> > Прибей и заново > > создай доверительные отношения. У меня они пропадали > раза > > три сами по себе, непонятно с какой радости. > > Это первое что я попробовал сделать > Фича в том что 2К хочет verify новосозданные доверительные > отношения > и при verify обламывается. > > кстати, из НТшного домена отлично видят и работают с > ресурсами из 2К-домена. > > Что-то с настройками 2К неладно, и причина скорее всего не > в доверительных отношениях, это следствие.
1 ДНС проверял на предмет обратного разрешения доменных имен ?
2 Что в логах безопасности ?
короче: у меня два домена - 2К и НТ
че-то произошло, что между ними поломались доверительные отношения. Одновременно домен 2К перестал пускать логиниться свои НТ-шные рабочие станции, мотивируя это тем, что не удалось установить доверительные отношения. Очевидно, что все по одной причине - каким-то @#$ом 2К перестал доверять НТ.
Вопрос: почему это может быть?
hint: я недавно искал почему ISA сервер требует авторизации на все действия юзера в инете - и отменял все политики безопасности, которые нашел. ISA перестал вы@#ываться, и одновременно 2К снова стал доверять НТям. Однако сейчас повторить это мне не удается.
доверительные отношения, мать их25.06.02 20:19 Автор: iokana <iokana jon> Статус: Member
> короче: у меня два домена - 2К и НТ > че-то произошло, что между ними поломались доверительные > отношения. Одновременно домен 2К перестал пускать > логиниться свои НТ-шные рабочие станции, мотивируя это тем, > что не удалось установить доверительные отношения. > Очевидно, что все по одной причине - каким-то @#$ом 2К > перестал доверять НТ. > > Вопрос: почему это может быть? > hint: я недавно искал почему ISA сервер требует авторизации > на все действия юзера в инете - и отменял все политики > безопасности, которые нашел. ISA перестал вы@#ываться, и > одновременно 2К снова стал доверять НТям. Однако сейчас > повторить это мне не удается.
Да лажа всё это, сам возился с полгода с такой дрянью. То НТ подозрительно косится на 2000-ю, то 2000-я в упор не понимает, что рядом с ней делает НТ... Прибей и заново создай доверительные отношения. У меня они пропадали раза три сами по себе, непонятно с какой радости.
доверительные отношения, мать их25.06.02 17:01 Автор: Anrew Статус: Незарегистрированный пользователь
> > Прибей и заново > > создай доверительные отношения. У меня они пропадали > раза > > три сами по себе, непонятно с какой радости. > > Это первое что я попробовал сделать > Фича в том что 2К хочет verify новосозданные доверительные > отношения > и при verify обламывается. > > кстати, из НТшного домена отлично видят и работают с > ресурсами из 2К-домена. > > Что-то с настройками 2К неладно, и причина скорее всего не > в доверительных отношениях, это следствие.
1 ДНС проверял на предмет обратного разрешения доменных имен ?
2 Что в логах безопасности ?
доверительные отношения, мать их25.06.02 17:42 Автор: Anrew Статус: Незарегистрированный пользователь
> 1 ДНС проверял на предмет обратного разрешения доменных > имен ?
ввиду того что лазим в интернет через NAT - у всех стоит демосовский днс в качестве dns сервера. внутри контролёра домена 2К тоже есть днс, и где там обратное разрешение доменных имен? тупево навернео , но я не нашел
> 2 Что в логах безопасности ?
в secure логе жалоб нет
в system логе периодически проскакивают жалобы на невозможность dynamic registration/deregistration (event 5781)
> > 1 ДНС проверял на предмет обратного разрешения > доменных > > имен ? > > ввиду того что лазим в интернет через NAT - у всех стоит > демосовский днс в качестве dns сервера. внутри контролёра > домена 2К тоже есть днс, и где там обратное разрешение > доменных имен? тупево навернео , но я не нашел
Я вот о чем: можно ли пинганув по IP ServerNT с ServerW2K (и обратно) получить полное доменное имя, получится примерно вот что
C:\>ping -a 10.12.224.221
Pinging ml350.bankliq.ru [10.12.224.221] with 32 bytes of data:
Reply from 10.12.224.221: bytes=32 time<10ms TTL=128
, далее: лежит ли запись о АйПи НТСервака в зоне
Reverse Lookup Zone->IP_твоей_сети.in-addr.arpa на 2000 ДНС
> > > 2 Что в логах безопасности ? > > в secure логе жалоб нет > в system логе периодически проскакивают жалобы на > невозможность dynamic registration/deregistration (event > 5781)
Странно, была решена эта проблема в 1 сервиспаке, обновиться опять попробуй, но сначала просто NETLOGON попробуй перезапустить.
> > > Что скажет доктор? Доктор - сильно сказано :-), так, скорее медбрат :-)))
доверительные отношения, мать их25.06.02 18:20 Автор: Anrew Статус: Незарегистрированный пользователь
> Я вот о чем: можно ли пинганув по IP ServerNT с ServerW2K > (и обратно) получить полное доменное имя, получится > примерно вот что > > C:\>ping -a 10.12.224.221
нет, не получается
НТшные машины из домена 2К (включенные - залогиниться 2К не дает)
разрешаются таким образом, а из соседнего НТ домена не разрешаются.
> , далее: лежит ли запись о АйПи НТСервака в зоне > Reverse Lookup Zone->IP_твоей_сети.in-addr.arpa на 2000 > ДНС
нет, записи такой не нашел
как ее добавить?
hint: ее там никогда не было - тем не менее несколько месяцев проблем не было. это замечание важно?
я вот о чем...26.06.02 00:29 Автор: babay <Andrey Babkin> Статус: Elderman
> > Я вот о чем: можно ли пинганув по IP ServerNT с > ServerW2K > > (и обратно) получить полное доменное имя, получится > > примерно вот что > > > > C:\>ping -a 10.12.224.221 > > нет, не получается > НТшные машины из домена 2К (включенные - залогиниться 2К не > дает) > разрешаются таким образом, а из соседнего НТ домена не > разрешаются.
Ну значит мы на правильном пути.
> > > , далее: лежит ли запись о АйПи НТСервака в зоне > > Reverse Lookup Zone->IP_твоей_сети.in-addr.arpa на > 2000 > > ДНС > > нет, записи такой не нашел > как ее добавить?
Есть ли запись в ДНС 2000 о серваке НТ вообше ?, нет - заведи её, а потом просто поставь галку "Create RPT Records", и чтоб окончательно добить это дело залезь в Reverse Lookup Zone->IP_твоей_сети.in-addr.arpa и создай New Pointer , ставь адрес хоста в сетке, в моем случае - 221
> > hint: ее там никогда не было - тем не менее несколько > месяцев проблем не было. это замечание важно? Вообще дело вот в чем:
Она там по идее быть должна, т.к. идентификация была по NTLM - и служба временных тикетов не работала, да и цербер вообще, а в 4 НТ (как и в 2000 ) если мне не изменяе память экаунт машины по умолчанию получает обратный отсчет до смены машинного пароля,
( а меняться он должен через 21 день, так по моему в 2000 ведется для машины обратный отсчет, если с этой этой машины не производился вход в домен то через 21 день доменный контроллер запросит машину сменить пароль (если "договорятся" через SPPI ) после входа юзера с данной тачки в домен). Я могу ошибаться, уточните кто точно знает.
Вот и получаешь при налаживании траста некоторый срок обратного отсчета с безгемморной работой и после - блок на регистрации тачки т.к. может не смогет автоматом сменить пароль без правильного разрешения имени и последует разрыв доверительных отношений т.е., многое зависит от того как настроено разрешение имен. В 2000 без нормальной работы РПК , который жить не может без нормального разрешения имен ДНС очень гемморно настраивать траст, по сему - разберись разрешением.
В догонку :
Там в конце написано как правильно сбросить траст.
Server-based Task Errors
When you perform any of the following server-based tasks, you might receive an error that says the RPC server is unavailable:
Replication
Winlogon
Enable trusted relationships
Connect to domain controllers
Connect to trusted domains
User authentication
The "RPC server unavailable" error can occur for any of the following reasons:
The RPC service is not active.
You are unable to resolve a DNS or NetBIOS name. An RPC channel cannot be established.
To resolve the "RPC server is unavailable" error
On the server, from the Start menu click Run.
Type the following line in the Open box:
net start rpcss
Click OK.
Perform a test to determine whether you still receive an error. For example, test a connection to a domain controller. If you receive an error, continue to the next step.
On the Start menu, point to Programs and Accessories, and then click Command Prompt. At the command prompt, type the following:
ping <servername>
where <servername> is the server, and NetBIOS, DNS, or GUID is the name that you want to test for connectivity. If there is a connection issue with one of these computers, contact your network administrator to resolve the issue. If the error still occurs, continue to the next step.
Use the Netdiag tool to determine whether the domain controller is working correctly. (You can perform a network trace by using the MSRPC, DNS, NBT, LDAP, or TCP protocols.) If there is an issue with the domain controller, contact your network administrator to resolve the error. If the error still occurs, continue to the next step.
Use the Netdom tool to verify network trust relationships and to reset or establish a connection to a server. If the domain controller for the domain cannot be found, the domain name is not being resolved properly. Contact your network administrator to resolve the issue. If the domain controller is found, the RPC communication channel is functioning. You can use the Netdom tool to reset or establish a connection to another server.
Important In mixed-mode domains, external trusts should always be deleted from a Windows 2000 domain controller. External trusts to Windows NT 4.0 or 3.51 domains can be deleted by authorized administrators on the Windows NT 4.0 or 3.51 domain controllers. However, only the trusted side of the relationship can be deleted on Windows NT 4.0 or 3.51 domain controllers. The trusting side of the relationship (created in the Windows 2000 domain) is not deleted, and although it will not be operational, the trust will continue to display in Active Directory Domains and Trusts. To remove the trust completely, you will need to delete the trust from a Windows 2000 domain controller in the trusting domain.
If an external trust is inadvertently deleted from a Windows NT 4.0 or 3.51 domain controller, you will need to recreate the trust from any Windows 2000 domain controller in the trusting domain.
З.Ы. Они пишут :
In Microsoft Windows NT 4.0, machine accounts are used only for secure channel setups, which ignore the lockout advisory. In Windows 2000, computers use Kerberos logons for the machine accounts, which do use the lockout settings.
Но мля, дело в SPPI, договоренность по которому не может быть достигнута без корректного обратного разрешения имен, т.е.2000 предлагает сменить для НТ машинный пароль, но по имени не находит её.
> кстати, из НТшного домена отлично видят и работают с > ресурсами из 2К-домена. > > Что-то с настройками 2К неладно, и причина скорее всего не > в доверительных отношениях, это следствие.
У меня была ситуация чуть забавнее: сервера под 2К для НТёвых юзеров время от времени куда-то пропадали, то поодиночке, то оптом, хотя база данных на одном из них была доступной. С самих 2000-х серваков можно было запросто залезть на любую машину домена НТ.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
