Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)
-   -   RDS и временные пользователи EventID 1511 (http://forum.oszone.net/showthread.php?t=323559)

Elven 06-02-2017 15:33 2709401
RDS и временные пользователи EventID 1511
 
Настраиваю RDS на основе сеансов под 2012r2. В процессе настройки никаких граблей не всплыло, а вот при попытке залогиниться теперь получается зайти на эти сервера только под временным пользователем. В логах фигурирует ошибка с EventID 1511.
EventID 1511
Windows cannot find the local profile and is logging you on with a temporary profile. Changes you make to this profile will be lost when you log off.
Код:
- System

  - Provider

  [ Name]  Microsoft-Windows-User Profiles Service
  [ Guid]  {89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}
 
  EventID 1511
 
  Version 0
 
  Level 2
 
  Task 0
 
  Opcode 0
 
  Keywords 0x8000000000000000
 
  - TimeCreated

  [ SystemTime]  2017-02-06T12:13:34.830547900Z
 
  EventRecordID 4423
 
  - Correlation

  [ ActivityID]  {A560D7AE-8070-0007-EEE1-60A57080D201}
 
  - Execution

  [ ProcessID]  948
  [ ThreadID]  1092
 
  Channel Application
 
  Computer RD1.domain.name
 
  - Security

  [ UserID]  S-1-5-21-744340863-644204223-3426894391-500
 

 EventData

Если логинюсь под втроенным админом к ней присовокупляется еще одна
EventID 1515
Windows has backed up this user profile. Windows will automatically try to use the backup profile the next time this user logs on.
Код:
- System

  - Provider

  [ Name]  Microsoft-Windows-User Profiles Service
  [ Guid]  {89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}
 
  EventID 1515
 
  Version 0
 
  Level 2
 
  Task 0
 
  Opcode 0
 
  Keywords 0x8000000000000000
 
  - TimeCreated

  [ SystemTime]  2017-02-06T12:13:34.830547900Z
 
  EventRecordID 4422
 
  - Correlation

  [ ActivityID]  {A560D7AE-8070-0007-EEE1-60A57080D201}
 
  - Execution

  [ ProcessID]  948
  [ ThreadID]  1092
 
  Channel Application
 
  Computer RD1.domain.name
 
  - Security

  [ UserID]  S-1-5-21-744340863-644204223-3426894391-500
 

 EventData

Очистки совести для пробовал сносить ветки пользователей в реестре в ProfileList, удалять папки пользователей из users, перепроверять по N раз права на default, создавать совершенно свежих пользователей в домене и логиниться ими - результат одинаковый. Перезагрузки не упоминаю ибо нахожу их само собой разумеющимися, после стольких-то изменений.
Подскажите направление в котором я еще не копал.

Petya V4sechkin 06-02-2017 22:25 2709541
Elven, других ошибок от User Profiles Service нет? Обычно там причина в Detail указывается, типа "Отказано в доступе".

Зайдите под временным пользователем и посмотрите результат выполнения в командной строке:
Код:
whoami /groups

Elven 07-02-2017 11:37 2709638
Код:
C:\Users\TEMP>whoami /groups

GROUP INFORMATION
-----------------

Group Name                                Type            SID                                            Attributes
========================================== ================ =============================================== ===============================================================
Everyone                                  Well-known group S-1-1-0                                        Mandatory group, Enabled by default, Enabled group
BUILTIN\Remote Desktop Users              Alias            S-1-5-32-555                                    Mandatory group, Enabled by default, Enabled group
BUILTIN\Users                              Alias            S-1-5-32-545                                    Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\REMOTE INTERACTIVE LOGON      Well-known group S-1-5-14                                        Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\INTERACTIVE                  Well-known group S-1-5-4                                        Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users          Well-known group S-1-5-11                                        Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization            Well-known group S-1-5-15                                        Mandatory group, Enabled by default, Enabled group
LOCAL                                      Well-known group S-1-2-0                                        Mandatory group, Enabled by default, Enabled group
NAM\USB_storage_enable                    Group            S-1-5-21-1114597676-1119302421-1926942842-8297  Mandatory group, Enabled by default, Enabled group
NAM\OwnCloudUsers                          Group            S-1-5-21-1114597676-1119302421-1926942842-10192 Mandatory group, Enabled by default, Enabled group
NAM\IT                                    Group            S-1-5-21-1114597676-1119302421-1926942842-4052  Mandatory group, Enabled by default, Enabled group
Authentication authority asserted identity Well-known group S-1-18-1                                        Mandatory group, Enabled by default, Enabled group
NAM\Denied RODC Password Replication Group Alias            S-1-5-21-1114597676-1119302421-1926942842-572  Mandatory group, Enabled by default, Enabled group, Local Group
NAM\Cert Publishers                        Alias            S-1-5-21-1114597676-1119302421-1926942842-517  Group used for deny only, Local Group
Mandatory Label\Medium Mandatory Level    Label            S-1-16-8192
Я так понимаю проблема в SID которые у Well-known group правда не понимаю, что с этим делать.

Petya V4sechkin 07-02-2017 11:55 2709645
Elven, список вроде бы нормальный.

Можете сделать лог Process Monitor следующим образом:
  1. запустите на сервере Process Monitor;
  2. попытайтесь подключиться к серверу под новым пользователем, чтобы получилась ошибка;
  3. сохраните лог: меню File -> Save -> PML-формат;
  4. заархивируйте и выложите на любой файлообменник, например dropmefiles.com.

Elven 07-02-2017 12:45 2709664
лог

Petya V4sechkin 07-02-2017 14:01 2709682
Elven, файл \\FS\RD_profiles\Heneralchyk.UNI.V2\ntuser.dat отсутствует.

Что-то не то с перемещаемыми профилями.

Elven 07-02-2017 14:58 2709704
Профиля нет, должен бы создаться, если я правильно понимаю.
Похоже что у меня UVHD-template.vhdx неправильно как-то создался (при монтировании внутри только System Volume Information), буду проверять/пересоздавать.

Elven 07-02-2017 17:31 2709740
Не могу понять в чем затык, уже дважды пересоздал коллекцию, но UVHD-template.vhdx все равно создается пустым.

Petya V4sechkin 08-02-2017 22:52 2710140
Elven, есть подозрение, что причина в параметре RoamingUserProfile = 0 в ветке
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\UserState\UserStateTechnologies\ConfigurationControls

Elven 09-02-2017 15:01 2710404
Истинно так, параметр = 0. Он должен измениться или его нужно править вручную? И какое значение он должен содержать?

Petya V4sechkin 09-02-2017 22:57 2710549
Elven, с этим я погорячился (просто к нему много обращений в логе).
По умолчанию как раз 0.

В общем, события развивались примерно так:
  1. сначала полностью формируется локальный профиль C:\Users\Heneralchyk, он копируется из C:\Users\Default;
  2. затем он переносится в папку
    C:\Users\UvhdCleanupBin\Heneralchykb09b2e0c-f0c9-4341-985f-363f9153eefa
  3. дальше в папку \\fs\RD_profiles\\Heneralchyk.UNI.V2 пишется единственный файл;
  4. после этого всё обламывается, вместо уже созданного локального профиля начинает формироваться временный.
В чём причина, пока не понял (но мозги уже почти сломал).

Что касается UVHD-template.vhdx, к нему и к TEMP-UVHD-sid_пользователя.vhdx есть обращения до этого, но при создании локального профиля они не используются.

Проверьте, нет ли в журналах каких-либо ошибок и предупреждений помимо User Profiles Service, что-нибудь о виртуальных дисках?

Можно файл C:\Windows\RemotePackages\RDFarm\UvhdRoamingPolicy.xml посмотреть (хотя вряд ли я в нём разберусь).
Ещё у вас политика UserProfileMinTransferRate задана - попробуйте её удалить.

Ну и погуглить по запросу:
User Profile disks Temporary profile

Elven 10-02-2017 15:48 2710702
1. Хотя должен копироваться из UVHD-template.vhdx (который создается пустым)
2. Здесь вроде все правильно
3. А вот тут как-то вообще странно, он должен копировать не в \\fs\RD_profiles\\Heneralchyk.UNI.V2, а в созданный/примонтированный UVHD-sid.vhdx, откуда он вообще цепляет этот путь?! И таки да, копирует только ntuser.ini
4. Я думал что начинается это с пункта #1

Цитата:
Цитата Petya V4sechkin
Можно файл C:\Windows\RemotePackages\RDFarm\UvhdRoamingPolicy.xml посмотреть »
да там и разбираться не с чем, вот он весь :/
C:\Windows\RemotePackages\RDFarm\UvhdRoamingPolicy.xml
<UvhdRoamingPolicy><RoamingMode>0</RoamingMode></UvhdRoamingPolicy>


Цитата:
Цитата Petya V4sechkin
Ещё у вас политика UserProfileMinTransferRate задана - попробуйте её удалить. »
попробовал, после этого заново пересоздал коллекцию - то же самое.
В порыве гнева даже создал отдельную OU и запретил на ней все доменные политики, снова безрезультатно (точнее с тем же результатом).

гуглю каждодневно, нарываясь на уйму клонов статей о том, как удобно и просто использовать vhdx :) полезная информация попадается но мало, и, к сожалению, к решению проблемы не приближает ни на шаг. Походу если не решу до понедельника придется забить и садиться на citrix.

Petya V4sechkin 10-02-2017 19:29 2710755
Цитата:
Цитата Elven
откуда он вообще цепляет этот путь?!
Путь \\fs\RD_profiles прописан у вас в двух местах:
  • HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\WFProfilePath
  • HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\ClusterSettings\UvhdShareUrl
Может быть, второго достаточно? Он же отвечает за UPD-профили.

Elven 10-02-2017 20:25 2710760
Первый убрал (случайно зацепил лишнюю политику, собственно, я его еще сегодня утром убрал), а второй так и должен быть, он указывает как раз таки где должен находиться vhdx, если я правильно понимаю. Мне непонятно почему цепляется к \\fs\RD_profiles\\Heneralchyk.UNI.V2 а не к \\fs\RD_profiles\UVHD-sid.vhdx

Petya V4sechkin 10-02-2017 21:02 2710774
Цитата:
Цитата Elven
Мне непонятно почему цепляется к \\fs\RD_profiles\\Heneralchyk.UNI.V2
По-прежнему цепляется, после отмены политики?
Параметр WFProfilePath удалился?

Посмотрите, не остался ли параметр
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\sid_пользователя\CentralProfile

Elven 11-02-2017 18:23 2710939
По прежнему цепляется, и ntuser.ini создает.
WFProfilePath удалился.
Я при каждой очередной чистке подчищаю ProfileList, профайлов там вообще нету ни SID ни SID.bak (кроме коротких и от встроенного админа)


Время: 11:43.

Время: 11:43.
© OSzone.net 2001-