Установка сеанса к контроллеру домена Windows NT или Windows 2000
 

Всем доброго дня! В сети есть контроллер домена и файловый, на котором две сетевые карты: одна напрямую в инет, другая в локальную сеть. С недавнего времени при заходе по rdp на файловый, пишет: Отказано в доступе. В журналах такие ошибки:
1) Установка сеанса к контроллеру домена Windows NT или Windows 2000 ***.local.kz для домена *** не отвечает. Текущий вызов RPC от Netlogon на \\файловый к \\***.local.kz отменен.
2) Компьютер не может установить безопасный сеанс связи с контроллером домена *** по следующей причине:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена. Дополнительные сведения Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.

Стоит отключить внешнюю сетевую и заново включить - на какое-то время появляется доступ по rdp. Подскажите как быть. Спасибо

Leaves, вероятно, на внешнем интерфейсе задан внешний DNS-сервер?

Все верно, на внешнем интерфейсе задан внешний DNS-сервер, т.к. он смотрит в свитч провайдера, на внутреннем интерфейсе только айпи, маска и днс ад. Все это работало продолжительное время. Начались проблемы после того, как один "человек" включил ICS на внешнем интерфейсе... Все это убрали, появилась эта проблема.

В журнале "Приложение" такая ошибка: Не удалось выполнить распространение политики безопасности. Нет доступа к шаблону. Код ошибки = 3.
\\***\sysvol\***\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
Вот сейчас опять вышла ошибка "Отказано в доступе" но в журналах больше никаих ошибок нет

Leaves, а на внутреннем DNS-сервере (в AD) пересылка не настроена?

"Серверы пересылки недоступны, поскольку этот сервер не использует рекурсию"

Leaves, убедитесь, что флажок "Не использовать рекурсию для этого домена" снят.
Нажмите Win+R -> введите ncpa.cpl -> нажмите Alt -> меню Дополнительно -> Дополнительные параметры -> на вкладке "Адаптеры и привязки" проверьте порядок (приоритет) сетевых подключений.

Это делать на AD? Первый приоритет должен быть локалка?

Leaves, порядок привязки - на проблемном сервере (где две сетевые).

А пересылка - в настройках DNS AD (после грамотной настройки пересылки вам уже не потребуется задавать внешние DNS на клиентах, чего в домене не должно быть в принципе).

Первым стоит подключение по локальной сети, вторым внешка
На вкладке "Сервер пересылки" стоит галочка: "Использовать корневые ссылки, если нет доступных серверов пересылки" но она не активна

Посмотрите в свойствах DNS-сервера на вкладке Дополнительно -> Параметры сервера -> флажок "Отключить рекурсию" должен быть снят.

Флажок стоит. Чем чревато снятие этого флажка? После снятия потребуется перезагрузка?

Leaves, снятие этого флажка позволит вам настроить пересылку.

Пересылка нужна для того, чтобы клиенты домена могли определять адреса внешних имён, обращаясь к DNS-серверам AD, а не к внешним.

Соответственно, после настройки пересылки вы сможете убрать внешний DNS в свойствах TCP/IP на проблемном сервере.

Не знаю, при необходимости перезапустите службу DNS-сервера.

Видимо проблема была не в этом. После повторного добавления в домен проблема ушла. Но видимо ошибка отказано в доступе из-за этого: Превышение времени ожидания (30000 мс) при ожидании ответа транзакции от службы "NlaSvc".

По этой ошибке куча статей, может сталкивался, кто сейчас читает эту тему?)

У меня указан внешний ДНС на сетевой карте, которая смотрит в свитч провайдера, на внутренней сетевой указан только ДНС АД...

На КД тоже две сетевые карты, и, одна тоже смотрит в в свитч провайдера. В свойствах DNS на KD на вкладке "Интерфейсы" стоит переключатель: "прослушивать по всем IP-адресам" Что ставить здесь? Далее, на вкладке "Сервер пересылки" Указаны ДНС адреса провайдера, но изменить их нельзя (Серверы пересылки недоступны, поскольку этот сервер не использует рекурсию). На вкладке дополнительно, стоит галочка "Отключить рекурсию (и серверы пересылки). Значит мне надо эту галочку убрать, на сервере пересылке указать ДНС адреса провайдера, а на вкладке "интерфейсы" все оставить как есть? А на внешних сетевых оставить только айпи, маску и шлюз? Так?

Т.е. после настройки сервера пересылки, мне со всех серверов на внешней сетевой карте убрать внешние DNS провайдера и поставить DNS AD? Или вообще DNS на внешней сетевой карте оставить пустым? В таком случае не пропадет доступ по RDP из вне?

После настрйоки пересылки - все наладилось! Всем спасибо!