zone _msdcs.ntbsamara.ru. This DNS server is configured to use information obtained from Active Directory for this zone and is unable to load the zone without it. Check that the Active Directory is functioning properly and repeat enumeration of the zone. The extended error debug information (which may be empty) is "". The event data contains the error.


File Replication Service:

The File Replication Service is having trouble enabling replication from FILESERVER to DC2 for c:\windows\sysvol\domain using the DNS name fileserver.ntbsamara.ru. FRS will keep retrying.
Following are some of the reasons you would see this warning.

[1] FRS can not correctly resolve the DNS name fileserver.ntbsamara.ru from this computer.
[2] FRS is not running on fileserver.ntbsamara.ru.
[3] The topology information in the Active Directory for this replica has not yet replicated to all the Domain Controllers.

This event log message will appear once per connection, After the problem is fixed you will see another event log message indicating that the connection has been established.


На вторичном КД:

Directory Service:

1.The Windows NT 4.0 or earlier replication checkpoint with the PDC emulator master was unsuccessful.
A full synchronization of the security accounts manager (SAM) database to domain controllers running Windows NT 4.0 and earlier might take place if the PDC emulator master role is transferred to the local domain controller before the next successful checkpoint.
The checkpoint process will be tried again in four hours.
Additional Data
Error value:
5 Access is denied.

2. This is the replication status for the following directory partition on the local domain controller.
Directory partition:
DC=ForestDnsZones,DC=ntbsamara,DC=ru
The local domain controller has not recently received replication information from a number of domain controllers. The count of domain controllers is shown, divided into the following intervals.
More than 24 hours:
1
More than a week:
1
More than one month:
1
More than two months:
0
More than a tombstone lifetime:
0
Tombstone lifetime (days):
60
Domain controllers that do not replicate in a timely manner may encounter errors. It may miss password changes and be unable to authenticate. A DC that has not replicated in a tombstone lifetime may have missed the deletion of some objects, and may be automatically blocked from future replication until it is reconciled.


DNS:

1. The DNS server was unable to open Active Directory. This DNS server is configured to obtain and use information from the directory for this zone and is unable to load the zone without it. Check that the Active Directory is functioning properly and reload the zone. The event data is the error code.

2. The DNS server was unable to open the Active Directory. This DNS server is configured to use directory service information and can not operate without access to the directory. The DNS server will wait for the directory to start. If the DNS server is started but the appropriate event has not been logged, then the DNS server is still waiting for the directory to start.


File Replication Service:

Following is the summary of warnings and errors encountered by File Replication Service while polling the Domain Controller fileserver.ntbsamara.ru for FRS replica set configuration information.
Could not bind to a Domain Controller. Will try again at next polling cycle.


DC2 - главный КД
FILESERVER - вторичный КД
ntbsamara.ru - домен

таки да, можно, запусти на наl нем команду"dcpromo" и понизь в роли. Не забудь проверить, что на нем нет ни одной FSMQ roles. В противном случае передай их на остающейся контролер.