Форум на Kuban.ru (http://forums.kuban.ru/)
-   Сети и их администрирование (http://forums.kuban.ru/f1029/)
-   -   Блокируется учетка в AD (http://forums.kuban.ru/f1029/blokiruetsya_uchetka_v_ad-4037595.html)

relise 11.04.2013 20:59
Блокируется учетка в AD
 
Собственно сабж!
Работает два КД на Win 2008. Раз в 10 минут блокируется пользователь.
Вот эвент:

Имя журнала: Directory Service
Подача: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 11.04.2013 15:53:51
Код события: 1955
Категория задачи:Репликация
Уровень: Сведения
Ключевые слова:Классический
Пользователь: АНОНИМНЫЙ ВХОД
Компьютер: dc.xxxxx.local
Описание:
Возник конфликт записи доменных служб Active Directory в ходе применения изменений репликации к следующему объекту.

Объект:
CN=Вася Пупкин,OU=Руководство,DC=xxxxx,DC=local
Время в секундах:
0

В предыдущих записях журнала событий указано, было ли принято это обновление.

Конфликт записи мог быть вызван одновременными изменениями одного объекта или одновременными изменениями других объектов, ссылающихся на этот объект. Это обычно происходит, когда объект представляет большую группу с множеством членов, а лес работает в режиме Windows 2000. Из-за этого конфликта будут предприняты дополнительные попытки обновления. Если система работает медленнее, чем обычно, это может быть вызвано выполняющейся репликацией изменений.

Действие пользователя
Используйте для этой операции меньшие группы или повысьте режим работы до Windows Server 2003.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516**" EventSourceName="NTDS Replication" />
<EventID Qualifiers="16384">1955</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>5</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2013-04-11T11:53:51.694Z" />
<EventRecordID>4717</EventRecordID>
<Correlation />
<Execution ProcessID="696" ThreadID="1788" />
<Channel>Directory Service</Channel>
<Computer>dc.xxxxx.local</Computer>
<Security UserID="S-1-5-7" />
</System>
<EventData>
<Data>CN=Вася Пупкин,OU=Руководство,DC=xxxxx,DC=local</Data>
<Data>0</Data>
</EventData>
</Event>
--------------------------------------
Учетку пересоздавать не хотелось бы. Так как много всего из профиля пользователя переносить придется, так же не хотелось бы его загонять под отдельную GPO, где отключено блокирование учетки, т.к. это не секурно. На компе пользователя вирей нету.

вот что выдает dcdiag
--------------------------------------
Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = dc
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\DC
Запуск проверки: Connectivity
......................... DC - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\DC
Запуск проверки: Advertising
......................... DC - пройдена проверка Advertising
Запуск проверки: FrsEvent
......................... DC - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при
репликации SYSVOL могут стать причиной проблем групповой политики.
......................... DC - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... DC - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... DC - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... DC - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... DC - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
......................... DC - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
......................... DC - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... DC - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
......................... DC - пройдена проверка Replications
Запуск проверки: RidManager
......................... DC - пройдена проверка RidManager
Запуск проверки: Services
......................... DC - пройдена проверка Services
Запуск проверки: SystemLog
......................... DC - пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... DC - пройдена проверка VerifyReferences


Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: xxxxx
Запуск проверки: CheckSDRefDom
......................... xxxxx - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... xxxxx - пройдена проверка
CrossRefValidation

Выполнение проверок предприятия на: xxxxx.local
Запуск проверки: LocatorCheck
......................... xxxxx.local - пройдена проверка
LocatorCheck
Запуск проверки: Intersite
......................... xxxxx.local - пройдена проверка Intersite
--------------------

relise 11.04.2013 21:06
Возвращаясь к DFSREvent всплывало в эвентах вот такое событие

Имя журнала: DFS Replication
Подача: DFSR
Дата: 11.04.2013 10:18:32
Код события: 5014
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: dc.xxxxx.local
Описание:
Служба репликации DFS останавливает подключение к партнеру SERVER группы репликации Domain System Volume из-за ошибки. Служба будет периодически пытаться повторить подключение.

Дополнительные сведения:
Ошибка: 1726 (Сбой при удаленном вызове процедуры.)
Идентификатор подключения: 37AF2F9E-7C52-4F1D-A9ED-3E78AE747661
Идентификатор группы репликации: 4F1352A7-11E2-4B0B-9863-3B96390AA0D9
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="DFSR" />
<EventID Qualifiers="32768">5014</EventID>
<Level>3</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-04-11T06:18:32.000Z" />
<EventRecordID>653</EventRecordID>
<Channel>DFS Replication</Channel>
<Computer>dc.xxxxx.local</Computer>
<Security />
</System>
<EventData>
<Data>37AF2F9E-7C52-4F1D-A9ED-3E78AE747661</Data>
<Data>SERVER</Data>
<Data>Domain System Volume</Data>
<Data>1726</Data>
<Data>Сбой при удаленном вызове процедуры.</Data>
<Data>4F1352A7-11E2-4B0B-9863-3B96390AA0D9</Data>
</EventData>
</Event>
---------------

И буквально сразу за ним вот такое событие

----------------------
Имя журнала: DFS Replication
Подача: DFSR
Дата: 11.04.2013 10:18:32
Код события: 5004
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: dc.xxxxxx.local
Описание:
Служба репликации DFS успешно установила входящее подключение с партнером SERVER для группы репликации Domain System Volume.

Дополнительные сведения:
Адрес использованного подключения: SERVER.xxxxx.local
Идентификатор подключения: 37AF2F9E-7C52-4F1D-A9ED-3E78AE747661
Идентификатор группы репликации: 4F1352A7-11E2-4B0B-9863-3B96390AA0D9
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="DFSR" />
<EventID Qualifiers="16384">5004</EventID>
<Level>4</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-04-11T06:18:32.000Z" />
<EventRecordID>654</EventRecordID>
<Channel>DFS Replication</Channel>
<Computer>dc.xxxxxx.local</Computer>
<Security />
</System>
<EventData>
<Data>37AF2F9E-7C52-4F1D-A9ED-3E78AE747661</Data>
<Data>SERVER</Data>
<Data>Domain System Volume</Data>
<Data>SERVER.xxxxxx.local</Data>
<Data>4F1352A7-11E2-4B0B-9863-3B96390AA0D9</Data>
</EventData>
</Event>
Т.е. репликации проходят, но об что-то основной КД вспотыкается.

ВОПРОС!
Как победить блокирование учетки?
И забыл написать, что основной КД на Вин2008 а вторичный на Вин2008Р2

relise 11.04.2013 21:11
Нагугливал я пару тем на РЕШЕНО и на Течнете и ещё где-то, но что-то там либо уводили сабж в совсем другое русло, либо вопрос оставался не решенным. Кто сталкивался с такими траблами? Если сталкивались, то как решали. В общем прошу помощи!

NOVIchok 11.04.2013 21:45
какой уровень леса какой уровень домена?
довай разберёмся ты перевёл реплики на DFSR механизм но не включил его это раз так?
какой пользователь блокируется? что запускается от его имени в каких группах он состоит? это два

SGI 12.04.2013 09:26
у меня с таким кодом был Kido. причём лочил только учётки ентерпрайз админов. наличие антивирусника с обновлёнными базами не спасло эти машины от смерти :)

LeXX 12.04.2013 09:44
Тесты DFS что говорят? Под пользователем никакие сервисы не крутятся?

relise 12.04.2013 09:59
Касаемо пользователя: у него админские права только на локальном компе, доменные группы в которых он состоит дают право только на доступ к общим файловым шарам, включают в груупу рассылки на эксчендже ну и стандартные права пользователя (Domain Users).
Репликация DFSR включена. Отчет о работоспособности выдает предупреждение, что Служба репликации DFS часто перезапускается, а реплики проходят нормально.
Ещё вопросы вызывает то, что в менеджере DFS, там где указываются локальный путь на члене репликации, на основном КД стоит вот такой путь "\\?\C:\Windows\SYSVOL\domain", обращаю внимание на "\\?" вначале, нормально ли это? Причем путь изменить нельзя. На в втором КД этот же путь нормально прописан без "\\?" вначале.

relise 12.04.2013 10:04
To krasnIEpantalonI - я сейчас запустил на машине KidoKiller. Отключив предварительно сеть и антивирь.
Повторюсь, этот пользователь кроме обычных юзверьских привилегий больше ни каких прав не имеет + включен в группы рассылки типа "Все сотрудники компании" или "Руководство", эти же группы дают доступ на сетевые шары для пользователей этих групп.

relise 12.04.2013 10:34
Ещё один любопытный момент (основной КД - DC, вторичный SERVER).
Заходим на DC в консоль Пользователи и компьютеры, на значке с именем домена жмем правой кнопкой мыши и выбираем "Сменить контроллер домена". Появляется соответствующее окно для смены КД. Но в нем наблюдается вот такая картина. Основной КД отображается со статусом "не доступен", а другой со статусом "Оперативные". тоже самое делаю на втором КД, первичный отображается как "в сети", вторичный "не доступен". Если выбрать на любом из серверов, любой из КД то оснастка управления открывается, как будто всё хорошо.

relise 12.04.2013 10:47
В общем вот такие траблы, друзья.
Мешает только блокировка учетки, по остальному пока яндекс гуглю. Если у кого какие мысли?

SGI 12.04.2013 11:03
были какие-то шаманские действия с DNS ?

NOVIchok 12.04.2013 16:18
9-relise >сделай на обоих контроллерах mmc "добавить остнаску "сертификаты" - "компьютера""
зайди в хранилище "личные" есть ли там сертификаты?

relise 12.04.2013 22:02
krasnIEpantalonI - не так давно упал ДНС, снес зону, пересоздал заново, перегрузился. Зона подтянулась, в т.ч. и _msdcs. Серверы имен отображаются и отвечают, как "основной сервер" назначен первичный КД, разрешена передача зон на любой сервер. Отработка nslookup проходит и на первый и на второй КД, т.е. службы ДНС отвечают от обоих серваков. С DNSом я думаю всё в порядке.

NOVIchok - выданы следующие сертификаты: dc.xxxx.local, xxxx-DC-CA, WMSvc-DC.
Вот сертификата для вторичного КД не видно.

relise 12.04.2013 22:03
это я проверил на первичном... на вторичном чуть позже скажу.

relise 12.04.2013 22:30
На вторичном КД вот такие сертификаты:
server.xxxx.local, WMSvc-DC

relise 12.04.2013 22:32
Пост 14 считать не действительным =)
----------------------------

На вторичном КД вот такие сертификаты:
server.xxxx.local, WMSvc-server

relise 12.04.2013 22:39
я так понимаю, что сертификаты обоих серваков должны находиться и там и там, т.е. можно тупо воспользоваться экспортом.

NOVIchok 12.04.2013 23:32
16-relise >если актуальны на 2008м обновления на текущую дату то репликация DFSR должна работать так как у тебя выпущены самоподписные сертификаты на контроллерах домена тут всё в норме
дальше переименуй ту учётку которая постоянно блочится добавь 1 букву или цифру так ты узнаешь брутит её кто-нибуть или нет

так как DFSR у тебя пашет нужно обратится к инструменту ldp.exe и на ниском уровне посмотреть рамочные параметры репликации (шаблоны файлов и тд) если там всё нормуль
проверяем "хозяина ролей FSMO" на то что у него есть все роли
и если там тоже все отлично и нигде у тебя не затерялась роль RID и тд
читаем следующую статью и приводим в соответствие "http://fromreallife.wordpress.com/2012/10/26/восстановление-дерева-sysvol/"
в остальном не забываем что dcdiag прежде всего анализирует журнал событий и если эвент там есть а самого сбоя уже нет он всё равно будет писать о проблеме пока не отчистишь журнал

relise 13.04.2013 10:49
NOVIchok - спасибо я попробую вечером. Но на сколько я помню, учетка блокируется только тогда когда этот юзер работает. Касаемо ролей FSMO то я вчера их смотрел... роли назначены верно. остальное гляну и отпишусь.

В понедельник ещё всё таки нужно поковырять комп пользователя. У нас стоит корпоративный Есет - он ничего не находит подозрительного. Я ставил туда и каспер, тоже ничего не находит. Попробую ручками поискать подозрительные процессы, файлы и т.д., отчистить временные файлы браузеров.

NOVIchok 13.04.2013 10:55
18-relise >юзер сам может начать брутить указав в параметрах подключения к какому нибуть сервису в корп сети в явном виде логин и пароль после чего поменять пароль ..

NOVIchok 13.04.2013 10:57
18-relise >ну ещё проверь всякого рода зверьё типа спутник маилру гуард маилру яндекс бары и скаймонки

SGI 15.04.2013 07:49
этого юзера лочит если он входит именно с этой машины или с любой другой?
выдай ему ноут. пускай за ноутом посидит.

Gochy 15.04.2013 12:32
чем закончилось?

relise 15.04.2013 21:16
Всем привет! Пока ни чем не закончилось, сегодня не занимался. NOVIchok - сегодня попробую последовать твоему совету.
А между тем сегодня на вторичном КД вот такие сообщения были:

Имя журнала: DFS Replication
Источник: DFSR
Дата: 14.04.2013 22:53:13
Код события: 5008
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: SERVER.xxxxx.local
Описание:
Службе репликации DFS не удалось установить подключение к партнеру DC по группе репликации Domain System Volume. Причиной этой ошибки может быть недоступный узел или незапущенная служба репликации DFS на сервере.

DNS-адрес партнера: dc.xxxxx.local

Доступные дополнительные сведения:
WINS-адрес партнера: dc
IP-адрес партнера: 192.168.0.4

Служба периодически будет пытаться установить подключение.

Дополнительные сведения:
Ошибка: 1722 (Сервер RPC недоступен.)
Идентификатор подключения: B93F63A9-EFFC-4B3B-A1C4-A534DBB63045
Идентификатор группы репликации: 4F1352A7-11E2-4B0B-9863-3B96390AA0D9
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="DFSR" />
<EventID Qualifiers="49152">5008</EventID>
<Level>2</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-04-14T18:53:13.000000000Z" />
<EventRecordID>238</EventRecordID>
<Channel>DFS Replication</Channel>
<Computer>SERVER.xxxxxx.local</Computer>
<Security />
</System>
<EventData>
<Data>B93F63A9-EFFC-4B3B-A1C4-A534DBB63045</Data>
<Data>DC</Data>
<Data>Domain System Volume</Data>
<Data>dc.xxxxxx.local</Data>
<Data>dc</Data>
<Data>192.168.0.4</Data>
<Data>1722</Data>
<Data>Сервер RPC недоступен.</Data>
<Data>4F1352A7-11E2-4B0B-9863-3B96390AA0D9</Data>
</EventData>
</Event>

----
Ну а потом опять типа всё хорошо.

Имя журнала: DFS Replication
Источник: DFSR
Дата: 14.04.2013 22:54:59
Код события: 5004
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: SERVER.xxxxx.local
Описание:
Служба репликации DFS успешно установила входящее подключение с партнером DC для группы репликации Domain System Volume.

Дополнительные сведения:
Адрес использованного подключения: dc.xxxxxx.local
Идентификатор подключения: B93F63A9-EFFC-4B3B-A1C4-A534DBB63045
Идентификатор группы репликации: 4F1352A7-11E2-4B0B-9863-3B96390AA0D9
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="DFSR" />
<EventID Qualifiers="16384">5004</EventID>
<Level>4</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-04-14T18:54:59.000000000Z" />
<EventRecordID>239</EventRecordID>
<Channel>DFS Replication</Channel>
<Computer>SERVER.xxxxxxxx.local</Computer>
<Security />
</System>
<EventData>
<Data>B93F63A9-EFFC-4B3B-A1C4-A534DBB63045</Data>
<Data>DC</Data>
<Data>Domain System Volume</Data>
<Data>dc.xxxxxx.local</Data>
<Data>4F1352A7-11E2-4B0B-9863-3B96390AA0D9</Data>
</EventData>
</Event>

По рекомендации Новичка проверил хозяина операций (на обоих серваках)

C:\Users\ss>netdom query fsmo
Хозяин схемы dc.xxxx.local
Хозяин именования доменов dc.xxxx.local
PDC dc.xxxx.local
Диспетчер пула RID dc.xxxx.local
Хозяин инфраструктуры dc.xxxx.local
Команда выполнена успешно.

DC - это основной КД.
идем далее...

relise 15.04.2013 21:55
запустил ldp.exe. мляяяяяя.... )))
Тут уже начинаю тупить под конец дня )))
Вроде пока ничего криминального не нашел.

relise 15.04.2013 23:26
блин! совсем запутался...
repadmin /showrepl говорит что репликации нормально выполняются.
repadmin /syncall тоже нормально отрабатывает.

Согласно статьи в п.17 начал отрабатывать. Там у него описаны манипуляции с реестром. А у меня на обоих КД отсутствуют вообще ветка Cumulative Replica Sets\GUID, а ветка Replica Sets не содержит GUID. Фигня какая-то.
Сейчас создам эти ветки, и попробую перегрузить всё..

NOVIchok 15.04.2013 23:38
25-relise >посмотри в личку

relise 15.04.2013 23:54
Короче в сад! не стал я замарачиваться, а перевел все реплики на DFS, как народ рекомендует - этот вопрос снят. Реплики ходят всё хорошо =)

Переименовываем учетку, завтра буду смотреть аудит. Вот юзер с утра будет названивать )))

Gochy 16.04.2013 17:19
сегодня начала жутко блочиться моя учетка :)
Весь мозг сломал, пока не заметил, что биос "полетел" в 2005 год.
Вот теперь хотелось бы уточнить - ХР в таких случаях орало типа "время отличается от контроллера домена, так что иннах". Семерка походу спокойно заходит, но при это учетка пользователя лочится. Экспериментировать времени пока нет, да и не начем пока. Может кто пошаманит? :)

NOVIchok 16.04.2013 21:33
28-Gochy >+- 6 минут отличие будет предупреждать больше будет считать что контроллер недоступен

Gochy 17.04.2013 08:41
ну хз. попробовал еще раз на семерке - заходит, но учетку блочит. Разница во времени несколько лет

meatcomb 22.04.2013 15:27
сделай юзверю другую учетку и можно пить пенный напиток сисадмина

meatcomb 22.04.2013 15:29
что такое там в профиле переносить сложно???????

LeXX 22.04.2013 18:22
32-meatcomb >а права на новую учетку везде автоматом переназначатся.

NOVIchok 26.04.2013 01:02
33-LeXX >вы права ещё не группам раздаёте? ......

LeXX 26.04.2013 10:02
34-NOVIchok >Локально на компах? Или мы о чем?

NOVIchok 26.04.2013 10:11
35-LeXX >да где угодно


Текущее время: 15:46. Часовой пояс GMT +3.