|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] Проблемы с AD (Win2k3 domain) |
|
||||
|
|
[решено] Проблемы с AD (Win2k3 domain)
|
|
Новый участник Сообщения: 17 |
Существовал себе спокойно домен на 2003 сервере. Группы, юзеры, админы; сервер RIS, Exchange, 3 DC (2 для корневого домена и 1 для дочернего), два терминальных сервера (цытрикс, объединены в ферму) и прочее. Короче, почти обычная офисная сетка.
Админ подправил права на некоторые ключи реестра (хотел чтоб юзеры не имели возможности расшаривать папки на своих тачках): [HKEY_CLASSES_ROOT\CLSID\{1F2E5C40-9550-11CE-99D2-00AA006E086C}] @="Security Shell Extension" [HKEY_CLASSES_ROOT\CLSID\{1F2E5C40-9550-11CE-99D2-00AA006E086C}\InProcServer32] @="rshx32.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}] @="Shell extensions for sharing" [HKEY_CLASSES_ROOT\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}\InProcServer32] @="ntshrui.dll" "ThreadingModel"="Apartment" В тот же день повылезали траблы (неизвестно, связаны ли они с с этими изменениями) 1) Перестали быть доступными шары для Domain Users. Если поставить разрешение Всем (Everyone) на работу с этими "вдругнедоступными" шарами, тогда опять всё пашет. 2) RIS-сервер перестал аутентифицировать группу, которой разрешено ставить венду с сервака. Если поставить Всем (дада, всё тот же Everyone) разрешение на RemoteInstall и на образы, то сервер всё равно посылает, говорит, что не может дать список опций, потому что не признал меня (собственно Enterprise Admin со всеми правами на инсталляцию). 3) Начались траблы с терминалом: юзеры не могли войти на сервер. Winlogon выдавал ошибку с кодом 1219: "Logon rejected for domainname\username. Unable to obtain Terminal Server User Configuration. Error: Access is denied". Пришлось временно для того чтоб работать людям дальше, внести их на терминальном серваке в группу Опытных пользователей. P.S. Из логов серверов видно, что что все проблемы начались одновременно. P.P.S. Ключам были возвращены оригинальные значения. P.P.P.S.Да, в тот же день (то бишь, вчера) вечером были затушены все серверы. Затем включены в следующей последовательности: 1) PDC (дождались загрузки всех служб) 2) BDC 3) DC дочернего домена 4) Гейт (ISA) 5) Exchange 6) Terminal server #1 7) Terminal server #2... Все баги на месте. А теперь, знатоки, внимание, вопрос. Что делать-то? Переставлять всё не предлагать, пожалуйста. На это уйдёт слишком много времени, которым мы не располагаем. |
|
|
Отправлено: 17:10, 15-06-2006 |
Пользователь Сообщения: 113
|
Профиль | Отправить PM | Цитировать А если попробовать вернуть права на ключи реестра обратно?
|
|
Отправлено: 17:16, 15-06-2006 | #2 |
|
Новый участник Сообщения: 17
|
Профиль | Отправить PM | Цитировать Ах, да, извините, забыл сообщить.
Ключам вернули оригинальные значения. |
|
Отправлено: 17:19, 15-06-2006 | #3 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать DC рестартовали?
|
|
------- Отправлено: 17:28, 15-06-2006 | #4 |
|
Пользователь Сообщения: 113
|
Профиль | Отправить PM | Цитировать А вы точно уверены что вернули изначальные значения всем ключикам реестра?..может про какой ть забыли?
Можно еще попробовать удалить и заново создать тех же юЗверей... |
|
|
Отправлено: 17:31, 15-06-2006 | #5 |
|
Новый участник Сообщения: 17
|
Профиль | Отправить PM | Цитировать Цитата:
1) PDC (дождались загрузки всех служб) 2) BDC 3) DC дочернего домена 4) Гейт (ISA) 5) Exchange 6) Terminal server #1 7) Terminal server #2 Баги на месте, есесно =\ Цитата:
Создавать более 150 юзверей и распихивать их по двум дюжинам групп безопасности без отрыва от производства нереально, к сожалению. |
||
|
Отправлено: 17:32, 15-06-2006 | #6 |
|
Пользователь Сообщения: 113
|
Профиль | Отправить PM | Цитировать Можно хотя бы на примере одного юзера попробовать - вдруг тут вообще в чем то другом дело?..
Потому что странно..если вы только меняли права на ключи а потом как говорите все в точности вернули назад то по идее проблемы должны были исчезнуть... может еще что нибудь меняли? |
|
Отправлено: 17:39, 15-06-2006 | #7 |
|
Новый участник Сообщения: 17
|
Профиль | Отправить PM | Цитировать Цитата:
Шары опять же не доступны. В общем, полный сипец. Налицо глючная работа системы аутентификации. Как бы её проверить на вшивость? P.S. Ещё одна замеченная странность. На моё корп. мыло приходят отчёты антивируса о неудачной попытке обновления. Время создания письма отличается от времени получения на час вперёд. На серваке почтовом сервере время корректно. |
|
|
Отправлено: 17:52, 15-06-2006 | #8 |
|
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Проблемы 1, 3 как-то всплывали в практике. Вылечить удалось бубном, сделали людей локальными админами на своих компьютерах.
Происхождение заболевание не понятно мне до сих пор. |
|
------- Отправлено: 17:55, 15-06-2006 | #9 |
|
Новый участник Сообщения: 17
|
Профиль | Отправить PM | Цитировать Цитата:
|
|
|
Отправлено: 18:05, 15-06-2006 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| V. 5.5/2000/2003 - [решено] Failed to grant permission for DOMAIN\user on this object... | solon | Microsoft Exchange Server | 7 | 26-11-2008 07:52 | |
| [решено] Проблемы с автоматическим Backup на ленту Win2k3 r2 | GreenIce | Microsoft Windows NT/2000/2003 | 3 | 17-04-2008 04:26 | |
| дочерний домен win2k3 r2 sp2 и win2k3 sp2 проблема | umikas | Microsoft Windows NT/2000/2003 | 10 | 02-04-2008 14:59 | |
| [решено] Отправка почты и Postmaster@domain | Jekael | Microsoft Exchange Server | 1 | 23-01-2008 15:51 | |
| win2k3 sp1 alt+ctrl+del + ещё проблемы | sybereks | Автоматическая установка Windows 2000/XP/2003 | 1 | 08-05-2006 23:41 | |
|
|
Время: 04:33. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
