Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)
-   -   Active Directory: logon при выключеном контроллере (http://forum.oszone.net/showthread.php?t=250028)

bombording 26-12-2012 18:31 2053954

Active Directory: logon при выключеном контроллере
 
Добрый вечер.
Продолжаю экспериментировать с Server 2012 в виртуальной среде.

Имеется сконфигурированный по умолчанию контроллер домена и введенный в этот домен Windows 7.

Cenmm проблемы:
При выключенном контроллере домена, на клиент с Windows 7 можно без проблем залогиниться от любого пользователя домена. Даже под пользователем который ранее не заходил на клиент Windows 7.

Я так понимаю, Windows 7 каким то образом закешировал структуру Active Directory. Как же так получилось?
Насколько я помню, в предыдущих версиях Active Directory на базе Server 2008/R2 такого не было. И при недоступности службы Active Directory, авторизоваться в системе было нельзя.

Telepuzik 27-12-2012 14:14 2054487

bombording,
Покажите вывод команды set после логона пользователя на клиентский компьютер.

bombording 28-12-2012 11:07 2054982

Telepuzik,

Вот вывод команды set на клиентской машине.
Оба контроллера домена выключены. Даже интернет шлюз выключен.
Клиент входит в систему под любым пользователем. Мало того, он ещё проверяет правильность ввода пароля в случае ошибки набора.
А так же можно используя логин и пароль администратора домена изменять настройки компьютера (сеть и т.д.)

Код:

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\epo>set
ALLUSERSPROFILE=C:\ProgramData
APPDATA=C:\Users\epo\AppData\Roaming
CommonProgramFiles=C:\Program Files\Common Files
CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files
CommonProgramW6432=C:\Program Files\Common Files
COMPUTERNAME=CO-CLIENT01
ComSpec=C:\Windows\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Users\epo
LOCALAPPDATA=C:\Users\epo\AppData\Local
LOGONSERVER=\\CO-DC02
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32
\WindowsPowerShell\v1.0\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
PROCESSOR_ARCHITECTURE=AMD64
PROCESSOR_IDENTIFIER=Intel64 Family 6 Model 42 Stepping 7, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=2a07
ProgramData=C:\ProgramData
ProgramFiles=C:\Program Files
ProgramFiles(x86)=C:\Program Files (x86)
ProgramW6432=C:\Program Files
PROMPT=$P$G
PSModulePath=C:\Windows\system32\WindowsPowerShell\v1.0\Modules\
PUBLIC=C:\Users\Public
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\Windows
TEMP=C:\Users\epo\AppData\Local\Temp
TMP=C:\Users\epo\AppData\Local\Temp
USERDNSDOMAIN=DOMAIN.ORG
USERDOMAIN=DOMAIN
USERNAME=epo
USERPROFILE=C:\Users\epo
windir=C:\Windows

C:\Users\epo>


cameron 28-12-2012 11:37 2054999

Цитата:

Цитата bombording
Оба контроллера домена выключены. »

не похоже

Цитата:

COMPUTERNAME=CO-CLIENT01
Цитата:

LOGONSERVER=\\CO-DC02

bombording 28-12-2012 11:55 2055007

cameron, И тем не менее они выключены.
Я даже грешил на виртуальную среду VmWare, в которой крутятся все машины. Пробовал даже выключать клиента, затем выключать питание у сетевого адаптера клиента и включать заного. Не помогло. Клиент так же без проблем логинится в систему

cameron 28-12-2012 12:07 2055011

может у вас многосайтовая структура и клиент проходит аунтификацию на каком-то другом КД.
хотя откуда тогда взялось бы
Цитата:

Цитата bombording
CO-DC02 »

.

забавно.
хорошо, КД выключены, целевая ОС
Цитата:

Цитата bombording
CO-CLIENT01 »

перезагружена после выключения КД, вы успешно входите под любым пользователем.

выполните команды:

dsquery server -isgc
nslookup domain.ru

bombording 28-12-2012 12:49 2055039

cameron,
Нет, в домене только один сайт, который привязан к подсети в которой находится клиент и оба КД. Сетевая инфраструктура простейшая, без каких либо серьезных дополнительных изменений - VmWare - 1 шлюз, 2 КД Server 2012(1 лес, 1 домен, 1 сайт, свои GPO не создавались), 1 клиент Windows 7

dsquery server -isgc не ищет, т.к. Windows 7 не знает о такой команде.

Код:

PS C:\Users\epo> nslookup domain.org
*** Серверы по умолчанию недоступны
╤хЁтхЁ:  UnKnown
Address:  127.0.0.1


cameron 28-12-2012 13:03 2055045

а теперь ещё раз вывод
echo %logonserver%

bombording 28-12-2012 14:28 2055093

cameron,

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

Код:

C:\Users\epo>echo %logonserver%
\\CO-DC01


cameron 28-12-2012 14:39 2055094

весело. я не могу это объяснить, ждём более опытных коллег.

winbond 28-12-2012 16:26 2055144

Цитата:

Цитата bombording
Насколько я помню, в предыдущих версиях Active Directory на базе Server 2008/R2 такого не было. И при недоступности службы Active Directory, авторизоваться в системе было нельзя. »

Такого и сейчас нет. Профилей пользователей на клиенте точно не было? Или может остались от прошлого домена с тем же именем?

cameron 28-12-2012 16:28 2055146

Цитата:

Цитата winbond
Профилей пользователей на клиенте точно не было? »

это всё может быть, кроме того что в случае кешированного входа в %logonserver% было бы %computername% ;)

Iska 28-12-2012 17:09 2055173

Цитата:

Цитата cameron
кроме того что в случае кешированного входа в %logonserver% было бы %computername% »

cameron, безотносительно темы; это поведение где-то описано, или просто — из опыта?

cameron 28-12-2012 19:29 2055269

Цитата:

Цитата Iska
или просто — из опыта? »

это мои личные наблюдения, поэтому есть вероятность я ошибаюсь, но пока другого не видела.

Iska 29-12-2012 06:48 2055485

cameron, спасибо, ясно.

winbond 03-01-2013 19:14 2058277

Проверил. Ноут(8) у меня четвертый день на приличном расстоянии от домашнего диси(2012) и не связан с ним.
Код:

C:\Users\winbond>set
...
LOGONSERVER=\\HDC1
...

Скорее всего профили все-таки были закэшированы.

cameron 03-01-2013 23:05 2058464

Цитата:

Цитата winbond
Проверил. Ноут(8) у меня четвертый день на приличном расстоянии от домашнего диси(2012) и не связан с ним. »

logoff - logon
после чего
echo %logonserver%

winbond 05-01-2013 05:28 2059321

cameron, через set считывается весь список переменных, я просто опустил остальные. Естественно по эху тот же самый логонсервер выходит, к которому уже почти неделю коннекта нет. Ноутбук перезагружал не раз.

Могу предположить, что ТС уже создавал ранее виртуальный DC+домен с точно таким же именем как и сейчас, и в обоих AD у него пользователи с одинаковыми именами. Также вероятно, что клиентская(виртуальная?) машина была из старого домена выведена и введена в новый. Все имена/явки/пароли полностью одинаковые (ибо никакого смысла на тесте нет выдумывать всё по новому и запоминать), а вот SID'ы у пользователей/машин по любому вышли разные. Соответственно если глянуть в папку USERS на клиенте, там двойной комплект профилей (те которыми заходил в прежний домен, и те которыми в новый). Старые профили и сбивают с толку.

P.S. Свойства системы - Дополнительно - Профили пользователей - Параметры. Все не относящиеся к текущему домену вошедшего пользователя профили будут показаны не по именам, а по SID.


Время: 05:57.

Время: 05:57.
© OSzone.net 2001-2025