| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
SergikS
Зарегистрирован: 01.12.2003
Сообщения: 293
Откуда: Kiev
|
 Добавлено: Вт Мар 02 2004 14:24 Заголовок сообщения: Проблема доступа в АД |
 |
|
Проблема в следующем.
После миграции с NT 4 на 2К с АД на 3 рабочих станциях 2К SP4 появился странный глюк.
В логе есть ошибки 5789 и 5788
не может найти контроллер домена
Сходил на супорт майкрософта попробовал Q329708 не помогло.
Более того есть еще вот такой варнинг
Event ID:10
"В подсистеме Kerberos возникла ошибка при получении билетов с контроллера домена по сетевому протоколу UDP. Обычно это бывает вызвано ошибками в сети. Обратитесь к системному администратору. "
но ведь другие РС работают и учетные записи юзерей нормальные.
Может кто сталкивался?  |
|
| Вернуться к началу |
|
 |
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Вт Мар 02 2004 14:35 Заголовок сообщения: |
|
|
Kerberos очень любит точное время. Т.е. время на сервере и на раб.станции не должно отличаться более чем на 2-3 минуты.
Проверь, сильно ли часики убежали/поотстали. |
|
| Вернуться к началу |
|
|
SergikS
Зарегистрирован: 01.12.2003
Сообщения: 293
Откуда: Kiev
|
| Добавлено: Вт Мар 02 2004 14:38 Заголовок сообщения: |
|
|
Проверял не помогает
разница была в 1 минуту. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
|
| Вернуться к началу |
|
|
SergikS
Зарегистрирован: 01.12.2003
Сообщения: 293
Откуда: Kiev
|
| Добавлено: Вт Мар 02 2004 15:33 Заголовок сообщения: |
|
|
| И это не помогло |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Вт Мар 02 2004 15:53 Заголовок сообщения: |
|
|
На сервере никаких ошибок нет?
Попробуй выкинуть машины из домена и заново ввести.
Сервис-паки на сервере стоят? |
|
| Вернуться к началу |
|
|
SergikS
Зарегистрирован: 01.12.2003
Сообщения: 293
Откуда: Kiev
|
| Добавлено: Вт Мар 02 2004 16:10 Заголовок сообщения: |
|
|
На сервере стоит 4 SP все апдейты сделал
есть error
Event ID:62
"This Machine is a PDC of the domain at the root of the forest. Configure to sync from External time source using the net command, 'net time /setsntp:<server name>'."
warning
Event ID:5781
"Dynamic registration or deregistration of one or more DNS records failed because no DNS servers are available."
На сам сервер я DNS сервер не ставил (есть в сети линуховый) |
|
| Вернуться к началу |
|
|
MiK
Зарегистрирован: 03.04.2002
Сообщения: 333
Откуда: пос. Ново-%буново
|
| Добавлено: Вт Мар 02 2004 22:36 Заголовок сообщения: |
|
|
На сам сервер я DNS сервер не ставил (есть в сети линуховый)
Поставь, думаю ситуация разительно измениться. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Вт Мар 02 2004 22:49 Заголовок сообщения: |
|
|
Вот где собака-то порылась!
AD без DNS как дитя без соски. Не может ну никак.
Либо на Линуксе нужные записи сделай, либо DNS ставь на виндузу.
Сказать чего в DNS на Линуксе нарисовать? И еще. Крайне желательно разрешить хотя бы серверам обновлять зоны DNS на Линуксе. Во избежании всяческих граблей. |
|
| Вернуться к началу |
|
|
SergikS
Зарегистрирован: 01.12.2003
Сообщения: 293
Откуда: Kiev
|
| Добавлено: Ср Мар 03 2004 10:33 Заголовок сообщения: |
|
|
Собственно я не вижу причин в установке на винду днс сервера.
Еще с 10 W2k таких-же машин ходят в сеть без всяких приколов.
Более того днс на этой троице вроде неработающих работает. Сервер 2к по днс имени пингует якобы неработающие машины.
А вот, что прописать в днс на линухе крайне интересно. Ты имеешь ввиду сделать виндовый слэйвом? У меня уже один слэйв (линуховый) есть
Сам сервер в днс прописан |
|
| Вернуться к началу |
|
|
Arkov
Зарегистрирован: 01.11.2002
Сообщения: 622
|
| Добавлено: Ср Мар 03 2004 11:34 Заголовок сообщения: |
|
|
Насколько я помню динамически обновлять DNS могет только BIND версии не ниже 8.1, если мне память не изменяет.....
Или прописывай всё ручками в ДНС или ставь поддержку автоматического обновления.....
Глянь версию своего баинда. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Ср Мар 03 2004 11:52 Заголовок сообщения: |
|
|
Динамическое обновление зон умеет BIND 8.3 и выше. У меня 9.2 стоит.
Вполне приятственно работает.
В зону надо прописать примерно следующее:
$ORIGIN firma.ru.
$ORIGIN _msdcs.firma.ru.
$ORIGIN dc._msdcs.firma.ru.
$ORIGIN _tcp.Default-First-Site-Name._sites.dc._msdcs.firma.ru.
$TTL 600 ; 10 minutes
_kerberos SRV 0 100 88 serv1.firma.ru.
SRV 0 100 88 serv2.firma.ru.
_ldap SRV 0 100 389 serv1.firma.ru.
SRV 0 100 389 serv2.firma.ru.
$ORIGIN dc._msdcs.firma.ru.
$ORIGIN _tcp.dc._msdcs.firma.ru.
_kerberos SRV 0 100 88 serv1.firma.ru.
SRV 0 100 88 serv2.firma.ru.
_ldap SRV 0 100 389 serv1.firma.ru.
SRV 0 100 389 serv2.firma.ru.
$ORIGIN _msdcs.firma.ru.
_ldap._tcp.pdc SRV 0 100 389 serv1.firma.ru.
$ORIGIN firma.ru.
$ORIGIN _tcp.Default-First-Site-Name._sites.firma.ru.
_kerberos SRV 0 100 88 serv1.firma.ru.
_ldap SRV 0 100 389 serv1.firma.ru.
SRV 0 100 389 serv2.firma.ru.
$ORIGIN firma.ru.
$ORIGIN _tcp.firma.ru.
_kerberos SRV 0 100 88 serv1.firma.ru.
_kpasswd SRV 0 100 464 serv1.firma.ru.
_ldap SRV 0 100 389 serv1.firma.ru.
SRV 0 100 389 serv2.firma.ru.
$ORIGIN firma.ru.
$ORIGIN _udp.firma.ru.
_kerberos SRV 0 100 88 serv1.firma.ru.
_kpasswd SRV 0 100 464 serv1.firma.ru.
$ORIGIN firma.ru.
Либо так:
Файл named.conf
acl "W2K-Servers" {
10.1.1.1;
10.1.1.2;
};
zone "firma.ru" in {
type master;
file "firma.ru";
notify yes;
allow-query { 127.0.0.1;192.168.2/24;};
allow-transfer {172.16/16;};
allow-update{"W2K-Servers";};
};
В последнем случае разрешаем конкретным серверам править зону DNS. Да, да, уважаемые кулхацкеры, знаю, что разрешать обновлять зоны только по IP не правильно. Проблема в том, что W2K умеет "секюрно" обновлять по одним правилам, которые BIND не поддерживает, а BIND так же имеет механизмы "секюрности", но их виндуза не понимает.
Можно в принципе разрешить обновление на пробу. А потом запретить его на фиг. При установке служб типа Exchange опять разрешить на время.
Думайте сами как лучше. |
|
| Вернуться к началу |
|
|
SergikS
Зарегистрирован: 01.12.2003
Сообщения: 293
Откуда: Kiev
|
| Добавлено: Чт Мар 04 2004 12:37 Заголовок сообщения: |
|
|
Собственно говоря сделал я все эти рекомендации, но этим 3 РС не повезло. Они все равно не заработали. После того, как я переустановил на них W2K все стало на свои места.
Всем спасибо!!!
Предлагаю тему закрыть. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
