|
Проблемы с AD (Win2k3 domain)
Существовал себе спокойно домен на 2003 сервере. Группы, юзеры, админы; сервер RIS, Exchange, 3 DC (2 для корневого домена и 1 для дочернего), два терминальных сервера (цытрикс, объединены в ферму) и прочее. Короче, почти обычная офисная сетка.
Админ подправил права на некоторые ключи реестра (хотел чтоб юзеры не имели возможности расшаривать папки на своих тачках): [HKEY_CLASSES_ROOT\CLSID\{1F2E5C40-9550-11CE-99D2-00AA006E086C}] @="Security Shell Extension" [HKEY_CLASSES_ROOT\CLSID\{1F2E5C40-9550-11CE-99D2-00AA006E086C}\InProcServer32] @="rshx32.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}] @="Shell extensions for sharing" [HKEY_CLASSES_ROOT\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}\InProcServer32] @="ntshrui.dll" "ThreadingModel"="Apartment" В тот же день повылезали траблы (неизвестно, связаны ли они с с этими изменениями) 1) Перестали быть доступными шары для Domain Users. Если поставить разрешение Всем (Everyone) на работу с этими "вдругнедоступными" шарами, тогда опять всё пашет. 2) RIS-сервер перестал аутентифицировать группу, которой разрешено ставить венду с сервака. Если поставить Всем (дада, всё тот же Everyone) разрешение на RemoteInstall и на образы, то сервер всё равно посылает, говорит, что не может дать список опций, потому что не признал меня (собственно Enterprise Admin со всеми правами на инсталляцию). 3) Начались траблы с терминалом: юзеры не могли войти на сервер. Winlogon выдавал ошибку с кодом 1219: "Logon rejected for domainname\username. Unable to obtain Terminal Server User Configuration. Error: Access is denied". Пришлось временно для того чтоб работать людям дальше, внести их на терминальном серваке в группу Опытных пользователей. P.S. Из логов серверов видно, что что все проблемы начались одновременно. P.P.S. Ключам были возвращены оригинальные значения. P.P.P.S.Да, в тот же день (то бишь, вчера) вечером были затушены все серверы. Затем включены в следующей последовательности: 1) PDC (дождались загрузки всех служб) 2) BDC 3) DC дочернего домена 4) Гейт (ISA) 5) Exchange 6) Terminal server #1 7) Terminal server #2... Все баги на месте. А теперь, знатоки, внимание, вопрос. Что делать-то? Переставлять всё не предлагать, пожалуйста. На это уйдёт слишком много времени, которым мы не располагаем. |
А если попробовать вернуть права на ключи реестра обратно?
|
Ах, да, извините, забыл сообщить.
Ключам вернули оригинальные значения. |
DC рестартовали?
|
А вы точно уверены что вернули изначальные значения всем ключикам реестра?..может про какой ть забыли?
Можно еще попробовать удалить и заново создать тех же юЗверей... |
Цитата:
1) PDC (дождались загрузки всех служб) 2) BDC 3) DC дочернего домена 4) Гейт (ISA) 5) Exchange 6) Terminal server #1 7) Terminal server #2 Баги на месте, есесно =\ Цитата:
Создавать более 150 юзверей и распихивать их по двум дюжинам групп безопасности без отрыва от производства нереально, к сожалению. |
Можно хотя бы на примере одного юзера попробовать - вдруг тут вообще в чем то другом дело?..
Потому что странно..если вы только меняли права на ключи а потом как говорите все в точности вернули назад то по идее проблемы должны были исчезнуть... может еще что нибудь меняли? |
Цитата:
Шары опять же не доступны. В общем, полный сипец. Налицо глючная работа системы аутентификации. Как бы её проверить на вшивость? P.S. Ещё одна замеченная странность. На моё корп. мыло приходят отчёты антивируса о неудачной попытке обновления. Время создания письма отличается от времени получения на час вперёд. На серваке почтовом сервере время корректно. |
Проблемы 1, 3 как-то всплывали в практике. Вылечить удалось бубном, сделали людей локальными админами на своих компьютерах.
Происхождение заболевание не понятно мне до сих пор. |
Цитата:
|
Это конечно танцы с бубном, но..
Предлагаю попробовать на 1й машине. -Делаешь пользователя локальным админом (или Domain) -Login в систему, проверка всех операций. Logout - В случае положительного результата - понижение в правах. -Снова попробовать Login и проверку операций |
Непонятно, к чему эти действия, но интересен результат.
Хотя, я думаю, это проблемы не решит.. Завтра попробую. Спасибо за участие :) |
Итак, вести с полей :)
Пришла вечером в голову идея поднять новый PDC. Пришёл на работу, сделали DCPROMO серверу RIS, передали все роли ему. А теперь новости: что, мол, изменилось. Сначала хорошие, потом плохие, как в анекдотах. + Юзеры стали нормально ходить по шарам (без Everyone) и сидеть в терминале (без участия в локальной группе Power users терминального сервера). + Антивирус (работает с правами LOCAL SYSTEM) стал обновляться. - Антивирусы, работающие на серваках и в соседнем домене ПЕРЕСТАЛИ обновляца с учёткой LOCAL SYSTEM. - Всё так же не работает RIS. Переустановка службы не помогла. Кроме того был поднят старый RIS, но он опять же посылает с той же ошибкой аутентификации. Куда дальше копать -- неясно вообще. |
Может я ошибаюсь, но по моему проблемы со схемой AD.
В данном вопросе я не специалист, однако натыкался на информацию, что в сложных AD-структурах (с существующими суб и над-доменами) для избежания таких граблей разносят контроллеры домена и контроллеры схемы домена. Цитата:
Если на старых, то боюсь придется их понижать и делать контроллерами заново. Если на обыкновенных серверах - можно попробовать вывести их из домена, а затем снова ввести (но для гарантии я бы таки понизил старые DC) |
Цитата:
Цитата:
Спасибо, что утвердили моё желание сделать это. Теперь уж точно после рабочего дня казним и помилуем остальные DC :) |
Действия:
- Понизили все контроллеры, отобрали роли, передали всё новой машине W2k3. - В дочернем домене то же самое сотворили. - Переустановили RIS, авторизировали заново сервер DHCP. to do: Вернуть всё назад и проверить доступность шар/установки ОС через RIS. Но это в понедельник. Всем спасибо за участие в решении :D |
| Время: 20:27. |
Время: 20:27.
© OSzone.net 2001-