информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медСетевые кракеры и правда о деле ЛевинаЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Дурацкие вопросы: 22.04.03 13:52  Число просмотров: 1065
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
У тебя твои W2KAS - они вообще в домене?
И Account policy ты где устанавливаешь? Уж не на этих ли W2k? :)
<sysadmin>
Совместимость NT и W2k 22.04.03 12:56  
Автор: Henry Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Существует сеть NT один домен, три контролера (на нескольких территориях) везде SP6a.
В эту сеть поставили два сервера W2kAS SP3. После переноса на них части ресурсов пользователи подключаемые к ним начали блокироваться (в account policy стоит блокировка после 5 неудачных попыток). Причем блокировка происходит несколько странно:
-в логах ничего нет, сообщение появляется сразу про блокировку,
-нету сообщений об ошибках,
-блокирует во время работы пользователя,
-пишет нет доступа к расшаренному диску (серверу) W2KAS, хотя доступ ко всем NT серверам домена есть,
-перелогиневаешься и пользователь заблокирован.
Когда убираешь account policy все происходит точно также пользователь теряет доступ и при re-logone диски отваливаются (не востанавливаются). Приходится подключать вручную.
Единственная зацепка на W2k возникает ошибка раза 3 в день
event id 8021 BROWSER
The browser was unable to retrieve a list of servers from the browser master on the network \Device\NwlnkIpx. The data is the error code.
для всех протоколов аналогично.
Все что советует MS в kb не помагает.
Кто нибудь посоветует че?
а функцию PDC выполняет NT'я ?? 22.04.03 18:17  
Автор: iokana <iokana jon> Статус: Member
<"чистая" ссылка>
Проблема в чём? 22.04.03 13:12  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
> Существует сеть NT один домен, три контролера (на
> нескольких территориях) везде SP6a.
> В эту сеть поставили два сервера W2kAS SP3. После переноса
> на них части ресурсов пользователи подключаемые к ним
> начали блокироваться (в account policy стоит блокировка
> после 5 неудачных попыток). Причем блокировка происходит
> несколько странно:
> -в логах ничего нет, сообщение появляется сразу про
> блокировку,

Тут могу посоветовать включить логи.

> -нету сообщений об ошибках,
> -блокирует во время работы пользователя,
> -пишет нет доступа к расшаренному диску (серверу) W2KAS,
> хотя доступ ко всем NT серверам домена есть,
> -перелогиневаешься и пользователь заблокирован.
> Когда убираешь account policy все происходит точно также
> пользователь теряет доступ и при re-logone диски
> отваливаются (не востанавливаются). Приходится подключать
> вручную.

Возможно ты убираешь политику (она становится неопределённой), видимо, надо её отключать.

> Единственная зацепка на W2k возникает ошибка раза 3 в день
> event id 8021 BROWSER
> The browser was unable to retrieve a list of servers from
> the browser master on the network \Device\NwlnkIpx. The
> data is the error code.
> для всех протоколов аналогично.
> Все что советует MS в kb не помагает.

ну, для начала посмотри, всё ли в порядке с обозреванием компьюетров (browstat).

> Кто нибудь посоветует че?

Конкретизируй, в чём именно проблема.
Проблема в чём? 22.04.03 13:36  
Автор: Henry Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Тут могу посоветовать включить логи.
Все логи включены.
> Возможно ты убираешь политику (она становится
> неопределённой), видимо, надо её отключать.
Как это неопределенной? Я убираю галочку Account lockout и ставлю No account lockout .
> ну, для начала посмотри, всё ли в порядке с обозреванием
> компьюетров (browstat).
Как я понимаю все нормально если домен работает
>
> Конкретизируй, в чём именно проблема.
Пользователей блокирует во время доступа к дискам W2K. Весь домен они видят кроме этих серверов, причем их тоже видят но нет доступа.
Дурацкие вопросы: 22.04.03 13:52  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
У тебя твои W2KAS - они вообще в домене?
И Account policy ты где устанавливаешь? Уж не на этих ли W2k? :)
Дурацкие ответы: 22.04.03 15:07  
Автор: Henry Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> У тебя твои W2KAS - они вообще в домене?
Да
> И Account policy ты где устанавливаешь? Уж не на этих ли
> W2k? :)
В домене, где и находятся все пользователи
Т.е. ты хочешь сказать, что удачных попыток подключения юзеров к ресурсам на W2k не было? 22.04.03 17:03  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Ты не понял. 22.04.03 17:50  
Автор: Henry Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Они работают с ним допустим полдня а потом им пишет нет доступа. И ресурс они не видят. Перелогиняться заново подцепят все диски и опять работают. И причем все отваливаются не одновременно.
Нет доступа? 22.04.03 18:07  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
и при этом на W2k в Security Events пусто? И Failure Audit включён?
Тогда включай Object Audit.
похоже на TGS expired, но НТ вроде kerberos не понимает ?! 25.04.03 05:11  
Автор: babay <Andrey Babkin> Статус: Elderman
Отредактировано 25.04.03 05:20  Количество правок: 1
<"чистая" ссылка>
> и при этом на W2k в Security Events пусто? И Failure Audit
> включён?
> Тогда включай Object Audit.
Это лишнее, засрет весь лог, парсить его потом...

Может стоит подумать на счет обновления нетбиосных имен шаренных ресурсов ? , мне кажется - по АйПи будет устойчивый конект и ресурсы не отвалятся, хотя что-то в нт было (не помню точно, поправте если не прав) хреново в SMB и приходилось перелогиниваться для повторной авторизации на шарах и конекта к серваку при сбое в сетке на активном сетевом железе.

****************************************************************************
Единственная зацепка на W2k возникает ошибка раза 3 в день
event id 8021 BROWSER
The browser was unable to retrieve a list of servers from the browser master on the network \Device\NwlnkIpx. The data is the error code.
для всех протоколов аналогично.
Все что советует MS в kb не помагает.
Кто нибудь посоветует че?
***************************************************************************

Убирай службу броузера с 2к нафиг, и делай его вообще неброузером и уж подавно не мастер-броузером или бэкап-броузером, отключай нетбт, в привязке ко всем протоколам и нвлинку и ТиСиПи, мапь через АйПи ресурсного сервера а не по его имени. Или прописывай винсы или настраивай ДНС или правь на клиентах hosts чтоб разрешение АйПи в имена проходило удачно.
netbios over ip 28.04.03 18:04  
Автор: Henry Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Убирай службу броузера с 2к нафиг, и делай его вообще
> неброузером и уж подавно не мастер-броузером или
> бэкап-броузером,
Ок, службу остановил.
> отключай нетбт, в привязке ко всем
> протоколам и нвлинку и ТиСиПи, мапь через АйПи ресурсного
> сервера а не по его имени. Или прописывай винсы или
> настраивай ДНС или правь на клиентах hosts чтоб разрешение
> АйПи в имена проходило удачно.
А вот здесь возник след. трабл. Вообще, насколько я знаю, W2K первая ось MS которая может работать без нетбт. Короче в сети стоит винсовый сервер, обрубаю все че посоветовал , естественно в hosts ничего не пишу, wins прописан, по имени пинги идти перестают и сеть видится только по голому IP. Почему ведь винс настроен? Или W2k не может работать без netbios over TCP/IP. А с пользователями пока неясно посмотрим.
WINS сервер работает на NetBIOS. 30.04.03 10:56  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Новые тонкости 05.05.03 14:14  
Автор: Henry Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Обрубает не конкретно пользователя а вообще доступ с этой станции.
Т.е. у юзера пишет нет доступа к диску, я вхожу своим логином тоже самое, перезагружаю машину все нормально.
Хоть что нибудь скажите, хоть самые дурацкие версии, а то вообще не вмоготу.
Новые тонкости 07.05.03 14:34  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> Обрубает не конкретно пользователя а вообще доступ с этой
> станции.
> Т.е. у юзера пишет нет доступа к диску, я вхожу своим
> логином тоже самое, перезагружаю машину все нормально.
> Хоть что нибудь скажите, хоть самые дурацкие версии, а то
> вообще не вмоготу.

И никак, не по IP, не по NetBT ? Можешь Named Pipes использовать, т.е. удаленно через них достучаться до C$ или ADMIN$ ? Если 100% ничего из этого не работает - тут проблема в контексте безопасности, иначе - проблема с разрешением имен или, как подсказывали, с количеством лицензий на серваке. Хотя логи будут верещать если лицензии кончились.
Новые тонкости 05.05.03 16:48  
Автор: Gothic Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Хоть что нибудь скажите, хоть самые дурацкие версии, а то
> вообще не вмоготу.
Пробуй временно отключить License Logging Service.


1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach