Доступ к виртуалке на hyper-v
 

Добрый день!
Вчера обнаружили проблему с виртуальным КД, соответственно некоторые пользователи не могут получить доступ к шарам.
Не могу добавить комп в домен, вылазиет вот такое окно


Так же не открывается диспетчер hyper-v: пишет что нет необходимого разрешения на выполнение этой задачи.

Доступ по RDP к КД неработает.
Тут явная проблема с КД, но на него попасть немогу.

На сервер с гипервизором поставил 5nine manager for hyper-v, она виртуалки видит, но подключиться не может, ругается

сделал что в инстуркции написано, не регит dllку

5nine себе поставил, тоже ругается, что нет доступа.


Ай нид хелп, как попасть на вируталку?

он у вас один?
что в логах сервера есть?
можно ли на хост сервер зайти под локальным администратором?

exo, КД один, и то на вируталке. Достался от аутсорсеров, которые до меня админили.

на сам гипервизор спокойно захожу то учеткой админа домена.

Сейчас физического доступа нет к серверу, надо ключи от серверной, человека нету сегодня. сидим в арендованном офисе.

В каких лога смотреть?

А локальной? у.з. админа - скорее всего из кеша берётся... и вообще, если я не ошибаюсь, то вводить в хост только с Hyper-V в домен - не лучшая практика.
И уж точно плохая практика с одним контроллером домена на самом же хосте...
Приложения, Система и Безопасность. Последнее важнее.
плохо... От того, что он недоступен, вы не можете авторизоваться, чтобы открыть панели управления Hyper-V, думаю я.
Пробуйте локальным администратором зайти. Через тот же RDP.

Есть аудит отказа:
Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: helpdesk
Домен учетной записи: MD

Сведения об ошибке:
Причина ошибки: Ошибка при входе.
Состояние: 0xc000018d
Подсостояние: 0x0

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции: MD-ALEKSEY
Сетевой адрес источника: -
Порт источника: -

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0



Под локальной учеткой тоже самое

лог ошибки

В первый раз пароль походу неверный был, сменил.
Теперь такое:

MD-HV1 - это имя хоста с ролью Hyper-V правильно?

Telepuzik, да верно.

http://technet.microsoft.com/ru-ru/l...(v=ws.10).aspx
но для этого нужно зайти на сервер :)
Вряд ли вас пустит удалённо политику менять.
Как вариант - в безопасном режиме попробовать.

А есть какие либо варианты по отключению брандмауэра имея только доступ к системному диску?

на КД могу зайти таким образом \\ьв-vdc\c$

если КД возобновит работу, то и все остальное заработать должно.

Неплохой квест получил )) до этого особо нечем заняться было, тока по мелочи ))

он тут не причём... это политика безопасности.
Других учётных записей локальных нет?
с аутсорсерами связывались? может у них есть какая информация?

exo, и всетаки, есть ли способ отключить брандмауэр?

аутсорсеры толком даже пароли не смогли передать, по плохому они расставались, поэтому и помощи никакой.

зайти на сервер и отключить )

Если у Вас это имя хоста, то у Вас в ошибке
должно быть написано не MD-HV1, а MD. Вы при логине на КД указываете имя пользователя в формате MD\Administrator или нет?

exo, отключил через консоль MMC бранмауэр и зашел через RDP.

На Кд куча ошибок.

DFSR не удается связаться с КД. репликация остановлена.

Ошибка при обработке групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это может быть временным явлением. Будет создано сообщение об успехе после того, как компьютер удастся подключить к контроллеру домена и групповая политика будет обработана успешно.

DNS:
DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS могут быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого DNS-сервера для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации.


На КД ничего не могу поменять, пробовал изменить политики для компов, пишет Отказано в доступе

Цитата:

Цитата Telepuzik Вы при логине на КД »

это лог не с КД был, а с хоста hyper-v

ну тогда стандартный алгоритм:

IPCONFIG /ALL
NSLOOKUP DOMAIN

дальше видно будет.

C:\Windows\system32>dcdiag /q
[MD-VDC] Ошибка привязки каталога 5:
Отказано в доступе.
Это может ограничить некоторые проверки, доступные для выполнения.
[MD-VDC] Сбой функции DsBindWithSpnEx() с ошибкой 5,
Отказано в доступе..
Получена ошибка при проверке подключения LDAP и RPC. Проверьте параме
......................... MD-VDC - не пройдена проверка Connectivity

1XTR, ну вместо DOMAIN - ваш домен то напишите.... md.local

C:\Windows\system32>nslo
╤хЁтхЁ: md-vdc.md.local
Address: 192.168.100.12

╚ь*: md.local
Address: 192.168.100.12

ошибки в Просмотре Событий есть? об Actrive Directory

Доменным службам Active Directory не удается подключиться к глобальному каталогу.

Дополнительные данные
Значение ошибки:
1355 Указанный домен не существует или к нему невозможно подключиться.
Внутренний идентификатор:
3200e7b

Действие пользователя:
Убедитесь, что глобальный каталог находится в лесу и доступен для контроллера домена. Для диагностики можно использовать программу NLTEST.




C:\Windows\system32>netdom query fsmo
Отказано в доступе.

Не удалось выполнить команду.


Почти все команды в разных утилитах не получается выполнить, отказано в доступе.
Похоже слетели права учетки администратора домена

у вас не работает AD, а следовательно - авторизовываться не где.

Как вариант - можно перезапустить службу каталогов и ДНС.
После этого смотреть логи на предмет ошибок во время старта служб.
Из системы не выходите, сервер не перезагружайте.

да, кстати, бекап AD есть?

exo, сервер уже перезагружал несколько раз.
в логах ошибки что неможет репликацию выполнить.

Если бы был бэкап то восстановил бы уже )))
Как обычно, пока не упадет, бэкапиться не начнешь

какие ещё логи?

товарища звал помогать, чего только не пробовали делать, никак не хочет работать.
у учетки админа домена права слетели как-будто.


взял "железную" тачку и поставил win2008r2, такую же как и на КД
пытаюсь создать резервный КД, получаю такое окно

ещё раз повторяю:
если учётная запись не может авторизоваться на контроллере домена - то она не узнает о том, какие у неё права.

В логах AD повторяются такие ошибки:

Победил этот трабл.
Вот решение.

Сделал как написано После ребута все заработало.
Тему можно закрывать.

переводится примерно как - "всегда тестируйте изменения безопасности, перед развёртыванием в производстве".

вспоминайте, что делали до того, как обнаружили нерабочий домен.