Active Directory: logon при выключеном контроллере
Добрый вечер.
Продолжаю экспериментировать с Server 2012 в виртуальной среде. Имеется сконфигурированный по умолчанию контроллер домена и введенный в этот домен Windows 7. Cenmm проблемы: При выключенном контроллере домена, на клиент с Windows 7 можно без проблем залогиниться от любого пользователя домена. Даже под пользователем который ранее не заходил на клиент Windows 7. Я так понимаю, Windows 7 каким то образом закешировал структуру Active Directory. Как же так получилось? Насколько я помню, в предыдущих версиях Active Directory на базе Server 2008/R2 такого не было. И при недоступности службы Active Directory, авторизоваться в системе было нельзя. |
bombording,
Покажите вывод команды set после логона пользователя на клиентский компьютер. |
Telepuzik,
Вот вывод команды set на клиентской машине. Оба контроллера домена выключены. Даже интернет шлюз выключен. Клиент входит в систему под любым пользователем. Мало того, он ещё проверяет правильность ввода пароля в случае ошибки набора. А так же можно используя логин и пароль администратора домена изменять настройки компьютера (сеть и т.д.) Код:
Microsoft Windows [Version 6.1.7601] |
Цитата:
Цитата:
Цитата:
|
cameron, И тем не менее они выключены.
Я даже грешил на виртуальную среду VmWare, в которой крутятся все машины. Пробовал даже выключать клиента, затем выключать питание у сетевого адаптера клиента и включать заного. Не помогло. Клиент так же без проблем логинится в систему |
может у вас многосайтовая структура и клиент проходит аунтификацию на каком-то другом КД.
хотя откуда тогда взялось бы Цитата:
забавно. хорошо, КД выключены, целевая ОС Цитата:
выполните команды: dsquery server -isgc nslookup domain.ru |
cameron,
Нет, в домене только один сайт, который привязан к подсети в которой находится клиент и оба КД. Сетевая инфраструктура простейшая, без каких либо серьезных дополнительных изменений - VmWare - 1 шлюз, 2 КД Server 2012(1 лес, 1 домен, 1 сайт, свои GPO не создавались), 1 клиент Windows 7 dsquery server -isgc не ищет, т.к. Windows 7 не знает о такой команде. Код:
PS C:\Users\epo> nslookup domain.org |
а теперь ещё раз вывод
echo %logonserver% |
cameron,
Microsoft Windows [Version 6.1.7601] (c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены. Код:
C:\Users\epo>echo %logonserver% |
весело. я не могу это объяснить, ждём более опытных коллег.
|
Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
|
cameron, спасибо, ясно.
|
Проверил. Ноут(8) у меня четвертый день на приличном расстоянии от домашнего диси(2012) и не связан с ним.
Код:
C:\Users\winbond>set |
Цитата:
после чего echo %logonserver% |
cameron, через set считывается весь список переменных, я просто опустил остальные. Естественно по эху тот же самый логонсервер выходит, к которому уже почти неделю коннекта нет. Ноутбук перезагружал не раз.
Могу предположить, что ТС уже создавал ранее виртуальный DC+домен с точно таким же именем как и сейчас, и в обоих AD у него пользователи с одинаковыми именами. Также вероятно, что клиентская(виртуальная?) машина была из старого домена выведена и введена в новый. Все имена/явки/пароли полностью одинаковые (ибо никакого смысла на тесте нет выдумывать всё по новому и запоминать), а вот SID'ы у пользователей/машин по любому вышли разные. Соответственно если глянуть в папку USERS на клиенте, там двойной комплект профилей (те которыми заходил в прежний домен, и те которыми в новый). Старые профили и сбивают с толку. P.S. Свойства системы - Дополнительно - Профили пользователей - Параметры. Все не относящиеся к текущему домену вошедшего пользователя профили будут показаны не по именам, а по SID. |
Время: 05:57. |
Время: 05:57.
© OSzone.net 2001-2025