Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   При попытке добавить пользователя оснастка зависает (Windows 2003R2 std) (http://forum.oszone.net/showthread.php?t=209965)

Vasosel 27-06-2011 14:00 1702284
При попытке добавить пользователя оснастка зависает (Windows 2003R2 std)
 
Всем здравствуйте.

Имеется домен в трех сайтах с тремя контроллерами. Все имеют глобальный каталог, все роли FSMO находятся на одном КД.
Схема расширена exchange 2007, Astrosoft Matchlogon (аутентификация по отпечаткам). Видимых проблем в dcdiag, netdiag не наблюдается, ошибки в логах тоже все с виду незначительные.

Проблема заключается в следующем: не удается создать нового пользователя, либо выполнить сброс пароля существующему. Консоль mmc просто зависает (висеть может несколько дней, дольше ждать не пробовали). При этом, при попытке добавить пользователя, учетная запись создается, но она остается в заблокированном (отключенном) состоянии (есть подозрение, что это происходит опять же при попытке задать на учетку пароль). В логи при этом ничего не пишется.

Это происходит со всеми тремя КД в разное время, то есть на одном пользователь добавляется без проблем, на другом - уже нет, если долго не перезагружать (неделю-две), то все три оказываются в таком состоянии. Если контроллер домена перезагрузить, то ситуация на какое-то время исправляется.

Я грешил на фильтр паролей, который поставляется с MatchLogon, но перезапуск этой службы ничего не дает.

Подскажите пожалуйста, как подступиться к такой проблеме? Может можно как-то отследить, что происходит при попытке сброса пароля пользователю?

monkkey 27-06-2011 15:05 1702320
Вы вообще посмотрите ошибки в логах, например - по репликации.

Vasosel 27-06-2011 15:21 1702328
monkkey

Репликация работает:

repadmin /syncall dc1 /А
CALLBACK MESSAGE: SyncAll Finished.
SyncAll terminated with no errors.

repadmin /syncall dc2 /А
CALLBACK MESSAGE: SyncAll Finished.
SyncAll terminated with no errors.

repadmin /syncall dc3 /А
CALLBACK MESSAGE: SyncAll Finished.
SyncAll terminated with no errors.

На всех трех контроллерах в журналах более или менее чисто.

Все-таки, опишу на всякий случай, как работает MatchLogon и зачем ему фильтр паролей.

ML хранит в себе пароль пользователя в зашифрованном виде, и после аутентификации по отпечатку пальца достает этот пароль, и осуществляет вход в домен. Если пользователь (или одмин) меняет пароль на учетку стандартными средствами windows, это происходит через один из контроллеров домена. Поэтому на все контроллеры домена должен быть установлен так называемый фильтр паролей, который отлавливает это событие, перехватывает и запоминает пароль.

Так что основной подозреваемый - он, но непонятно, как проверить (удалить фильтр с контроллеров не можем, т.к. иначе пользователи не смогут логиниться после смены паролей).

Vasosel 19-07-2011 15:07 1715678
ап

проблема так и не решена.

monkkey 20-07-2011 12:17 1716253
Ваша проблема очень похожа на неправильно настроенный DNS. Приведите ipconfig /all со всех контроллеров, проверьте настройку DNS-серверов на каждом КД - передачу зон и т.п.


Время: 11:10.

Время: 11:10.
© OSzone.net 2001-