Updated !!! поверь, после напиши, я ещё копну на всякий случай - но это из одной области (имхо)28.03.03 00:30 Число просмотров: 881 Автор: babay <Andrey Babkin> Статус: Elderman Отредактировано 28.03.03 00:52 Количество правок: 2
Я же говорил что это из той же оперы, почитай в первой ссылке , а во второй есть как обходиться с этой бедой.
Хотя ты написал что у тебя 1 PDC - так помоему проще переставить, скорее всего криво сервис пак встал, они кричат что ещё в 4 это исправили, так поставь сначала его, а после 6. Не первый случай когда они в новых паках ошибки от предыдущих исправлений плодят или возвращают не исправленные длл.
Есть домен на NT4.
При неправильном вводе пароля пользователя на Win9x Workstation в лог на сервере делается соответствующая запись. Если тоже самое происходит на Win2k Pro, то на сервере ничего нигде не записывается. В чем тут может быть дело ?
> Есть домен на NT4. > При неправильном вводе пароля пользователя на Win9x > Workstation в лог на сервере делается соответствующая > запись. Если тоже самое происходит на Win2k Pro, то на > сервере ничего нигде не записывается. В чем тут может быть > дело ? Это такая фича, и никакими хот фиксами сдесь не поможешь, при локальной аутентификации или при при входе на машину состоящую в домене логи пишутся локально и с этим ничего не сделаешь! Учи мат часть :)
2 Viran А не поучить ли тебе самому мат часть ??, Audit Account Logon Events например !01.04.03 03:11 Автор: babay <Andrey Babkin> Статус: Elderman
Может пользователь на Win2K пытается зарегистрироваться в системе не как член домена, а как локальный пользователь компа? Тогда запизи о неуспешной регистрации будут писаться в Локальный лог безопасности компа.
Примерно те-же мысли24.03.03 17:44 Автор: babay <Andrey Babkin> Статус: Elderman
> Может пользователь на Win2K пытается зарегистрироваться в > системе не как член домена, а как локальный пользователь > компа? Тогда запизи о неуспешной регистрации будут писаться > в Локальный лог безопасности компа.
2000 вообще не создаст юзеру десктоп, если пароль не подходит.
andrjuha пишет что вход в домен НТ 4 юзера со слетевшим паролем на машине под 98 оставляет запись в логах о неправильно набранном пароле, а при входе клиента на 2000 такой записи нет !
Скорее всего ты прав, вход - локальный, а не доменный (мап дисков и прочее проходит под кэшированным паролем, а не под системным паролем входа в домен, т.е. тачка не имеет регистрации в домене или юзер локально вваливается) тогда всё как ты сказал,
но если тачка в домене и вход в домен тогда не ясно нефига :-(.
Пусть andrjuha уточняет, завел ли он машину в домен и какой вход.
Машина в домене, вход тоже в домен24.03.03 23:46 Автор: andrjuha Статус: Незарегистрированный пользователь
> но если тачка в домене и вход в домен тогда не ясно нефига > :-(. > Пусть andrjuha уточняет, завел ли он машину в домен и какой > вход.
В том то вся лажа, что и машина в домене, и юзер входит в домен, а не локально.
Машины Win2k Pro Eng, сервер NT 4.0 SP6a Eng.
В локальных логах записывается про неправильный пароль, а на сервере по нулям (хотя про Win98SE все пишет).
Машина в домене, вход тоже в домен25.03.03 14:15 Автор: Den <Денис Т.> Статус: The Elderman
> В том то вся лажа, что и машина в домене, и юзер входит в > домен, а не локально. > Машины Win2k Pro Eng, сервер NT 4.0 SP6a Eng. > В локальных логах записывается про неправильный пароль, а > на сервере по нулям (хотя про Win98SE все пишет).
Account Logon Events и Logon Events на серваке в момент неудачного входа 2000 что пишет ?, если установлен на лог всех событий и + и -?
И всё-таки проследи за юзером, не локально ли он входит, чудес не бывает..., в локальный-то лог шарашит, значит попытка входа в локаль есть.
Заведи юзера на тачке, в домене не заводи и попробуй под ним в домен ввалиться, в логах должно что-то быть. Если есть возврат ошибки - заведи этого юзера и в домене, и попробуй поиграться.
Еще раз уточни в домене ли тачка, может она в воркгруппе, одноименной с доменом..., нет ли в систем-логе от нетбиоса вони о конфликте имен ?
> Account Logon Events и Logon Events на серваке в момент > неудачного входа 2000 что пишет ?, если установлен на лог > всех событий и + и -? Вообще ничего
> И всё-таки проследи за юзером, не локально ли он входит, > чудес не бывает..., в локальный-то лог шарашит, значит > попытка входа в локаль есть. Сам пробовал
> Заведи юзера на тачке, в домене не заводи и попробуй под > ним в домен ввалиться, в логах должно что-то быть. Если юзера в домене такого вообще нет, то запись в лог делается, если юзер есть - то записи нет
> Еще раз уточни в домене ли тачка, может она в воркгруппе, > одноименной с доменом..., нет ли в систем-логе от нетбиоса > вони о конфликте имен ? Проблемы на всех тачках с 2к. Точно в домене, логов лишних нет.
> Проблемы на всех тачках с 2к. Точно в домене, логов лишних > нет. Если переносился BDC на PDC в то время как клиенты уже были в домене - возможны проблемы, смотри ссылку. И еще глянь логи BDC и посмотри, не установлена ли на 2000 клиентах процедура аутентификация NTLM 2, и если её не возможно произвести - то NTLM. Поставь принудительно NTLM.
BDC вообще нет.
Включение только NTLM ничего не исправляет.
Вообще это выглядит так: в окне ввода имени пользователя для входа в систему Win2k можно набирать все что угодно - в логи на сервер ничего не попадает (только в локал лог). Если зайти локально под несуществующим в домене именем и попытаться обратиться к серверу, то в лог на сервере пишется соответствующая запись.
Т.е. записи с MyDomaine в поле "домен" на сервере не фиксируются, а записи с MachineName в поле "домен" на сервере фиксируются.
Re: Не то слово...26.03.03 12:48 Автор: Den <Денис Т.> Статус: The Elderman
> Возможно проблема в создании учетных записей машин и длине > их паролей. > Опиши процедуру добавления тобой станций в домен. 1) На сервере в Server Manager
Computer > Add to domain > NewPC > Add
2) На NewPC
System > Network Indentification > Properties > Domain > MyDomain > OK
При запросе имени пользователя ввожу имя доменного юзверя.
Re: Не то слово...26.03.03 18:55 Автор: Den <Денис Т.> Статус: The Elderman
1. В Server Manager'е добавлять не обязательно. Удали бюджет машины, которую хочешь добавить.
2. Когда добавляешь рабочую станцию в домен из System > Network Indentification > Properties > Domain > MyDomain указывай имя и пароль администратора (если конецно не разрешал другим пользователям добавлять станции к домен в User Manager -> Policies -> User Rights...)
В System > Network Indentification > Properties выведи станцию из домена в workgroup, затем выполни п.1 и через 15 минут п.2
Re: Не то слово...26.03.03 23:46 Автор: andrjuha Статус: Незарегистрированный пользователь
1) В Server Manager удалил MyPC из домена.
2) Для MyUser разрешил добавлять станции к домену.
3) Перевел MyPC в MyGroup группу из System > Network Indentification > Properties.
4) Через 30 минут с помощью MyUser добавил MyPC в домен из System > Network Indentification > Properties > Domain
5) Перезагружаю MyPC, в окне ввода пароля выбираю вход в домен, в имени пользователя набираю чушь - в логах на сервере по нулям Как такое может быть ? Может поломал меня кто-то так хитро ?
Re: Не то слово...27.03.03 11:02 Автор: Den <Денис Т.> Статус: The Elderman
Я протормозил... Мне показалось, что ты с 2K не можешь в домен логиниться. А у тебя только логи не пишуться.
У меня нет под рукой W2K, чтобы проверить, но попробуй в User Rights на NT разрешить Access this computer from network только Authenticated Users .
Возможно 2K сама проверяет наличие пользователя в домене.
В догонку...27.03.03 12:36 Автор: Den <Денис Т.> Статус: The Elderman
А тот пользователь, которым ты пытаешься войти, добавлен в какую-либо локальную группу или входит в глобальную группу домена, добавленную в локальную группу на 2K?
Группы подробно27.03.03 13:36 Автор: andrjuha Статус: Незарегистрированный пользователь
> А тот пользователь, которым ты пытаешься войти, добавлен в > какую-либо локальную группу или входит в глобальную группу > домена, добавленную в локальную группу на 2K? Вообще я все оставил по умолчанию, т.е.
на сервере в глобальной группе Domain Users все пользователи.
на MyPC в группе Users:MyDomain\Domain Users;NT AUTHORITY\Authenticated Users;NT AUTHORITY\INTERACTIVE.
Как вообще Win2k может сама проверять пароли, если в Local Security Settings>Number of previous logons to cache стоит 0; а в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa стоит NoLmHash.
Access this computer from network поставил Authenticated Users (стояло Everyone). 15 минут подожду на всякий случай и проверю еще раз.
Группы подробно27.03.03 14:26 Автор: Den <Денис Т.> Статус: The Elderman
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
