[Charg]

И при чем тут раздел о Windows Server 2008R2?

[Angel_19]

Дак домен на Win2008.

Если ошибся темой - просьба перенести.

[NickM]

Angel_19, ну, по Вашим описаниям можно только гадать. В журналы клиента заглядывали? А на сервере?

[Angel_19]

В журналы сервера заглядывал, там все хорошо.

На клиенте:

Код:

Тип события:	Предупреждение
Источник события:	LSASRV
Категория события:	SPNEGO (согласователь) 
Код события:	40960
Дата:		13.05.2016
Время:		14:06:09
Пользователь:		Н/Д
Компьютер:	RMP7
Описание:
Система безопасности обнаружила попытку атаки для понижения роли сервера LDAP/dcserver.sgroup.local. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
 (0xc000005e)".

Код:

Тип события:	Предупреждение
Источник события:	LSASRV
Категория события:	SPNEGO (согласователь) 
Код события:	40961
Дата:		13.05.2016
Время:		14:06:09
Пользователь:		Н/Д
Компьютер:	RMP7
Описание:
Системе безопасности не удалось установить безопасное подключение к серверу LDAP/dcserver.sgroup.local. Отсутствуют доступные протоколы проверки подлинности.

[Charg]

Angel_19,

Ну так с этого и следовало начинать
А дальше идем в гугл и пишем "event id 40960" и "event id 40961" и смотрим.

Например тут пишут что некоторым помог ребут КД, у кого-то был закрыт 445 порт, у кого-то глючила служба netlogon (но раз уж другие пользователи нормально коннектятся то это не тот случай) ну и еще гору других вариантов.

[Angel_19]

Да я уже учитался много всего. Пока ничего не помогло.

Для решения проблемы взял проблемный системник, переустановил ОС, ввел ПК в домен (и он ввелся, хоть и долговато), а потом те же грабли... (Перед вводом ПК в домен удалил его из домена.)

Файрвол выключен на контроллере домена.

[NickM]

Angel_19, с сетевыми настройками на клиенте все в порядке, соответствуют ожидаемым? Ничего лишнего?
Попробуйте настроить ожидание сети при логоне, https://technet.microsoft.com/en-us/.../gg486839.aspx

И да, включите аудит ошибок, может там что появится

Цитата:

Событие 40960 содержит только текст ошибки, возвращенной протоколом Kerberos. В нем не регистрируется имя участника безопасности или имя клиентского компьютера. Для получения этих сведений необходимо включить аудит пользовательских ошибок входа в систему. Событие, регистрирующееся одновременно с событием SPNEGO при ошибке входа в систему, содержит дополнительные сведения о произошедшем сбое.

[Angel_19]

Всем кто помогал спасибо!
Проблема решена.
Решение проблемы тут: https://support.microsoft.com/ru-ru/kb/244474

Если совсем коротко, то по умолчанию Kerberos в WinXP работает по протоколу UDP, и при работе через VPN происходит фрагментация пакетов и они могут приходить в произвольном порядке - в этом случае эти пакеты удаляются. Чтобы этого избежать нужно перевести Kerberos на работу по протоколу TCP.