[решено] AD, sysvol, netlogon - невозможно применить политику
 

Наверное задам дебильный вопрос, но уж извините...

при установке 2003ее и поднятии домена создаются две сетевые папки: netlogon и sysvol. Их местонахождение при установке я оставил по умолчанию в папке винды.
Сейчас посмотрел и увидел папку C:\WINDOWS\sysvol, в ней папку C:\WINDOWS\sysvol\sysvol, расшареную как sysvol, еще глубже C:\WINDOWS\sysvol\sysvol\***.LOCAL\scripts, которая расшарена как нетлогон, но есть папка C:\WINDOWS\sysvol\domain, которая по структуре похожа на sysvol (зачем она нужна?, и может это она должна быти расшарена как нетлогон?)
вопрос: а правельно ли расшарены папки и кому какой доступ на них должен быть, чтобы домен работал без ошибок

AD, sysvol, netlogon
 

все совершенно правильно и верно у вас
каталоги одинаковые, тк это физически один и тот же каталог, но имеющий 2 точки подключения с разными названиями.

разрешения система задает автоматически. вашего участия в их дополнительной настройке - не требуется.

AD, sysvol, netlogon
 

Но проблема в том что я задавал разрешения на доступ к диску С, указав применить ко всем вложеным папкам и файлам. :)
Ну была такая необходимость, чтож поделаешь :)

а теперь мне пишет на "члене домена   8-)", в журнале - невозможно получить доступ к каталогу АД, на сервере - аналогично для терминальных сессий

В разрешениях стоят:
пользователи домена - чтение и выполнение
система - полный доступ
администраторы (домена) - полный

внес еще:
сеть, ремоте интерактив логон, нетворк сервис - чтение и выполнение.

может еще надо кого туда вкинуть? и с какими правами?

AD, sysvol, netlogon
 

совершенно верные разрешения..
так и тут говорится: http://support.microsoft.com/default...b;en-us;319808

а разрешения на C:\Winnt\Ntds, кстати, какие?

AD, sysvol, netlogon
 

SkyF


разрешения для  ntds:
система- полный на  - все
группа админов -полный на -  все
локал сервис -создание папок и дозапись данных на - этой папки и подпапок
создатель владелец - полный (а на фига?) на - только для подпапок и файлов

AD, sysvol, netlogon
 

Master Bob
так и что, проблема не снялась?

а на другие каталоги системные какие разрешения?
может раз уж ваша "необходимость" так довело контроллер - поставить на %SYSTEMROOT% разрешения ВСЕ-ПД и применить ко всем подкаталогам?
в принципе, если локально не работает на консоли никто , то это не важно..

AD, sysvol, netlogon
 

SkyF

гы, так в том то и прикол, что на консольке сидит такая МАЛЕНЬКАЯ кучка народу, и давать им доступ к серваку, и тем более полный...
недай бог у кого взыграет любопытство как оно работает...

а с 1с, прописав ее в среде на загрузку, если не запрещать доступ к эксплореру он через меню прекрасно грузится (равно как и регедит) причем довольно любопытные права у юзверей :((

а ваабще большое тебе спасибо.

в принципе с локальными станциями пока разобрался но на серваке RSoP.msc выдает следующее:

---

бла бла бла "недостаточно прав или нет доступа к сетевым ресурсам" бла бла бла

---

system.adm
Размещение - "\\***.LOCAL\sysvol\***.LOCAL\Policies\{***}\Adm\system.adm"
Ошибка - Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет дwmplayer.adm
Размещение - "\\***.LOCAL\sysvol\***.LOCAL\Policies\{***}\Adm\wmplayer.adm"
Ошибка - Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет дwuau.adm
Размещение - "\\***.LOCAL\sysvol\***.LOCAL\Policies\{***}\Adm\wuau.adm"
Ошибка - Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет д

---

(захожу по терминалке, под админом)
ДНС работает нормально

для терминальных подключений тоже в журнале постоянно выскакивают сообщения 1030 и 1058


Добавлено:

попробовал через пуск\выполнить\  следующее:

\\***.LOCAL\sysvol\***.LOCAL\Policies\{***}\gpt.ini

на станциях в домене - файл открывается
на серваке через терминалку под админом - неверный формат сетевого имени

\\***.LOCAL
на станциях в домене - открывается сервер
на серваке через терминалку под админом - выдает окно запроса перед подключением к server.***.LOCAL (какой пользователь? какой пароль? глюк такой чтоли?)

конечно перебор паролей и пользователей ничего недал :) кроме очередного гемороя на голову

AD, sysvol, netlogon
 

а это к чему вы пробовали? что проверяли? а те adm файлики доступны для клиентов? какие у них разрешения?

и я так понял, что вы подключались по имени домена: те \\domain.local\sysvol... , а если непосредственно имя доменного контроллера указать: \\server\sysvol?

AD, sysvol, netlogon
 

есть подозрение что это может быть ошибка маршрутизации, ведь если подключатся
\\server.домен.LOCAL\-все нормально
а если просто
\\домен.LOCAL\-полный ПЭ

может где-то что-то нетак настроено.
ведь вторая сетевая, которая в инет, подключалась уже после установки и настройки системы

[s]Исправлено: Master Bob, 15:52 14-07-2004[/s]

AD, sysvol, netlogon
 

не знаю почему ругатеся что он говорит-то хоть?

явно никак не причем, а во ттут фигурирует записи гостей - значит что с авторизацией проблемы - нормальные пользователи определяются как гости, странно


какие настройки протоколов на сетевых интерфейсах?
что находится в зоне DNS на сервере? у всех клиентах указан этот сервер в качестве первичного сервера DNS?

AD, sysvol, netlogon
 

SkyF
отвечаю по порядку

протокол тср/ир, адреса статичные, ip сервера 192,168,0,1 ip второй сетевой карты 192.168.1.2 (adsl модема на который глядит 192.168.1.1) поднят dns , dhcp, нетвиос не активировался
?. Кроме кучи чего-то непонятного??
Зона обратного просмотра отсутствует, а так все как создовалось, по умолчанию.
А ничего что местами мелькает ip второй сетевой - 192.168.1.2 ?
конкретно в

• gc._msdcs.***.LOCAL
• DomainDnsZones.***.LOCAL
• ForestDnsZones.***.LOCAL
• TAPI3Directory.***.LOCAL

да. у всех юзверей стоит шлюз на сервер (для нета) и предпочитаемый днс тоже на сервер (192.168.0.1)


-но с ним пока сам помучаюсь, есть пару подозрений...

Есть еще такая фича с лицензирование сервера терминалов, скорее всего оно все связано:
http://forum.oszone.net/topic.cgi?fo...amp;topic=5248

AD, sysvol, netlogon
 

1я сетевая: IP 192.168.0.1
в настройках DNS пусто (либо 192.168.0.1), шлюз тоже пуст.
2я сетевая: IP 192.168.1.2
ни DNS, ни шлюз ни указан (или шлюз всеже может быть на 1.2?)

а что все клиенты к домену через 1ю сетевую карту подключаются? через Сеть никто на 2й интерфейс не захидит (я имею в виду терминальных клиентов)? просто тогда у них должен быть и IP 192.168.1.ххх DNS указывать на 192.168.1.2.мелькать он должен в прямой зоне рядом с 192.168.0.1 в подзонах же указывается просто ИМЯ А записи вашего сервера. Т.е по этому имени все клиенты, со всех подсетей должны пинговать ваш сервер. (это я опять на внешних клиентов указываю - не знаю есть они у вас или нет)

AD, sysvol, netlogon
 

SkyF

первая сетевая, которая в локалке -192.168.0.1, днс на ней 192.168.0.1, шлюза нет

вторая сетевая 192.168.1.2, днс только провайдера (первичный)
шлюз на 192.168.1.1 (т.е. она шлюзуется на adsl модем который глядит в нет)

внешних подключений к домену нет, тока внутренняя сеть.
все юзвери (для выхода в нет) и терминальные юзвери подключаются к серваку (192.168.0.1). На вторую сетевую никто не смотрит

---

появилось подозрение что вся хрень с неприменением политик возникла после того как в дефолтовых политиках безопасности ДОМЕНА, А НЕ КОНТРОЛЛЕРА сделал переименование учетки админа (стояли разные машины с руским и инглиш хр-поди запомни кто где :)  ) . причем учетка на серваке не переименовалась, но изменилось имя входа для админа на сервак ?????. сейчас эта политика уже отключена, на локальных станциях более-менее порядок. но сервак... мля...

гость на серваке отключен нафик

и в журнале приложений теперь через каждые 5 минут вохзникают события:

---

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1058
Дата: 20.07.2004
Время: 10:21:22
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SERVER
Описание:
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики cn={**********},cn=policies,cn=system,DC=*домен*,DC=LOCAL. Этот файл должен находиться в <\\*домен*.LOCAL\sysvol\*домен*.LOCAL\Policies\{**********}\gpt.ini>. (Неверный формат сетевого имени. ). Обработка групповой политики прекращена.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

---

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1030
Дата: 20.07.2004
Время: 10:16:21
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SERVER
Описание:
Не удалось запросить данный список объектов групповой политики. Проверьте в журнале событий наличие сообщений, описывающих причины сбоя.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

SkyF, вполне возможно что политики перестали применятса на сервере из-за

1. проблем с лицензированием - глянь пожалуста
   http://forum.oszone.net/topic.cgi?fo...amp;topic=5248
2. из-за отключеной учетки гостя ??почему??
3. переименование учетки админа (хотя возврат предыдущего имени входа (не через GPO а через ад\полизователи и компы) ничего не дал)

AD, sysvol, netlogon
 

попробуйте протестировать вашу настройку пр ипомощи Microsoft Product Support Reporting Tool ( http://www.microsoft.com/downloads/d...ng=en#filelist )
необходим модуль для AD ( http://download.microsoft.com/downlo...RPT_DirSvc.EXE )

может найдется решение..
вообще странно что не выдается список политик..
в любом случа, мне кажется, чт ни в 1, ни в 2, ни в 3 дела нет..

AD, sysvol, netlogon
 

SkyF

прогнал я нетдиагом и он выдал:
еще ругалось по поводу NetBT - я его не устанавливал за ненадобностью

MPSRPT_DirSvc.EXE выдала мне тоже что и нетдиаг:
получается что все упирается в днс

вот таблица маршрутизации
вопрос, а надо ли в ней забивать наш ip(статичный), котрый в нете? (вроде же ненадо)
настройка на сетевых карточках:
по моему слабому пониманию получается что днс сервер работает нормально по отношению к юзверькам, но на сервере при попытке подключения к
\\домен.LOCAL\ переадресация идет через прова и не пускает в домен, а выполнив
\\server.домен.LOCAL\ запрос переадресуется на localhost и проходит нормально


подскажи чего исправить, настроить (кроме ryki.sys :)

AD, sysvol, netlogon
 

попробуем на сетевой internet - Ethernet адаптер:
1.) убрать совсем DNS провайдера!
настроить переадресацию на этот IP в свойствах сервера DNS (локального).
2.) в окошке  Сетевые подключения - далее на панелке где меню - выбираем дополнительно и далее Дополнительные параметры - смотрим порядок использования сетевых карточек - ставим нашу локальную карту - в списке ВЫШЕ чем интернетную.

пока все.

AD, sysvol, netlogon
 

SkyF

по пункту 2 все ясно, но по 1- днс то я уберу, а что делать дальше?

если не трудно распиши где там? и как? и что?

а прикола насчет 2 пункта я узнал впервые :)

---

АААААААААААААААААААААА!!!!!!!!!!!!!!!!!
уже прошло целых 27 минут и все в порядке!!!!!!!!!!!!!
(раньше через каждые 5 минут 1030+1058 вылетали)
АААААААААААААААААААААА!!!!!!!!!!!!!!!!
делаю
\\server.домен.LOCAL\ - все открывается
\\домен.LOCAL\ - ТОЖЕ ВСЕ ОТКРЫВАЕТСЯ - теперь папки сервака открываются и нет запроса на пороля
АААААААААААААААААААААА!!!!!!!!!!!!!!!!

а все го то лишь поставил локальную сетевую первой!!!!
знать бы раньше!!!!!!!!!!!!!

теперь остается только ждать, ждать, ждать, ждать...............
нужно проверить как к терминальным пользователям применяются политики, и не исчезла ли проблема с лицензированием сервера терминалов (когда он произвольно отрубается)........................

целых 38 минут и все в порядке!!!!!!!!!!!!!

SkyF, если не затруднит чиркани все таки относительно п.1
что и где настраивается или кинь ссылочкой (чтоб просто зтать)

целых 38 минут и все в порядке!!!!!!!!!!!!!

нетдиаг выдает:
??????????????????

целых 56 минут и все в порядке!!!!!!!!!!!!!

AD, sysvol, netlogon
 

п.1 убрать DNS провайдера из свойств локальных сетевых карт.

те теперь все запросы на DNS будут идти через ваш сервер.
поэтому необходимо вашу службу DNS настроить на разрешение имен через внешние серверы (пересылка).
для этого через Администрирование\DNS заходим в оснастку и щелкаем на имени вашего сервера. Далее свойства - и закладка - пересылка - указываем IP DNS сервера провайдера.
тестируем при помощи команды nslookup разрешение на консоли сервера внешних имен и локальных.

AD, sysvol, netlogon
 

SkyF

а там создать или добавить днс в список ip-адресов серверов ?

?
??
ну ваще ничего не понял

на серваке в принципе стоит wingate и зверьки через него, через нат-в нет
? а не получится ли что после добавления туда днса прова все полезут в обход winгада?

и как эту фигню побороть? или добавления туда днса заставит нетдиаг заткнуться? или забить?

кстате, будешь в минске (белорусь, если не занешь :)  ) то пиво с меня

AD, sysvol, netlogon
 

а там это где?

просто в свойствах вашего DNS сервера - есть закладка перенаправление - нужно активизировать перенаправление установив галочку ( это будет доступно, если у вас удалена зопа "." в списке зон прямого просмотра). когда пересылку разрешили - то в список IP адресов добавляем IP DNS провайдера.

делее тестируем:
из командной строки вводим nslookup [Enter] и потом любые DNS имена, которые должны быть преобразованы в IP - например www.ru (внешний адрес ) или *домен*.LOCAL (лоакльные адреса ваших КД для локального домена) или comp1.*домен*.LOCAL (просто локальный адрес).
все эти имена должны быть преобразованы в адреса.

наличие wingate на это не влияет ( в принципе, наверно у него тоже есть такая настройка - внешние IP DNSсерверов, я не работал с ним, не знаю точно - но это можно не настраивать).

это как раз потому, что раз указано на внешней сетевой карте IP адрес DNS провайдера - то служба NETLOGON и пытается подключиться к нему и записать записи в него о своем домене.. естественно, это сделать нельзя. убираем все внешние IP DNS и оставляем только пустые значения в этих полях настройки TCP на картах (что равносильно 127.0.0.1 - адресу локалхоста)


=)) В белорусии был в июне - где-то километрах в 200 от витебска на С-З (там еще много озер), названия селений не помню.

AD, sysvol, netlogon
 

1. открываю днс
    в зонах прямого просмотра: *домен*.local и _msdcs.*домен*.local
2. иду в свойства днс сервера
3. вкладка пересылка
4. В группу "все другие днс домены" добавляю днс прова
5. галка не использовать рекурсию снята
6. затираю на карточе (в нет смотрит) днс прова (ругается -список днс серверов пуст. локальный ip адрес бдет настроен как адрес первичного днс сервера, поскольку на этом компьютере установлен днс сервер микрософт)-и нетдиаг ругается по поводу что мол незарегистрировано 192,168,0,1....
ручками в свойства подключения к нету дописываю локальный днс (192,168,0,1) и ругатся перестает.

сейчас нетдиаг пишет:
и из локалки и с самого сервера нормально пингуются сервер, сетевая на adsl модем, сам модем, нет
но при попытке подключения с сервера к \\домен.LOCAL\ выводится окно на запрос имени пользователя и пароль, а при подключении к \\server.домен.LOCAL\ открывается сервер

пока все нормально, но как бы через пару часов снова не посыпались 1030+1058 через каждые 5 минут.
вопрос: как сделать чтобы при пуск\выполнить \\домен.LOCAL\ выдавалось не окно запроса пользователя и пороля, а открывался сервак? похоже надо еще что-то где-то дописать в днс

AD, sysvol, netlogon
 

это наверно потому что он действительно не успел перезарегистрировать  - попробуйте перезагрузить сервер с такими параметрами (хотя это и не особо важно, можно 0.1 оставить ваш)
это возможно по нескольким причинам.
- когда вы указываете \\имя - то это имя не через DNS может разрешиться, а через NETBIOS - с эти иногда бывают проблемы.
- проверьте к какому IP адресу вы действительно подключаетесь по имени домен.LOCAL - при помощи команды ping (и nslookup не забудьте).

ЗЫ а зачем вам вообще на имя домена подключаться? - этим вы в каталогам общего входа домена пытаетесь протестировать подключение что-ли? вроде как \\домен.LOCAL\sysvol <etc>?

AD, sysvol, netlogon
 

SkyF


в принципе, да. Ведь перед этим, когда каталог не открывался, то и политики на сервере не применялись. Но сей час пока что (тьфу, тьфу, тьфу) все в этом плане в порядке и \\домен.LOCAL\sysvol открывает, но сам корневой - опять запрос на имя пользователя-пароль.

NetBT , как и netbios дополнительно неустанавливался

AD, sysvol, netlogon
 

gc._msdcs.***.LOCAL

DomainDnsZones.***.LOCAL

ForestDnsZones.***.LOCAL

TAPI3Directory.***.LOCAL


а где ето

[email]splash@]нарушение п.3.16 общих правил форума

[s]Исправлено: SkyF, 12:52 30-09-2004[/s]

AD, sysvol, netlogon
 

Guest 213.234.205.*

gc._msdcs.***.LOCAL
DomainDnsZones.***.LOCAL
ForestDnsZones.***.LOCAL
TAPI3Directory.***.LOCAL

находится в
администрирование\днс\
там разворачиваешь список - зоны прямого просмотра

тока осторожно - (незнаешь-неберись, невлезай-убьет)

:)

Здрасте всем.
Как быть с некоректными записями в ДНС, на которые ругается netdiag ? Кто поможет ?

Serjione
не я сно на что и каким именно образом у вас ругается утилита netdiag
попробуйте для начала просмотреть справку по коанде этой.