[решено] WinXP SP3 долго входит в доменные учетки

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

WinXP SP3 долго входит в доменные учетки

Сервер где расположен контроллер домена был перенесен в другую подсеть - была: 192.168.10.0/24 стала: 192.168.5.0/0, сам IP контроллера: 192.168.5.201
При этом обе эти сети видны друг другу с помощью OpenVPN - тут проблем нет.

На ПК с WinXP SP3 Pro начались проблемы: очень долго входят в доменные учетки, и после этого нет доступа к доменным ресурсам.
В тоже самое время ПК с Win7 Pro проблем никаких!

На ПК в удаленной подсети в качестве DNS сервера прописываю - 192.168.5.201.
Пинги из удаленной подсети к 192.168.5.201 идут исправно.

В чем может быть проблема?

И при чем тут раздел о Windows Server 2008R2?

Дак домен на Win2008.

Если ошибся темой - просьба перенести.

Angel_19, ну, по Вашим описаниям можно только гадать. В журналы клиента заглядывали? А на сервере?

В журналы сервера заглядывал, там все хорошо.

На клиенте:

Код:

Тип события:        Предупреждение

Источник события:        LSASRV

Категория события:        SPNEGO (согласователь) 

Код события:        40960

Дата:                13.05.2016

Время:                14:06:09

Пользователь:                Н/Д

Компьютер:        RMP7

Описание:

Система безопасности обнаружила попытку атаки для понижения роли сервера LDAP/dcserver.sgroup.local. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.

 (0xc000005e)".

Код:

Тип события:        Предупреждение

Источник события:        LSASRV

Категория события:        SPNEGO (согласователь) 

Код события:        40961

Дата:                13.05.2016

Время:                14:06:09

Пользователь:                Н/Д

Компьютер:        RMP7

Описание:

Системе безопасности не удалось установить безопасное подключение к серверу LDAP/dcserver.sgroup.local. Отсутствуют доступные протоколы проверки подлинности.

Angel_19,

Ну так с этого и следовало начинать :)
А дальше идем в гугл и пишем "event id 40960" и "event id 40961" и смотрим.

Например тут пишут что некоторым помог ребут КД, у кого-то был закрыт 445 порт, у кого-то глючила служба netlogon (но раз уж другие пользователи нормально коннектятся то это не тот случай) ну и еще гору других вариантов.

Да я уже учитался много всего. Пока ничего не помогло.

Для решения проблемы взял проблемный системник, переустановил ОС, ввел ПК в домен (и он ввелся, хоть и долговато), а потом те же грабли... (Перед вводом ПК в домен удалил его из домена.)

Файрвол выключен на контроллере домена.

Angel_19, с сетевыми настройками на клиенте все в порядке, соответствуют ожидаемым? Ничего лишнего?
Попробуйте настроить ожидание сети при логоне, https://technet.microsoft.com/en-us/.../gg486839.aspx

И да, включите аудит ошибок, может там что появится

Цитата:

Событие 40960 содержит только текст ошибки, возвращенной протоколом Kerberos. В нем не регистрируется имя участника безопасности или имя клиентского компьютера. Для получения этих сведений необходимо включить аудит пользовательских ошибок входа в систему. Событие, регистрирующееся одновременно с событием SPNEGO при ошибке входа в систему, содержит дополнительные сведения о произошедшем сбое.

Всем кто помогал спасибо!
Проблема решена.
Решение проблемы тут: https://support.microsoft.com/ru-ru/kb/244474

Если совсем коротко, то по умолчанию Kerberos в WinXP работает по протоколу UDP, и при работе через VPN происходит фрагментация пакетов и они могут приходить в произвольном порядке - в этом случае эти пакеты удаляются. Чтобы этого избежать нужно перевести Kerberos на работу по протоколу TCP.