проблемы при подключении клиентов на win10 к домену
 

Всем привет.

Прошу помощи с разрешением проблемы, ковыряюсь уже несколько дней, никак не победить.
Настраиваю я такие вещи раз в 5 лет, поэтому что-то забыл, что-то не знал, - все заново.
Все началось с того, что накрылся сервер с AD (hdd полетел), резервного не было, образов тоже не оказалось, в общем куча раздолбайства.
Поднял домен заново. win 2008 r2
Роли AD и DNS.

Клиенты на 7 - проблем не испытывают, все гладко подключается, подхватывают профили, скрипты.
А вот клиенты у которых 10 стоит - подключаются, но с какими-то ограничениями.
1. Не подхватывают скрипты с папки Netlogon (почему-то к ней у них нет доступа, хотя по настройке разрешений к этим папкам все в норме), логин и пароль спрашивает, при этом не подходит никакой даже админский. Под админом домена скрипты срабатывают.
2. На этих машинах мне не настроить локальных админов - в принципе не видно доменных пользователей при попытке добавить их в группу администраторов, дает выбрать только с текущего компа. Изначально добавляются туда администраторы домена, но потом слетают. (Scr_2)
3. Через некоторое время вообще не дает подключиться с этих машин другими пользователями домена, только теми что сначала входили, пишет что домен недоступен (scr_5). Заметил что это после первого же полного выключения компа.
4. У буха не работает Rutoken, не хватает каких-то прав, даже если пробовать под админом домена (если выйти из домена и под локальным админом - рутокен сразу норм)
5. При изначальном включении в домен пишет сначала "добро пожаловать", жмешь ОК, и выдает странную ошибку (Scr_1), возможно связано с ней не знаю, но опять же на 7х таких ошибок не было.
6. nslookup, dcdiag прилагаю (scr_3,4) что-то в dcdiag не так, но что с этим делать

Если нужно еще что-то выложить - пишите.

Из локальной группы Пользователи так же исчезает группа Пользователи домена?

Смотрите настройки политики групп с ограниченным доступом (Restricted Groups).

Да, там тоже слетает.

И после выключения компа в учетки заходит ранее созданные, а папки все сетевые уже потерял, доступа к домену уже нет. Даже обратно отсоединить от домена уже не дает.

Это где смотреть эти политики? На AD? Или это локальные политики 10ки?

Разумеется.

Раньше не сталкивался, слетевший домен тоже был на 2008r2 и в групповые политики я вообще не влезал и все работало, странно что изменилось.

Тем не менее.
Сейчас там пусто (группы с ограниченным доступом)

Поизучав некоторые статьи, пишут что там надо создать группу Администраторы, в которую подпихнуть доменных пользователей. И тогда они станут локальными админами.

Верную ли информацию я нашел?

Сделал все как по книжке.
В Restricted Groups добавил группу безопасности с нужными пользователями,
и включил ее в администраторы.
Применил Gpupdate /force

На вин7 политика применилась
На вин 10 - нихрена

Еще раз попробовал с нуля
Выгнал комп из домена, - опять добавил.
Первый вход норм, подключаются доменные профили, скрипты, папки.
В группе локаладмин присутствуют доменные админы.
После первой же перезагрузки вместо них - неизвестная абракадабра.
Профили не цепляются, диски недоступны...
Ну и политика которую делал - тоже не срабатывает.

Где еще искать правду?

Если политика не была включена, то не надо было её трогать.
Сначала вы писали, что группы "слетают", теперь - "неизвестная абракадабра". Что под этим подразумевается?

Раз причина не в Restricted Groups, то в каких-то других политиках.

Политики запуска служб не настраивали, случайно? Возможно, отключение какой-то службы нарушило взаимодействие Windows 10 с контроллером домена, а на Windows 7 не повлияло.

возможно не так выразился, прикладываю скрин (src_7)

проблема получается даже не в том что кого-то не внести в локальные админы, - это похоже что частная вещь более глобальной проблемы
подключается один раз, а потом отваливается от домена

если потом зайти и просто попробовать обратиться через сеть к серверу, запросит логин пароль, и при этом не срабатывают никакие варианты, ни этого пользователя (scr_9), ни админа домена (scr_8)

Политики никакие не настраивал.
Точно ли в политиках дело?

Еще заметил такое...
При разворачивании DNS сервера, у меня не создается зона _msdcs.torsion.loc,
есть только torsion.loc

Сравнил с настройками у коллег.
Возможно отсюда ноги растут? DNS неправильно работает, отсюда проблемы в работе контроллера и у клиентов на 10х? как вариант...
Ведь dcdiag как раз ругается на это

Насколько это важно?
И что сделать? Создать ее ручками через мастер? Насколько это правильно, раньше у меня все создавалось само.
Единственное что я вписывал в настройках ДНС это сервера пересылки не более.

ладно,
как в большинстве случаев - сам спросил, - сам ответил.
все было в кривом днс сервере
исправил все ручками, - и клиенты на win10 ожили
вопрос решен

в чем разница в этом плане вин7 и вин10, не знаю и копать пока некогда
получается что 7ке пофиг на криво настроенный днс, а 10ка шибко умная
чтоб его Била Гейтса

Petya - спасибо за участие.

felo, это не абракадабра, а обычный SID.