Сбой доступа у компьютера домена
 

Здравствуйте.

Дано: сетка в домене, контроллеров домена два: основной и резервный, на базе Windows Server 2012 Datacenter. Кроме них еще 2 сервера: почтовый (на нем так же антивирус и рабочий чат) и компьютер, раздающий на остальные интернет (не находится в домене), они на Windows Server 2003. Остальные машины - Windows XP и 7. Назовем основной контроллер 10.1, резервный 10.3, почтовый 10.2, интернет-шлюз 10.10 для краткости.

Проблема следующая: на днях выключалась электроэнергия, после загрузки 10.2 (почтовый) не смог автоматически войти в систему, так как ранее менялся пароль доменной админской учетки, под которой на него был выполнен вход. Вбил новый пароль, все загрузилось, но... На 10.2 так же был установлен сетевой принтер, и первой поступившей жалобой было, что он не печатает. Выяснилось, что компьютер пользователя больше не может получить доступ к 10.2 (далее в скриншотах), и почта, соответственно также на него не приходит. На том компьютере Windows 7, а коллеги по отделу, у которых Windows XP, продолжали печатать и получать почту. После перебивания доменной учетки пользователя все вроде бы работает, но до первой перезагрузки, после этого не может получить доступ опять... На самом же 10.2 не получается получить доступ к 10.10 (скриншот 1), но это видимо, последствие этого сбоя... Вчера ночью перезагрузил сервера, и теперь все компьютеры не подключаются к 10.2 ....

Прошу помочь выявить корень проблемы, так как не удается понять, в чем причина такого сбоя..

UPD: почта, как выяснилось, функционирует нормально, проблема осталась с подключением и, соответственно, с принтером, как расшаренным в AD устройством.

Начнём с IPConfig /all всех серверов и по одной рабочей станции.

DemonInside, попробуйте 10.2 вывести из домена и снова подключить в домен.

На нём (и для него в домене) какие-то особые политики не настроены? Restricted Groups или политики безопасности?

Petya V4sechkin, пробовал, эффекта не принесло. Вне домена наблюдается такая же проблема.
Вполне возможно, что-то накосячено или недописано в политиках, домен создавал не я, а предыдущий системный администратор. Однако проблема началась, как я заметил, после смены пароля и вынужденной перезагрузки почтового сервера 10.2 .

WindowsNT, прикрепляю.
1 - 10.1, основной контроллер домена и файлообменник
2 - 10.3, резервный контроллер домена
3 - 10.2, проблемный компьютер, почтовый сервер и распространитель обновлений антивируса
4 - 10.10, интернет-шлюз
5. - одна из рабочих станций
http://forum.oszone.net/attachment.p...1&d=1469003504

Навскидку по ошибке:
https://social.technet.microsoft.com...indowsserverru

Подозреваю, сбой питания просто перезапустил службы Server/Workstation, для которых данные параметры вступают в силу при рестарте.
Также проверьте дату/год.

WindowsNT, открыл логи на mail (10.2), там следующее:

Netlogon: компьютер не может установить безопасный сеанс связи с контроллером домена по следующей причине: отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.

TermServLicensing: Один или несколько сертификаторов лицензирования сервера терминалов на сервере MAIL повреждены. Лицензирование сервера терминалов будет выдывать только временные лицензии, пока сервер не будет заново активирован.

DCOM: указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены.

Print: не удалось найти контейнер очереди печати, поскольку не удалось получить DNS-имя домена. Ошибка 54b


SceCli: выполнено распространение политики безопасности с предупреждением 0x534: именам пользователей не сопоставлены коды защиты данных.

Userenv: не удалось найти учетную запись компьютера. Попытка входа в систему неудачна

Userinit: не удалось выполнить следующий сценарий: dns.bat. не удается найти указанный файл.

пока гуглю, как это исправить, может что-то посоветуете дополнительно

DemonInside,
Выложите вывод ipconfig /all в текстовом виде под тегом [more] со всех КД и вывод команд dcdiag и nslookup uk.lan с обоих КД.

Убедитесь, что учётная запись почтового компьютера в домене существует. Не уверен, что что-то интересное можно найти в её свойствах, ну хотя бы дату Modified на закладке Object.
Учтите, что контроллеры должны успешно реплицироваться. Если компьютер выводили из домена и вводили обратно, а контроллеры не смогли среплицировать эту информацию, то будет сбоить подобным образом.

Убедитесь, что контроллеры успешно могут реплицироваться (AD Sites and Services > Sites > Default > Servers > сервер > NTDS Settings > Auto Generated > правой кнопкой > Replicate Now, и что нет ошибок/предупреждений в журналах DFS Replication/Directory Service.