| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
 Добавлено: Вт Ноя 13 2007 02:43 Заголовок сообщения: продлема сетевой аутентификации. Контроллер домена win2003 |
 |
|
| Здравствуйте! У меня возникла следующая проблема. На контроллере домена есть шареные ресурсы. Вдруг, ни с того ни с сего, он стал отказыват в доступе к ним из сети. Пишу из командной строки \\server получаю окошко для ввода логина и пароля. Чтобы туда не вводилось оно снова появляется, как будто я пытаюсь залогиниться с несуществующей учетной записью. Даже под учетной записью администратора домена ничего не выходит. Радмином удалось прицепиться на консоль администратора. С самого контроллера домена видны его шареные ресурсы, доступ к ним есть. Служба Сервер запущена. Права на ресурсы не изменялись. Но вот по сети на них попасть не удается. Перерыл справку в винде, ничего о подобных проблемах не нашел. Подскажите, как решить проблему? Или где искать ответ... Заранее спасибо |
|
| Вернуться к началу |
|
 |
Dragner
Зарегистрирован: 27.07.2006
Сообщения: 760
Откуда: Владивосток
|
| Добавлено: Вт Ноя 13 2007 03:57 Заголовок сообщения: |
|
|
| У знакомого была схожая проблема, сказал что косяк был в DNS, можете посмотреть туда. |
|
| Вернуться к началу |
|
|
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
| Добавлено: Вт Ноя 13 2007 04:44 Заголовок сообщения: |
|
|
| Днс - врядли. По айпишнику пытаюсь обратиться - тоже самое. Но пороюсь, хотя и смутно представляю себе, на что там смотреть в поисках этого косяка. Спасибо |
|
| Вернуться к началу |
|
|
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
| Добавлено: Вт Ноя 13 2007 06:50 Заголовок сообщения: |
|
|
| Надо уточнить, нет доступа с компов, не входящих в данный домен. Никаких программ перед падением не устанавливали, просто утром прийдя на работу обнаружили, что отвалился сетевой диск. Как выяснилось позже доступа к шареным ресурсам нет вообще. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Вт Ноя 13 2007 06:50 Заголовок сообщения: |
|
|
| Еще посмотри правильно ли время на сервере и раб. станции идет. Если расходится, то надо принять меры. Иначе Kerberos начинает такие вот фокусы показывать. |
|
| Вернуться к началу |
|
|
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
| Добавлено: Вт Ноя 13 2007 06:51 Заголовок сообщения: |
|
|
| Время абсолютно синхронно |
|
| Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23
|
| Добавлено: Вт Ноя 13 2007 10:09 Заголовок сообщения: |
|
|
Аренда IP... 
_________________
В тёмной комнате завсегда имеются тёмные грабли. |
|
| Вернуться к началу |
|
|
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
| Добавлено: Вт Ноя 13 2007 10:28 Заголовок сообщения: |
|
|
Что за аренда IP? |
|
| Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23
|
| Добавлено: Вт Ноя 13 2007 10:33 Заголовок сообщения: |
|
|
http://scit.boom.ru/Andre_S/7_Protocol.htm
Дефолтные 90 дней предполагаю у Вас закончились.
_________________
В тёмной комнате завсегда имеются тёмные грабли. |
|
| Вернуться к началу |
|
|
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
| Добавлено: Ср Ноя 14 2007 02:29 Заголовок сообщения: |
|
|
| DHCP тут вероятно непричем. Данный контроллер домена не является сервером DHCP и имеет статический IP-адрес. До этого работал несколько лет. Сейчас его не спасает даже ребут. После перезагрузки теже самые проблемы. |
|
| Вернуться к началу |
|
|
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
| Добавлено: Ср Ноя 14 2007 07:55 Заголовок сообщения: |
|
|
| Последние данные: заглянул в логи и узнал оттуда, что оказывается при попытке приконектиться аутентификация проходит успешно, но тутже система меня дисконнектит. При этом в логах пишется User Logoff, User Name: user; Domain: bh; Logon ID: номер; Logon type 3. Интересно почему так происходит?.. Проверка пройдена, но доступ не дан. Я уже проверил политики безопасности контроллера домена, можт там думаю есть какие косяки насчет поддержания соединений. В политиках всё тихо, они просто не заданы. На другие компьютеры-члены домена захожу нормально. Вывод - косяк именно с авторизацией на контроллере домена. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Ср Ноя 14 2007 08:08 Заголовок сообщения: |
|
|
| Номера сообщений (EventID) скажи уже. И тексты сообщений приводи полностью, а не в своем вольном переводе. |
|
| Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23
|
|
| Вернуться к началу |
|
|
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
| Добавлено: Ср Ноя 14 2007 09:05 Заголовок сообщения: |
|
|
EventID 540 и 538 для Login и Logoff соответственно.
Logon process NtLmSsp.
Source port 0.
Logon ID (0x0,0x509f50).
Logon type 3
Остальное просто идентификационная информация о пользователе, ip-адрес машины, имя пользователя и имя домена
San_dok, спасибо за статью. Сделал всё, чтобы предоставить доступ anonymous. Но даже так досупа нет. |
|
| Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23
|
| Добавлено: Ср Ноя 14 2007 09:34 Заголовок сообщения: |
|
|
ага. сильно смахивает на блокировку при доступе к ресурсу IPC$. 
А не именнованный ли это канал? Попробуйте
| Цитата: | In Windows 2000, named pipes DACL seem to grant permissions to the EVERYONE group and Administrators builtin. In Windows Server 2003, the DACL grant permissions to EVERYONE, ANONYMOUS LOGON and Administrator, because in Windows XP and Windows Server 2003, the following registry value is set to 0:
Key: HKLM\SYSTEM\CurrentControlSet\Control\LSA Value: EveryoneIncludesAnonymous
Content: 0 (default value) |
ЗЫ: утилита по работе с именованными каналами http://www.beyondlogic.org/consulting/pipesec/pipesec.htm
_________________
В тёмной комнате завсегда имеются тёмные грабли. |
|
| Вернуться к началу |
|
|
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
| Добавлено: Чт Ноя 15 2007 02:49 Заголовок сообщения: |
|
|
Внес в список доступных анонимусу ресурсов IPC$, поправил в реестре это значение (поставил 1, как я понял - это значит разрешить). Всёравно все теже признаки проблемы. У него еще и эксплорер периодически падает. При этом в логах пишется
Source: aplication error
event id 1000
Fault aplication Explorer.exe,
fault module unknown,
fault adress 0x785bbbf0
Source: Winlogon
event id 1002
The shell stoped unexpectedly and Explorer.exe was restarted
Иногда сам подымается, иногда нет... Чувствую, скоро придется просто переустанавливать ось. |
|
| Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23
|
| Добавлено: Чт Ноя 15 2007 08:31 Заголовок сообщения: |
|
|
| Moore писал(а): | | Иногда сам подымается, иногда нет... Чувствую, скоро придется просто переустанавливать ось. |
Рано...(с)пёр М.Задорнов
Как говорит наш уважаемый a-m-d, это не наш выход. 
Первое-не стоит ли у вас чунга-чанга? Иногда он такие фортели выкидывает. Проще переустановить его.
Второе-очень часто такое "отваливание" наблюдается после наката обнов. Контрольные точки на этот момент рулят... 
Третье-так же такое бывает после установки кодеков. Ну эт у тех горячих голов, которые на серверах юзают звук 8DDD. Лечиться простецким снесением и переустановкой по новому.
Четвертое-
http://www.eventid.net/display.asp?eventid=1002&source=Winlogon *контрольный*
Best regards
_________________
В тёмной комнате завсегда имеются тёмные грабли. |
|
| Вернуться к началу |
|
|
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
| Добавлено: Чт Ноя 15 2007 09:41 Заголовок сообщения: |
|
|
| San_dok писал(а): |
Первое-не стоит ли у вас чунга-чанга? Иногда он такие фортели выкидывает. Проще переустановить его. |
Что такое чунга-чанга?
Обновления не устанавливались, антивирусов там тоже нет и видео слава богу никто на нем не смотрит да и вообще, как сказал начальник "доступ отвалился на ровном месте". Тоесть якобы никакого человеческого фактора. Хотя известно, что незадолго до этого сервер несколько раз падал по причине вырубания электричества. Бесперебойник не выдерживал.  |
|
| Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23
|
| Добавлено: Чт Ноя 15 2007 09:46 Заголовок сообщения: |
|
|
Exchange.
но уже ясно что не стоит
_________________
В тёмной комнате завсегда имеются тёмные грабли. |
|
| Вернуться к началу |
|
|
Dragner
Зарегистрирован: 27.07.2006
Сообщения: 760
Откуда: Владивосток
|
| Добавлено: Пт Ноя 16 2007 03:38 Заголовок сообщения: |
|
|
| Moore писал(а): | | Бесперебойник не выдерживал. |
Это что за ИБП на сервере, который при разрядке не гасит сервер? |
|
| Вернуться к началу |
|
|
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
| Добавлено: Пт Ноя 16 2007 03:59 Заголовок сообщения: |
|
|
| Dragner писал(а): | | Moore писал(а): | | Бесперебойник не выдерживал. |
Это что за ИБП на сервере, который при разрядке не гасит сервер? |
Дело в том, что он не разрядился, он просто погас вместе с электричеством. Я не знаю зачем его там держат, наверное в качестве источника дополнительных розеток Компания большая, виндовые серверы в меньшинстве и внимание к ним привлекается только когда они падают. Вот сейчас как раз тот случай. Но вопрос не про надежность ИБП. Резервный контроллер домена оказывается страдает той же проблемой... Блин, я вобще запутался... Куда смотреть? Если сбой в безопасности домена, почему на рабочие станции доступ есть?.. Если проблема только контроллера, то почему ее дублирует резервный BDC? |
|
| Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23
|
| Добавлено: Пт Ноя 16 2007 07:30 Заголовок сообщения: |
|
|
| Moore писал(а): | | Если сбой в безопасности домена, почему на рабочие станции доступ есть?.. Если проблема только контроллера, то почему ее дублирует резервный BDC? |
Потому, что сам он не логинит, а отправляет инфу на основной контроллер, т.к. таблица SAM находится на основном контроллере
а прогоните-ка DCDIAG /q
_________________
В тёмной комнате завсегда имеются тёмные грабли. |
|
| Вернуться к началу |
|
|
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
| Добавлено: Пт Ноя 16 2007 10:22 Заголовок сообщения: |
|
|
А где ее прогнать? CMD сообщает, что такой команды он не знает  |
|
| Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23
|
| Добавлено: Пт Ноя 16 2007 13:06 Заголовок сообщения: |
|
|
| Moore писал(а): | | А где ее прогнать? CMD сообщает, что такой команды он не знает |
Угу. Эта утилита входит в комплект Support Tools, который обычно расположен на инсталяционном диске. Так же их можно скачать с сайта
M$
_________________
В тёмной комнате завсегда имеются тёмные грабли. |
|
| Вернуться к началу |
|
|
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
| Добавлено: Пн Ноя 19 2007 06:28 Заголовок сообщения: |
|
|
| Всё заработало. Причём так же неожиданно, как и упало Вероятно, я просто забыл изменить интервал обновления политики. Теперь жаль не известно, какая мера способствовала исправлению ситуации. Всем огромное спасибо за помощь |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
