слетает доступ в домене
 

Добрый день народ, я в отчаянье, "АЙ НИД ХЭЛП" как говориться...

У меня 10 ПК все с ХР SP3, и сервер на ОС WIN SERVER 2008 R1 прокаченная до SP2, 32 бита.
Добавил роли AD, DNS. на серве стоит каспер Версия: 6.0.2.555, создал домен SOV.ORG
Ввел всех в домен, пользователям расшарил папки на сервере и дал доступ к определенным ресурсам...
вроде все нормально пашет..
Но вот появилась проблема работники стали жаловаться на отсутствие доступа в домене как к серверу так и к другим компам, спрашивает логин и пароль, и вот что выяснилось что оказывается раз на раз не приходиться, то есть доступ то его нету... перезагрузил комп доступ есть все отлично в другой раз доступ пропал... а вводишь пароль и логин нечего не происходит как будто нету на сервере таких пользователей... не чего не пишет просто ок жмешь и нечего не происходит.... самое интересное что перезагружаешься все нормально ко всем доступ есть логинов и паролей не требует. Причем как то рандомно выбирает компы как будто какие то лицензии не получают. все облазил, по форумам и тех поддержке... настраивал вроде все по инструкции майкрософта... может гдето в политике чтото не настроенно... незнаю кароче ...

Время в домене синхронизировано? Вывод ipconfig /all с клиента и КД покажите.

Microsoft Windows [Версия 6.0.6002]
(C) Корпорация Майкрософт, 2006. Все права защищены.

C:\Users\Administrator>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : WIN2008
Основной DNS-суффикс . . . . . . : SOVTEHENERGO.ORG
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : SOVTEHENERGO.ORG

Ethernet adapter Local Area Connection:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 48-5B-39-CA-D7-F8
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.254
DNS-серверы. . . . . . . . . . . : 127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Hamachi:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Hamachi Network Interface
Физический адрес. . . . . . . . . : 00-23-C3-41-1E-5B
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 5.65.30.91(Основной)
Маска подсети . . . . . . . . . . : 255.0.0.0
Аренда получена. . . . . . . . . . : 22 октября 2010 г. 17:10:40
Срок аренды истекает. . . . . . . . . . : 22 октября 2011 г. 17:14:27
Основной шлюз. . . . . . . . . : 5.0.0.1
DHCP-сервер. . . . . . . . . . . : 5.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер Local Area Connection* 8:

Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : isatap.{5471BA59-9136-4B40-84F8-9438ADE98
784}
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Подключение по локальной сети* 2:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : 6TO4 Adapter
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : 2002:541:1e5b::541:1e5b(Основной)
Основной шлюз. . . . . . . . . : 2002:c058:6301::c058:6301
NetBios через TCP/IP. . . . . . . . : Отключен

Туннельный адаптер Подключение по локальной сети* 3:

Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : isatap.{3345F501-5254-4C64-A031-BC016E246
DD0}
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

это сервер

Отключите IPv6, однозначно снесите хамачи и поставьте родной DHCP-сервер. Стандартная связка сервисов на КД выглядит как AD+DNS+DHCP (плюс возможно службы сертификации AD). Каспера также можно убрать или приглушить до минимума активности. Основной контроллер домена напрямую в интернет пускать совсем нежелательно, как и давать к нему доступ оттуда.

немогу настроить правильно синхронизацию времении скорее из-за неё все... вроде на сервере все норм настроенно а ХР всеравно по разному както показываю время... есть у кого сылка на форуме покурить про синхронизацию?

разница в час-два или несколько минут? Можно поправить вручную, дальше сервер сам синхронизирует. Логи ошибок есть? Особенно раздел безопасности. Можно также настроить аудит неудачных входов (хотя он и так включен, если не ошибаюсь), и дальше гуглить по номеру ошибки (event ID)

да разница до 10 минут ... я знаю что надо не больше 5 минут. но чувствую что не пашет синхронизация.. Сколько не читал так и не понял что прописывать на WIN 2008 и что прописывать на клиентах...странно что для некоторых пользователей ИНОГДА становяться недоступны другие компы а на сервер доступ есть...может кто нить подскажет как мне все принтеры в сети собрать на сервере чтобы все доступ к принтерам получали через сервер ...?

с этим все вроде отлично что самое интересное ни одной ошибки все удачные входы и выходы..

она не может не пахать. По умолчанию все рабочие станции синхронизируют время с контроллером домена.

потому что не надо ничего прописывать, всё ужо прописано :)

у вас все компы входят в домен? или есть еще и независимые?

все в домене.... но есть ноутбуки которые в домене но в пользовотелей не залогины работают так на доступ . т.е в домен введен но работает под локальным пользовотелем... если надо доступ на серв просто водит логин и пароль...

ну затуп я! просто думал надо настраиватиь чета напрописывал )))) а чего имено уже и сам хз...)))

я бы, если есть возможность, поднял дополнительный контроллер домена, потом отключил основной и понаблюдал бы за событиями. (установка с нуля, разумеется)

я кароче синхронизацию сделал... теперь логин и пароль просит только на сервере а к остальным компам есть доступ... так и остается после перезагрузки все нормально... еще раз перезагрузишься опять таже лажа ... кароче через раз как то ... в журналах виндовс безопасность сообщение вотк акого типа
-------------
Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Новый вход:
ИД безопасности: SYSTEM
Имя учетной записи: WIN2008$
Домен учетной записи: SOVTEHENERGO
Код входа: 0x8b031c0
GUID входа: {d12d8f14-d6a0-76b7-4de9-3a96aabe27ad}

Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: -

Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: 192.168.1.1
Порт источника: 64753

Сведения о проверке подлинности:
Процесс входа: Kerberos
Пакет проверки подлинности: Kerberos
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
--------------
Выполнен выход учетной записи из системы.

Субъект:
ИД безопасности: SYSTEM
Имя учетной записи: WIN2008$
Домен учетной записи: SOVTEHENERGO
Код входа: 0x8b0324f

Тип входа: 3

Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
----------------

и вот еще конкретно пользователь который не может на серв подключиться Выполнен выход учетной записи из системы.

Субъект:
ИД безопасности: SOVTEHENERGO\ANYA$
Имя учетной записи: ANYA$
Домен учетной записи: SOVTEHENERGO
Код входа: 0x8b77ca5

Тип входа: 3

Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.

нету возможности так поступить, а может что то GPO или с билетами kerberos??? а может просто настроить доступ ХП шкам гостя там включить или в реестре че поменять на клиенте или на сервере....

я бы даже сказал чтобы получить доступ к серверу или другим компам клиенту после загрузки надо перезагрузиться....!!!

c GPO - может быть, с Kerberos - вряд ли, иначе он весь лог на сервере зас..ал бы.

зачем? Гость не нужен, ибо у вас домен настроен (типа). Переустановить контроллер с нуля тоже не получится?

так что посаветуешь заново GPO перенастроить?