2008 R2

paranoya · Отправлено: **09:50, 22-11-2018** | #31

anroxt, Во-первых, Ваш КД является multihomed, что не совсем хорошо. Во-вторых, сетевой интерфейс "D-Link DFE-520TX PCI Fast Ethernet Adapter #5" имеет два IP-адреса (192-подсеть и 10-подсеть).
Соответственно, рекомендация по наилучшей конфигурации сети на КД:

Убрать 10 подсеть
Убрать второй сетевой адаптер и сделать выход в Интернет в компании через аппартный роутер, если не нужны танцы с контролем, либо на отдельном ПК, если нужны танцы с контролем юзеров в Интернете

К приложенному ранее ipconfig, стоит приложить ipconfig с рабочей станции и просмотреть журналы системы рабочей станции на наличие ошибок применения групповых политик. Так-же, стоит приложить вывод gpresult, либо rsop.msc.

anroxt · Отправлено: **08:18, 23-11-2018** | #32

gpresult с рабоче станции

Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) версии 2.0
(С) Корпорация Майкрософт, 1981-2001

Создано на 23.11.2018 в 7:56:04

Данные RSOP для LOCAL\Sunray на ITO03 : Режим ведения журнала
--------------------------------------------------------------

Конфигурация ОС: Рядовая рабочая станция
Версия ОС: 6.1.7601
Имя сайта: Default-First-Site-Name
Перемещаемый профиль: Н/Д
Локальный профиль: C:\Users\Sunray.LOCAL
Подключение по медленному каналу: Нет

Конфигурация компьютера
------------------------
CN=ITO03,CN=Computers,DC=local,DC=psn
Последнее применение групповой политики: 23.11.2018 в 7:35:54
Групповая политика была применена с: comp05.local.psn
Порог медленного канала для групповой политики: 500 kbps
Имя домена: LOCAL
Тип домена: Windows 2000

Примененные объекты групповой политики
---------------------------------------
Local Group Policy

Компьютер является членом следующих групп безопасности
------------------------------------------------------
Администраторы
Все
Пользователи
СЕТЬ
Прошедшие проверку
Данная организация
ITO03$
Domain Computers
Обязательный уровень системы

Конфигурация пользователя
--------------------------
CN=******* Артур Владимирович,CN=Users,DC=local,DC=psn
Последнее применение групповой политики: 23.11.2018 в 7:35:54
Групповая политика была применена с: comp05.local.psn
Порог медленного канала для групповой политики: 500 kbps
Имя домена: LOCAL
Тип домена: Windows 2000

Примененные объекты групповой политики
---------------------------------------
Local Group Policy

Пользователь является членом следующих групп безопасности
---------------------------------------------------------
Domain Users
Все
Пользователи
Администраторы
ИНТЕРАКТИВНЫЕ
КОНСОЛЬНЫЙ ВХОД
Прошедшие проверку
Данная организация
ЛОКАЛЬНЫЕ
Domain Admins
ITO
Высокий обязательный уровень

ipconfig с рабоче станции

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : ITO03
Основной DNS-суффикс . . . . . . : local.psn
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : local.psn

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe FE Family Controller
Физический адрес. . . . . . . . . : 8C-89-A5-FE-0D-69
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.10.10.99(Основной)
Маска подсети . . . . . . . . . . : 255.0.0.0
IPv4-адрес. . . . . . . . . . . . : 192.168.0.28(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.11
DNS-серверы. . . . . . . . . . . : 192.168.0.10
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter VirtualBox Host-Only Network:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : VirtualBox Host-Only Ethernet Adapter
Физический адрес. . . . . . . . . : 0A-00-27-00-00-11
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::6479:1c9b:3efe:7927%17(Основной)
Автонастройка IPv4-адреса . . . . : 169.254.121.39(Основной)
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз. . . . . . . . . :
IAID DHCPv6 . . . . . . . . . . . : 403308583
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-21-44-48-25-8C-89-A5-FE-0D-69

DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{95EC4476-88C1-4282-98DF-09AD8D75F0A1}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{9B0AC75F-9B1D-4A58-BA14-DF113CB08415}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #4
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Цитата paranoya:

Убрать второй сетевой адаптер и сделать выход в Интернет в компании через аппартный роутер, если не нужны танцы с контролем, либо на отдельном ПК, если нужны танцы с контролем юзеров в Интернете »

Выход в инет через шлюз Зеншал, крутится на отдельном компе.

c журнала

Событие 1502 GroupPolicy
Параметры групповой политики для этого компьютера обработаны успешно. Были обнаружены и применены новые параметры из 1 объектов групповой политики.

и ещё dcdiag /fix

dcdiag /fix

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = comp05
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\COMP05
Запуск проверки: Connectivity
Узел 28dd3ae5-6efc-49cf-bc6d-1b108b01b799._msdcs.local.psn не удается
разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д.
Получена ошибка при проверке подключения LDAP и RPC. Проверьте
параметры брандмауэра.
......................... COMP05 - не пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\COMP05
Пропуск всех проверок, поскольку сервер COMP05 не отвечает на запросы
службы каталога.

Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: local
Запуск проверки: CheckSDRefDom
......................... local - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... local - пройдена проверка CrossRefValidation

Выполнение проверок предприятия на: local.psn
Запуск проверки: LocatorCheck
......................... local.psn - пройдена проверка LocatorCheck
Запуск проверки: Intersite
......................... local.psn - пройдена проверка Intersite

paranoya · Отправлено: **10:41, 28-11-2018** | #33

Цитата anroxt:

IPv4-адрес. . . . . . . . . . . . : 10.10.10.99(Основной)
Маска подсети . . . . . . . . . . : 255.0.0.0
IPv4-адрес. . . . . . . . . . . . : 192.168.0.28(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.11
DNS-серверы. . . . . . . . . . . : 192.168.0.10 »

Зачем две подсети и на сервере и на клиенте?
Что выводят команды: nslookup comp05.local.psn и nslookup 28dd3ae5-6efc-49cf-bc6d-1b108b01b799._msdcs.local.psn при их запуске с рабочей станции?
Если выход в Интернет идёт через отдельное устройство/сервер, то отключить второй сетевой адаптер на КД и прописать ip-адрес шлюза. После чего подождать полчаса и заново запустить dcdiag /e /v, но лучше КД перезагрузить перед dcdiag.

anroxt · Отправлено: **09:56, 29-11-2018** | #34

вывод nslookup

nslookup comp05.local.psn
╤хЁтхЁ: comp05.local.psn
Address: 192.168.0.10

╚ь*: comp05.local.psn
Addresses: 192.168.0.10
94.233.34.22
10.0.10.11

nslookup 28dd3ae5-6efc-49cf-bc6d-1b108b01b799._msdcs.local.psn

╤хЁтхЁ: comp05.local.psn
Address: 192.168.0.10

╚ь*: comp05.local.psn
Addresses: 192.168.0.10
94.233.34.22
10.0.10.11
Aliases: 28dd3ae5-6efc-49cf-bc6d-1b108b01b799._msdcs.local.psn

Цитата paranoya:

Зачем две подсети и на сервере и на клиенте? »

На охране стоят компы, вот на них эта подсеть. Зачем? почему не завели в основную, ХЗ

Цитата paranoya:

Если выход в Интернет идёт через отдельное устройство/сервер, то отключить второй сетевой адаптер на КД и прописать ip-адрес шлюза »

Два инета, один через отдельный шлюх Зеншал на железе а другой, который на КД идет программно через Керио и вторую сетевуху.

И я еще не могу понять вот эту запись в ДНС в прикрепленном файле. Она находиться в зоне _msdcs.local.psn

paranoya · Отправлено: **17:30, 29-11-2018** | #35

Лучше всего сначала разобраться с сетью - выяснить причину заведения отдельной подсети для охраны. По-хорошему, если нужно оградить охрану от главой сети, то нужно заводить VLAN правильно.
Затем выяснить, зачем два выхода в Интернет сделаны таким образом. То есть, выявить задачу, которую решили таким странным способом и исправить ситуацию. В подавляющем большинстве случаев контроллеру домена не нужно два сетевых адаптера и несколько ip-адресов.

anroxt · Отправлено: **07:26, 30-11-2018** | #36

Цитата paranoya:

Лучше всего сначала разобраться с сетью - выяснить причину заведения отдельной подсети для охраны. По-хорошему, если нужно оградить охрану от главой сети, то нужно заводить VLAN правильно.
Затем выяснить, зачем два выхода в Интернет сделаны таким образом. То есть, выявить задачу, которую решили таким странным способом и исправить ситуацию. В подавляющем большинстве случаев контроллеру домена не нужно два сетевых адаптера и несколько ip-адресов. »

Да это и я понимаю. На эти вопросы мне уже никто не ответит. Два инета потому что есть два производства и они находятся вдали др от др , типа для подстраховки. Но тут есть еще супер решение, не ВПН канал между про-вами а канал через ДСЛ модемы ))) ...Ля, прям 90-е. На счет ВЛАН я согласен, да хотя их можно и завести в общую сеть, не страшно.

Цитата paranoya:

28dd3ae5-6efc-49cf-bc6d-1b108b01b799._msdcs.local.psn »

Вот что это за идентификатор и на что или куда он ссылаться может??? В нем точно ошибка. Его можно удалить?

paranoya · Отправлено: **11:00, 30-11-2018** | #37

Цитата anroxt:

Вот что это за идентификатор и на что или куда он ссылаться может??? В нем точно ошибка. Его можно удалить? »

Удалять нельзя! Это уникальный системный идентификатор - CNAME на контроллер домена. В твоём случае он должен указывать на comp05.local.psn.
Первым делом надо избавляться от двух адресов на основном сетевом интерфейса. Если не страшно завести охрану в рабочую сеть, то заводи. Затем уже почитать статьи по multihomed domain controller и пытаться что-то сделать, но лучше сделать нормальную сеть.