| 0
- 11.04.2013 - 20:59
|
Собственно сабж! Работает два КД на Win 2008. Раз в 10 минут блокируется пользователь. Вот эвент: Имя журнала: Directory Service Подача: Microsoft-Windows-ActiveDirectory_DomainService Дата: 11.04.2013 15:53:51 Код события: 1955 Категория задачи:Репликация Уровень: Сведения Ключевые слова:Классический Пользователь: АНОНИМНЫЙ ВХОД Компьютер: dc.xxxxx.local Описание: Возник конфликт записи доменных служб Active Directory в ходе применения изменений репликации к следующему объекту. Объект: CN=Вася Пупкин,OU=Руководство,DC=xxxxx,DC=local Время в секундах: 0 В предыдущих записях журнала событий указано, было ли принято это обновление. Конфликт записи мог быть вызван одновременными изменениями одного объекта или одновременными изменениями других объектов, ссылающихся на этот объект. Это обычно происходит, когда объект представляет большую группу с множеством членов, а лес работает в режиме Windows 2000. Из-за этого конфликта будут предприняты дополнительные попытки обновления. Если система работает медленнее, чем обычно, это может быть вызвано выполняющейся репликацией изменений. Действие пользователя Используйте для этой операции меньшие группы или повысьте режим работы до Windows Server 2003. Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516**" EventSourceName="NTDS Replication" /> <EventID Qualifiers="16384">1955</EventID> <Version>0</Version> <Level>4</Level> <Task>5</Task> <Opcode>0</Opcode> <Keywords>0x8080000000000000</Keywords> <TimeCreated SystemTime="2013-04-11T11:53:51.694Z" /> <EventRecordID>4717</EventRecordID> <Correlation /> <Execution ProcessID="696" ThreadID="1788" /> <Channel>Directory Service</Channel> <Computer>dc.xxxxx.local</Computer> <Security UserID="S-1-5-7" /> </System> <EventData> <Data>CN=Вася Пупкин,OU=Руководство,DC=xxxxx,DC=local</Data> <Data>0</Data> </EventData> </Event> -------------------------------------- Учетку пересоздавать не хотелось бы. Так как много всего из профиля пользователя переносить придется, так же не хотелось бы его загонять под отдельную GPO, где отключено блокирование учетки, т.к. это не секурно. На компе пользователя вирей нету. вот что выдает dcdiag -------------------------------------- Диагностика сервера каталогов Выполнение начальной настройки: Выполняется попытка поиска основного сервера... Основной сервер = dc * Идентифицирован лес AD. Сбор начальных данных завершен. Выполнение обязательных начальных проверок Сервер проверки: Default-First-Site-Name\DC Запуск проверки: Connectivity ......................... DC - пройдена проверка Connectivity Выполнение основных проверок Сервер проверки: Default-First-Site-Name\DC Запуск проверки: Advertising ......................... DC - пройдена проверка Advertising Запуск проверки: FrsEvent ......................... DC - пройдена проверка FrsEvent Запуск проверки: DFSREvent За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики. ......................... DC - пройдена проверка DFSREvent Запуск проверки: SysVolCheck ......................... DC - пройдена проверка SysVolCheck Запуск проверки: KccEvent ......................... DC - пройдена проверка KccEvent Запуск проверки: KnowsOfRoleHolders ......................... DC - пройдена проверка KnowsOfRoleHolders Запуск проверки: MachineAccount ......................... DC - пройдена проверка MachineAccount Запуск проверки: NCSecDesc ......................... DC - пройдена проверка NCSecDesc Запуск проверки: NetLogons ......................... DC - пройдена проверка NetLogons Запуск проверки: ObjectsReplicated ......................... DC - пройдена проверка ObjectsReplicated Запуск проверки: Replications ......................... DC - пройдена проверка Replications Запуск проверки: RidManager ......................... DC - пройдена проверка RidManager Запуск проверки: Services ......................... DC - пройдена проверка Services Запуск проверки: SystemLog ......................... DC - пройдена проверка SystemLog Запуск проверки: VerifyReferences ......................... DC - пройдена проверка VerifyReferences Выполнение проверок разделов на: ForestDnsZones Запуск проверки: CheckSDRefDom ......................... ForestDnsZones - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... ForestDnsZones - пройдена проверка CrossRefValidation Выполнение проверок разделов на: DomainDnsZones Запуск проверки: CheckSDRefDom ......................... DomainDnsZones - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... DomainDnsZones - пройдена проверка CrossRefValidation Выполнение проверок разделов на: Schema Запуск проверки: CheckSDRefDom ......................... Schema - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... Schema - пройдена проверка CrossRefValidation Выполнение проверок разделов на: Configuration Запуск проверки: CheckSDRefDom ......................... Configuration - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... Configuration - пройдена проверка CrossRefValidation Выполнение проверок разделов на: xxxxx Запуск проверки: CheckSDRefDom ......................... xxxxx - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... xxxxx - пройдена проверка CrossRefValidation Выполнение проверок предприятия на: xxxxx.local Запуск проверки: LocatorCheck ......................... xxxxx.local - пройдена проверка LocatorCheck Запуск проверки: Intersite ......................... xxxxx.local - пройдена проверка Intersite --------------------     | |
| 1
- 11.04.2013 - 21:06
|
Возвращаясь к DFSREvent всплывало в эвентах вот такое событие Имя журнала: DFS Replication Подача: DFSR Дата: 11.04.2013 10:18:32 Код события: 5014 Категория задачи:Отсутствует Уровень: Предупреждение Ключевые слова:Классический Пользователь: Н/Д Компьютер: dc.xxxxx.local Описание: Служба репликации DFS останавливает подключение к партнеру SERVER группы репликации Domain System Volume из-за ошибки. Служба будет периодически пытаться повторить подключение. Дополнительные сведения: Ошибка: 1726 (Сбой при удаленном вызове процедуры.) Идентификатор подключения: 37AF2F9E-7C52-4F1D-A9ED-3E78AE747661 Идентификатор группы репликации: 4F1352A7-11E2-4B0B-9863-3B96390AA0D9 Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="DFSR" /> <EventID Qualifiers="32768">5014</EventID> <Level>3</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2013-04-11T06:18:32.000Z" /> <EventRecordID>653</EventRecordID> <Channel>DFS Replication</Channel> <Computer>dc.xxxxx.local</Computer> <Security /> </System> <EventData> <Data>37AF2F9E-7C52-4F1D-A9ED-3E78AE747661</Data> <Data>SERVER</Data> <Data>Domain System Volume</Data> <Data>1726</Data> <Data>Сбой при удаленном вызове процедуры.</Data> <Data>4F1352A7-11E2-4B0B-9863-3B96390AA0D9</Data> </EventData> </Event> --------------- И буквально сразу за ним вот такое событие ---------------------- Имя журнала: DFS Replication Подача: DFSR Дата: 11.04.2013 10:18:32 Код события: 5004 Категория задачи:Отсутствует Уровень: Сведения Ключевые слова:Классический Пользователь: Н/Д Компьютер: dc.xxxxxx.local Описание: Служба репликации DFS успешно установила входящее подключение с партнером SERVER для группы репликации Domain System Volume. Дополнительные сведения: Адрес использованного подключения: SERVER.xxxxx.local Идентификатор подключения: 37AF2F9E-7C52-4F1D-A9ED-3E78AE747661 Идентификатор группы репликации: 4F1352A7-11E2-4B0B-9863-3B96390AA0D9 Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="DFSR" /> <EventID Qualifiers="16384">5004</EventID> <Level>4</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2013-04-11T06:18:32.000Z" /> <EventRecordID>654</EventRecordID> <Channel>DFS Replication</Channel> <Computer>dc.xxxxxx.local</Computer> <Security /> </System> <EventData> <Data>37AF2F9E-7C52-4F1D-A9ED-3E78AE747661</Data> <Data>SERVER</Data> <Data>Domain System Volume</Data> <Data>SERVER.xxxxxx.local</Data> <Data>4F1352A7-11E2-4B0B-9863-3B96390AA0D9</Data> </EventData> </Event> Т.е. репликации проходят, но об что-то основной КД вспотыкается. ВОПРОС! Как победить блокирование учетки? И забыл написать, что основной КД на Вин2008 а вторичный на Вин2008Р2 | |
| 2
- 11.04.2013 - 21:11
| Нагугливал я пару тем на РЕШЕНО и на Течнете и ещё где-то, но что-то там либо уводили сабж в совсем другое русло, либо вопрос оставался не решенным. Кто сталкивался с такими траблами? Если сталкивались, то как решали. В общем прошу помощи! | |
| 3
- 11.04.2013 - 21:45
|
какой уровень леса какой уровень домена? довай разберёмся ты перевёл реплики на DFSR механизм но не включил его это раз так? какой пользователь блокируется? что запускается от его имени в каких группах он состоит? это два | |
| 4
- 12.04.2013 - 09:26
| у меня с таким кодом был Kido. причём лочил только учётки ентерпрайз админов. наличие антивирусника с обновлёнными базами не спасло эти машины от смерти :) | |
| 5
- 12.04.2013 - 09:44
| Тесты DFS что говорят? Под пользователем никакие сервисы не крутятся? | |
| 6
- 12.04.2013 - 09:59
|
Касаемо пользователя: у него админские права только на локальном компе, доменные группы в которых он состоит дают право только на доступ к общим файловым шарам, включают в груупу рассылки на эксчендже ну и стандартные права пользователя (Domain Users). Репликация DFSR включена. Отчет о работоспособности выдает предупреждение, что Служба репликации DFS часто перезапускается, а реплики проходят нормально. Ещё вопросы вызывает то, что в менеджере DFS, там где указываются локальный путь на члене репликации, на основном КД стоит вот такой путь "\\?\C:\Windows\SYSVOL\domain", обращаю внимание на "\\?" вначале, нормально ли это? Причем путь изменить нельзя. На в втором КД этот же путь нормально прописан без "\\?" вначале. | |
| 7
- 12.04.2013 - 10:04
|
To krasnIEpantalonI - я сейчас запустил на машине KidoKiller. Отключив предварительно сеть и антивирь. Повторюсь, этот пользователь кроме обычных юзверьских привилегий больше ни каких прав не имеет + включен в группы рассылки типа "Все сотрудники компании" или "Руководство", эти же группы дают доступ на сетевые шары для пользователей этих групп. | |
| 8
- 12.04.2013 - 10:34
|
Ещё один любопытный момент (основной КД - DC, вторичный SERVER). Заходим на DC в консоль Пользователи и компьютеры, на значке с именем домена жмем правой кнопкой мыши и выбираем "Сменить контроллер домена". Появляется соответствующее окно для смены КД. Но в нем наблюдается вот такая картина. Основной КД отображается со статусом "не доступен", а другой со статусом "Оперативные". тоже самое делаю на втором КД, первичный отображается как "в сети", вторичный "не доступен". Если выбрать на любом из серверов, любой из КД то оснастка управления открывается, как будто всё хорошо. | |
| 9
- 12.04.2013 - 10:47
|
В общем вот такие траблы, друзья. Мешает только блокировка учетки, по остальному пока яндекс гуглю. Если у кого какие мысли? | |
| 10
- 12.04.2013 - 11:03
| были какие-то шаманские действия с DNS ? | |
| 11
- 12.04.2013 - 16:18
|
9-relise >сделай на обоих контроллерах mmc "добавить остнаску "сертификаты" - "компьютера"" зайди в хранилище "личные" есть ли там сертификаты? | |
| 12
- 12.04.2013 - 22:02
|
krasnIEpantalonI - не так давно упал ДНС, снес зону, пересоздал заново, перегрузился. Зона подтянулась, в т.ч. и _msdcs. Серверы имен отображаются и отвечают, как "основной сервер" назначен первичный КД, разрешена передача зон на любой сервер. Отработка nslookup проходит и на первый и на второй КД, т.е. службы ДНС отвечают от обоих серваков. С DNSом я думаю всё в порядке. NOVIchok - выданы следующие сертификаты: dc.xxxx.local, xxxx-DC-CA, WMSvc-DC. Вот сертификата для вторичного КД не видно. | |
| 13
- 12.04.2013 - 22:03
| это я проверил на первичном... на вторичном чуть позже скажу. | |
| 14
- 12.04.2013 - 22:30
|
На вторичном КД вот такие сертификаты: server.xxxx.local, WMSvc-DC | |
| 15
- 12.04.2013 - 22:32
|
Пост 14 считать не действительным =) ---------------------------- На вторичном КД вот такие сертификаты: server.xxxx.local, WMSvc-server | |
| 16
- 12.04.2013 - 22:39
| я так понимаю, что сертификаты обоих серваков должны находиться и там и там, т.е. можно тупо воспользоваться экспортом. | |
| 17
- 12.04.2013 - 23:32
|
16-relise >если актуальны на 2008м обновления на текущую дату то репликация DFSR должна работать так как у тебя выпущены самоподписные сертификаты на контроллерах домена тут всё в норме дальше переименуй ту учётку которая постоянно блочится добавь 1 букву или цифру так ты узнаешь брутит её кто-нибуть или нет так как DFSR у тебя пашет нужно обратится к инструменту ldp.exe и на ниском уровне посмотреть рамочные параметры репликации (шаблоны файлов и тд) если там всё нормуль проверяем "хозяина ролей FSMO" на то что у него есть все роли и если там тоже все отлично и нигде у тебя не затерялась роль RID и тд читаем следующую статью и приводим в соответствие "http://fromreallife.wordpress.com/2012/10/26/восстановление-дерева-sysvol/" в остальном не забываем что dcdiag прежде всего анализирует журнал событий и если эвент там есть а самого сбоя уже нет он всё равно будет писать о проблеме пока не отчистишь журнал | |
| 18
- 13.04.2013 - 10:49
|
NOVIchok - спасибо я попробую вечером. Но на сколько я помню, учетка блокируется только тогда когда этот юзер работает. Касаемо ролей FSMO то я вчера их смотрел... роли назначены верно. остальное гляну и отпишусь. В понедельник ещё всё таки нужно поковырять комп пользователя. У нас стоит корпоративный Есет - он ничего не находит подозрительного. Я ставил туда и каспер, тоже ничего не находит. Попробую ручками поискать подозрительные процессы, файлы и т.д., отчистить временные файлы браузеров. | |
| 19
- 13.04.2013 - 10:55
| 18-relise >юзер сам может начать брутить указав в параметрах подключения к какому нибуть сервису в корп сети в явном виде логин и пароль после чего поменять пароль .. | |
| 20
- 13.04.2013 - 10:57
| 18-relise >ну ещё проверь всякого рода зверьё типа спутник маилру гуард маилру яндекс бары и скаймонки | |
| 21
- 15.04.2013 - 07:49
|
этого юзера лочит если он входит именно с этой машины или с любой другой? выдай ему ноут. пускай за ноутом посидит. | |
| 22
- 15.04.2013 - 12:32
| чем закончилось? | |
| 23
- 15.04.2013 - 21:16
|
Всем привет! Пока ни чем не закончилось, сегодня не занимался. NOVIchok - сегодня попробую последовать твоему совету. А между тем сегодня на вторичном КД вот такие сообщения были: Имя журнала: DFS Replication Источник: DFSR Дата: 14.04.2013 22:53:13 Код события: 5008 Категория задачи:Отсутствует Уровень: Ошибка Ключевые слова:Классический Пользователь: Н/Д Компьютер: SERVER.xxxxx.local Описание: Службе репликации DFS не удалось установить подключение к партнеру DC по группе репликации Domain System Volume. Причиной этой ошибки может быть недоступный узел или незапущенная служба репликации DFS на сервере. DNS-адрес партнера: dc.xxxxx.local Доступные дополнительные сведения: WINS-адрес партнера: dc IP-адрес партнера: 192.168.0.4 Служба периодически будет пытаться установить подключение. Дополнительные сведения: Ошибка: 1722 (Сервер RPC недоступен.) Идентификатор подключения: B93F63A9-EFFC-4B3B-A1C4-A534DBB63045 Идентификатор группы репликации: 4F1352A7-11E2-4B0B-9863-3B96390AA0D9 Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="DFSR" /> <EventID Qualifiers="49152">5008</EventID> <Level>2</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2013-04-14T18:53:13.000000000Z" /> <EventRecordID>238</EventRecordID> <Channel>DFS Replication</Channel> <Computer>SERVER.xxxxxx.local</Computer> <Security /> </System> <EventData> <Data>B93F63A9-EFFC-4B3B-A1C4-A534DBB63045</Data> <Data>DC</Data> <Data>Domain System Volume</Data> <Data>dc.xxxxxx.local</Data> <Data>dc</Data> <Data>192.168.0.4</Data> <Data>1722</Data> <Data>Сервер RPC недоступен.</Data> <Data>4F1352A7-11E2-4B0B-9863-3B96390AA0D9</Data> </EventData> </Event> ---- Ну а потом опять типа всё хорошо. Имя журнала: DFS Replication Источник: DFSR Дата: 14.04.2013 22:54:59 Код события: 5004 Категория задачи:Отсутствует Уровень: Сведения Ключевые слова:Классический Пользователь: Н/Д Компьютер: SERVER.xxxxx.local Описание: Служба репликации DFS успешно установила входящее подключение с партнером DC для группы репликации Domain System Volume. Дополнительные сведения: Адрес использованного подключения: dc.xxxxxx.local Идентификатор подключения: B93F63A9-EFFC-4B3B-A1C4-A534DBB63045 Идентификатор группы репликации: 4F1352A7-11E2-4B0B-9863-3B96390AA0D9 Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="DFSR" /> <EventID Qualifiers="16384">5004</EventID> <Level>4</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2013-04-14T18:54:59.000000000Z" /> <EventRecordID>239</EventRecordID> <Channel>DFS Replication</Channel> <Computer>SERVER.xxxxxxxx.local</Computer> <Security /> </System> <EventData> <Data>B93F63A9-EFFC-4B3B-A1C4-A534DBB63045</Data> <Data>DC</Data> <Data>Domain System Volume</Data> <Data>dc.xxxxxx.local</Data> <Data>4F1352A7-11E2-4B0B-9863-3B96390AA0D9</Data> </EventData> </Event> По рекомендации Новичка проверил хозяина операций (на обоих серваках) C:\Users\ss>netdom query fsmo Хозяин схемы dc.xxxx.local Хозяин именования доменов dc.xxxx.local PDC dc.xxxx.local Диспетчер пула RID dc.xxxx.local Хозяин инфраструктуры dc.xxxx.local Команда выполнена успешно. DC - это основной КД. идем далее... | |
| 24
- 15.04.2013 - 21:55
|
запустил ldp.exe. мляяяяяя.... ))) Тут уже начинаю тупить под конец дня ))) Вроде пока ничего криминального не нашел. | |
| 25
- 15.04.2013 - 23:26
|
блин! совсем запутался... repadmin /showrepl говорит что репликации нормально выполняются. repadmin /syncall тоже нормально отрабатывает. Согласно статьи в п.17 начал отрабатывать. Там у него описаны манипуляции с реестром. А у меня на обоих КД отсутствуют вообще ветка Cumulative Replica Sets\GUID, а ветка Replica Sets не содержит GUID. Фигня какая-то. Сейчас создам эти ветки, и попробую перегрузить всё.. | |
| 26
- 15.04.2013 - 23:38
| 25-relise >посмотри в личку | |
| 27
- 15.04.2013 - 23:54
|
Короче в сад! не стал я замарачиваться, а перевел все реплики на DFS, как народ рекомендует - этот вопрос снят. Реплики ходят всё хорошо =) Переименовываем учетку, завтра буду смотреть аудит. Вот юзер с утра будет названивать ))) | |
| 28
- 16.04.2013 - 17:19
|
сегодня начала жутко блочиться моя учетка :) Весь мозг сломал, пока не заметил, что биос "полетел" в 2005 год. Вот теперь хотелось бы уточнить - ХР в таких случаях орало типа "время отличается от контроллера домена, так что иннах". Семерка походу спокойно заходит, но при это учетка пользователя лочится. Экспериментировать времени пока нет, да и не начем пока. Может кто пошаманит? :) | |
| 29
- 16.04.2013 - 21:33
| 28-Gochy >+- 6 минут отличие будет предупреждать больше будет считать что контроллер недоступен | |
| 30
- 17.04.2013 - 08:41
| ну хз. попробовал еще раз на семерке - заходит, но учетку блочит. Разница во времени несколько лет | |
| 31
- 22.04.2013 - 15:27
| сделай юзверю другую учетку и можно пить пенный напиток сисадмина | |
| 32
- 22.04.2013 - 15:29
| что такое там в профиле переносить сложно??????? | |
| 33
- 22.04.2013 - 18:22
| 32-meatcomb >а права на новую учетку везде автоматом переназначатся. | |
| 34
- 26.04.2013 - 01:02
| 33-LeXX >вы права ещё не группам раздаёте? ...... | |
| 35
- 26.04.2013 - 10:02
| 34-NOVIchok >Локально на компах? Или мы о чем? | |
| 36
- 26.04.2013 - 10:11
| 35-LeXX >да где угодно | |
Интернет-форум Краснодарского края и Краснодара |
