Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] Проблемы с AD (Win2k3 domain)

< Предыдущая 1 2
Ответить
Настройки темы
[решено] Проблемы с AD (Win2k3 domain)

Новый участник


Сообщения: 17
Благодарности: 0

Профиль | Отправить PM | Цитировать

Изменения
Автор: ginnyboy
Дата: 15-06-2006
Существовал себе спокойно домен на 2003 сервере. Группы, юзеры, админы; сервер RIS, Exchange, 3 DC (2 для корневого домена и 1 для дочернего), два терминальных сервера (цытрикс, объединены в ферму) и прочее. Короче, почти обычная офисная сетка.
Админ подправил права на некоторые ключи реестра (хотел чтоб юзеры не имели возможности расшаривать папки на своих тачках):

[HKEY_CLASSES_ROOT\CLSID\{1F2E5C40-9550-11CE-99D2-00AA006E086C}]
@="Security Shell Extension"

[HKEY_CLASSES_ROOT\CLSID\{1F2E5C40-9550-11CE-99D2-00AA006E086C}\InProcServer32]
@="rshx32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}]
@="Shell extensions for sharing"

[HKEY_CLASSES_ROOT\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}\InProcServer32]
@="ntshrui.dll"
"ThreadingModel"="Apartment"

В тот же день повылезали траблы (неизвестно, связаны ли они с с этими изменениями)

1) Перестали быть доступными шары для Domain Users. Если поставить разрешение Всем (Everyone) на работу с этими "вдругнедоступными" шарами, тогда опять всё пашет.
2) RIS-сервер перестал аутентифицировать группу, которой разрешено ставить венду с сервака. Если поставить Всем (дада, всё тот же Everyone) разрешение на RemoteInstall и на образы, то сервер всё равно посылает, говорит, что не может дать список опций, потому что не признал меня (собственно Enterprise Admin со всеми правами на инсталляцию).
3) Начались траблы с терминалом: юзеры не могли войти на сервер. Winlogon выдавал ошибку с кодом 1219: "Logon rejected for domainname\username. Unable to obtain Terminal Server User Configuration. Error: Access is denied". Пришлось временно для того чтоб работать людям дальше, внести их на терминальном серваке в группу Опытных пользователей.

P.S. Из логов серверов видно, что что все проблемы начались одновременно.
P.P.S. Ключам были возвращены оригинальные значения.
P.P.P.S.Да, в тот же день (то бишь, вчера) вечером были затушены все серверы. Затем включены в следующей последовательности:
1) PDC (дождались загрузки всех служб)
2) BDC
3) DC дочернего домена
4) Гейт (ISA)
5) Exchange
6) Terminal server #1
7) Terminal server #2... Все баги на месте.

А теперь, знатоки, внимание, вопрос.
Что делать-то?

Переставлять всё не предлагать, пожалуйста. На это уйдёт слишком много времени, которым мы не располагаем.

Отправлено: 17:10, 15-06-2006

 

Аватара для kim-aa

Назгул


Сообщения: 2633
Благодарности: 345

Профиль | Отправить PM | Цитировать

Это конечно танцы с бубном, но..
Предлагаю попробовать на 1й машине.
-Делаешь пользователя локальным админом (или Domain)
-Login в систему, проверка всех операций. Logout
- В случае положительного результата - понижение в правах.
-Снова попробовать Login и проверку операций

-------
Мы овладеваем более высоким стилем спора. Спор без фактов. Спор на темпераменте. Спор, переходящий от голословного утверждения на личность партнера. (c)Жванецкий

Отправлено: 18:17, 15-06-2006 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 17
Благодарности: 0

Профиль | Отправить PM | Цитировать

Непонятно, к чему эти действия, но интересен результат.
Хотя, я думаю, это проблемы не решит..
Завтра попробую. Спасибо за участие

Отправлено: 22:42, 15-06-2006 | #12


Новый участник


Сообщения: 17
Благодарности: 0

Профиль | Отправить PM | Цитировать

Итак, вести с полей
Пришла вечером в голову идея поднять новый PDC. Пришёл на работу, сделали DCPROMO серверу RIS, передали все роли ему.
А теперь новости: что, мол, изменилось. Сначала хорошие, потом плохие, как в анекдотах.

+ Юзеры стали нормально ходить по шарам (без Everyone) и сидеть в терминале (без участия в локальной группе Power users терминального сервера).
+ Антивирус (работает с правами LOCAL SYSTEM) стал обновляться.

- Антивирусы, работающие на серваках и в соседнем домене ПЕРЕСТАЛИ обновляца с учёткой LOCAL SYSTEM.
- Всё так же не работает RIS. Переустановка службы не помогла. Кроме того был поднят старый RIS, но он опять же посылает с той же ошибкой аутентификации.

Куда дальше копать -- неясно вообще.

Отправлено: 15:28, 16-06-2006 | #13


Аватара для kim-aa

Назгул


Сообщения: 2633
Благодарности: 345

Профиль | Отправить PM | Цитировать

Может я ошибаюсь, но по моему проблемы со схемой AD.
В данном вопросе я не специалист, однако натыкался на информацию, что в сложных AD-структурах (с существующими суб и над-доменами) для избежания таких граблей разносят контроллеры домена и контроллеры схемы домена.

Цитата:
Антивирусы, работающие на серваках
На старых контролерах или просто серверах?
Если на старых, то боюсь придется их понижать и делать контроллерами заново.
Если на обыкновенных серверах - можно попробовать вывести их из домена, а затем снова ввести (но для гарантии я бы таки понизил старые DC)

-------
Мы овладеваем более высоким стилем спора. Спор без фактов. Спор на темпераменте. Спор, переходящий от голословного утверждения на личность партнера. (c)Жванецкий

Отправлено: 15:38, 16-06-2006 | #14


Новый участник


Сообщения: 17
Благодарности: 0

Профиль | Отправить PM | Цитировать

Цитата:
На старых контролерах или просто серверах?
На старых контроллерах.
Цитата:
Если на старых, то боюсь придется их понижать и делать контроллерами заново.
Если на обыкновенных серверах - можно попробовать вывести их из домена, а затем снова ввести (но для гарантии я бы таки понизил старые DC)
Да, видимо, придётся.
Спасибо, что утвердили моё желание сделать это. Теперь уж точно после рабочего дня казним и помилуем остальные DC

Отправлено: 16:01, 16-06-2006 | #15


Новый участник


Сообщения: 17
Благодарности: 0

Профиль | Отправить PM | Цитировать

Действия:
- Понизили все контроллеры, отобрали роли, передали всё новой машине W2k3.
- В дочернем домене то же самое сотворили.
- Переустановили RIS, авторизировали заново сервер DHCP.

to do:
Вернуть всё назад и проверить доступность шар/установки ОС через RIS. Но это в понедельник.
Всем спасибо за участие в решении :D

Отправлено: 18:19, 16-06-2006 | #16

< Предыдущая 1 2


Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] Проблемы с AD (Win2k3 domain)

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
V. 5.5/2000/2003 - [решено] Failed to grant permission for DOMAIN\user on this object... solon Microsoft Exchange Server 7 26-11-2008 07:52
[решено] Проблемы с автоматическим Backup на ленту Win2k3 r2 GreenIce Microsoft Windows NT/2000/2003 3 17-04-2008 04:26
дочерний домен win2k3 r2 sp2 и win2k3 sp2 проблема umikas Microsoft Windows NT/2000/2003 10 02-04-2008 14:59
[решено] Отправка почты и Postmaster@domain Jekael Microsoft Exchange Server 1 23-01-2008 15:51
win2k3 sp1 alt+ctrl+del + ещё проблемы sybereks Автоматическая установка Windows 2000/XP/2003 1 08-05-2006 23:41


« Предыдущая тема | Следующая тема »


 
Переход