Понимаю, что тема избитая, сам перечитал несколько десятков подобных тем на форумах, но так и не удается решить проблему.
Суть: с нескольких (3 из 20) машин не удается нормально работать в домене, т.е. они не могут зайти на сетевые ресурсы, не авторизуются на ISA.
Подробное описание:
Домен. Win 2003 Standard R2 SP2 (+ Exchange 2003), сделан основным контроллером домена (до этого был резервным контроллером) после падения главного сервера (
умер RAID 5).Имя сервера - amdsrve, домен amd.local Был перенесен глобальный каталог,
в правильном порядке сделан хозяином всех ролей (если смотреть AD users and computers, "хозяева операций" домена amd.local то там всюду прописан amdsrve.amd.local), заново настроен DNS (с удалением и переустановкой этой службы), переустановлена служба сертификации. На всякий случай приведу из ntdsutil:
Цитата:
metadata cleanup: select operation target
select operation target: list dom
Найдено доменов: 1
0 - DC=amd,DC=local
select operation target: list sites
Найдено сайтов: 1
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=amd,DC=local
select operation target: sel site 0
Сайт - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=amd,DC=local
Нет текущего домена
Нет текущего сервера
Нет текущего контекста именования
select operation target: list servers in site
Найдено серверов: 1
0 - CN=AMDSRVE,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,D
C=amd,DC=local
|
В итоге получил практически чистые логи (ругается репликация Exchange, т.к. некуда, и я вывел в лог Kerberos, там ошибки вида
Цитата:
A Kerberos Error Message was received:
on logon session
Client Time:
Server Time: 16:2:9.0000 10/13/2011 Z
Error Code: 0xd KDC_ERR_BADOPTION
Extended Error: 0xc00000bb KLIN(0)
Client Realm:
Client Name:
Server Realm: AMD.LOCAL
Server Name: host/amdsrve.amd.local
Target Name: host/amdsrve.amd.local@AMD.LOCAL
Error Text:
File: 9
Line: b22
Error Data is in record data.
|
dcdiag и netdiag проходят без ошибок. IP сервера 10.1.1.4, он же указан в настройках сети и сам у себя DNS-сервером и у
проблемных рабочих станций тоже (особо отмечу это, потому что 3/4 случаев связаны с тем, что прописаны кривые DNS-сервера). Адреса провайдреских DNS, как положено, указаны в Пересылке в настройках DNS-сервера.
Рабочие станции - Win XP SP3 (для SP2 у микрософта есть специальный
патч ), firewall пробовал выключать и включать, статические ip, одна из машин:
Цитата:
ip 10.1.1.7
mask 255.255.255.0
gate 10.1.1.5
DNS 10.1.1.4
|
Эти машины спокойно (хотя и с подвисанием на 3-5 минут) выводятся из домена и вводятся обратно. С них отлично пингуется контроллер домена, он же прекрасно резолвится через nslookup.
Тем не менее, в логах этих машин есть следующее:
Цитата:
LSASRV (Код(ID) 40960) "Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть (0xc000005e)"
|
Цитата:
LSASRV (Код(ID) 40961) "Системе безопасности не удалось установить безопасное подключение к серверу cifs/amdsrve.amd.local. Отсутствуют доступные протоколы проверки подлинности."
|
Микрософт пишет, что эти два предупреждения - не проблема, и можно не обращать на них внимания. Всё бы ничего, да только сеть-то не работает...
Цитата:
AutoEnrollment (Код(ID) 15) "Автоматическая подача заявки на сертификат Локальная система: не удалось связаться с каталогом Active Directory (0x8007054b). Указанный домен не существует или к нему невозможно подключиться. Подача заявки выполнена не будет."
|
Микрософт
пишет, мол DNS нормально настройте. Так он настроен!
и еще:
Цитата:
Userenv (Код(ID) 1006) Не удалось выполнить привязку к домену amd.local. (Нет данных). Обработка групповой политики прекращена.
|
Цитата:
Userenv (Код(ID) 1030) Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.
|
Цитата:
Userenv (Код(ID) 1053) Не удалось определить имя пользователя или компьютера. (Внутренняя ошибка. ). Обработка групповой политики прекращена.
|
Цитата:
Userenv (Код(ID) 1054) "Не удалось получить имя контроллера домена в этой сети. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.
|
Цитата:
NETLOGON (Код(ID) 5719) "Для домена amd.local нет доступного контроллера домена. Ошибка: Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.Убедитесь в том, что компьютер подключен к сети и повторите попытку."
|
Всё, что я прочитал за много часов в интернете, говорит об ошибках в настройке DNS или физических проблемах в структуре сети. Но... у меня все нормально!
Адрес DNS сервера на машинах я проверял несколько раз, даже пробовал удалять сетевуху из устройств и заново настраивать, переподключать в другой порт на свиче, многократно выводил из домена и вводил заново (с удалением учетки компа из AD user and computers).
Помимо проблем с рабочими станциями, подобное есть и с серверами: через RDP не могу зайти под доменным админом на прокси-сервер (который 10.1.1.5, тоже Win 2003 Standard R2 SP2) - говорит Access denied, хотя тоже выводил и вводил его в домен; на вновь поднятом основном сервере поставил Win 2008 Enterprise SP2 x64 RU, он тоже легко ввелся в домен, но при попытке сделать его вторым контроллером домена появлялась ошибка:
Цитата:
DNS успешно запросила запись ресурса размещения службы (SRV), используемой для выяснения размещения контроллера домена Active Directory для домена "amd.local":
Запрос был для SRV-записи для _ldap._tcp.dc._msdcs.amd.local
Этим запросом были идентифицированы следующие контроллеры домена Active Directory:
amdsrve.amd.local
К возможным причинам этой ошибки относятся:
- Записи узлов (A), которые сопоставляют имя контроллера домена Active Directory его IP-адресам, утеряны или содержат неправильные адреса.
- Контроллеры доменов Active Directory, зарегистрированные в DNS, не подключены к сети или не запущены.
|
В сети перестал работать RAdmin...
Я не знаю, что сделать еще... Помогите пожалуйста мудрым советом!
