Существует сеть NT один домен, три контролера (на нескольких территориях) везде SP6a.
В эту сеть поставили два сервера W2kAS SP3. После переноса на них части ресурсов пользователи подключаемые к ним начали блокироваться (в account policy стоит блокировка после 5 неудачных попыток). Причем блокировка происходит несколько странно:
-в логах ничего нет, сообщение появляется сразу про блокировку,
-нету сообщений об ошибках,
-блокирует во время работы пользователя,
-пишет нет доступа к расшаренному диску (серверу) W2KAS, хотя доступ ко всем NT серверам домена есть,
-перелогиневаешься и пользователь заблокирован.
Когда убираешь account policy все происходит точно также пользователь теряет доступ и при re-logone диски отваливаются (не востанавливаются). Приходится подключать вручную.
Единственная зацепка на W2k возникает ошибка раза 3 в день
event id 8021 BROWSER
The browser was unable to retrieve a list of servers from the browser master on the network \Device\NwlnkIpx. The data is the error code.
для всех протоколов аналогично.
Все что советует MS в kb не помагает.
Кто нибудь посоветует че?
а функцию PDC выполняет NT'я ??22.04.03 18:17 Автор: iokana <iokana jon> Статус: Member
> Существует сеть NT один домен, три контролера (на > нескольких территориях) везде SP6a. > В эту сеть поставили два сервера W2kAS SP3. После переноса > на них части ресурсов пользователи подключаемые к ним > начали блокироваться (в account policy стоит блокировка > после 5 неудачных попыток). Причем блокировка происходит > несколько странно: > -в логах ничего нет, сообщение появляется сразу про > блокировку,
Тут могу посоветовать включить логи.
> -нету сообщений об ошибках, > -блокирует во время работы пользователя, > -пишет нет доступа к расшаренному диску (серверу) W2KAS, > хотя доступ ко всем NT серверам домена есть, > -перелогиневаешься и пользователь заблокирован. > Когда убираешь account policy все происходит точно также > пользователь теряет доступ и при re-logone диски > отваливаются (не востанавливаются). Приходится подключать > вручную.
Возможно ты убираешь политику (она становится неопределённой), видимо, надо её отключать.
> Единственная зацепка на W2k возникает ошибка раза 3 в день > event id 8021 BROWSER > The browser was unable to retrieve a list of servers from > the browser master on the network \Device\NwlnkIpx. The > data is the error code. > для всех протоколов аналогично. > Все что советует MS в kb не помагает.
ну, для начала посмотри, всё ли в порядке с обозреванием компьюетров (browstat).
> Кто нибудь посоветует че?
Конкретизируй, в чём именно проблема.
Проблема в чём?22.04.03 13:36 Автор: Henry Статус: Незарегистрированный пользователь
> Тут могу посоветовать включить логи. Все логи включены.
> Возможно ты убираешь политику (она становится > неопределённой), видимо, надо её отключать. Как это неопределенной? Я убираю галочку Account lockout и ставлю No account lockout .
> ну, для начала посмотри, всё ли в порядке с обозреванием > компьюетров (browstat). Как я понимаю все нормально если домен работает
> > Конкретизируй, в чём именно проблема. Пользователей блокирует во время доступа к дискам W2K. Весь домен они видят кроме этих серверов, причем их тоже видят но нет доступа.
> У тебя твои W2KAS - они вообще в домене? Да
> И Account policy ты где устанавливаешь? Уж не на этих ли > W2k? :) В домене, где и находятся все пользователи
Т.е. ты хочешь сказать, что удачных попыток подключения юзеров к ресурсам на W2k не было?22.04.03 17:03 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
Они работают с ним допустим полдня а потом им пишет нет доступа. И ресурс они не видят. Перелогиняться заново подцепят все диски и опять работают. И причем все отваливаются не одновременно.
Нет доступа?22.04.03 18:07 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
и при этом на W2k в Security Events пусто? И Failure Audit включён?
Тогда включай Object Audit.
похоже на TGS expired, но НТ вроде kerberos не понимает ?!25.04.03 05:11 Автор: babay <Andrey Babkin> Статус: Elderman Отредактировано 25.04.03 05:20 Количество правок: 1
> и при этом на W2k в Security Events пусто? И Failure Audit > включён? > Тогда включай Object Audit. Это лишнее, засрет весь лог, парсить его потом...
Может стоит подумать на счет обновления нетбиосных имен шаренных ресурсов ? , мне кажется - по АйПи будет устойчивый конект и ресурсы не отвалятся, хотя что-то в нт было (не помню точно, поправте если не прав) хреново в SMB и приходилось перелогиниваться для повторной авторизации на шарах и конекта к серваку при сбое в сетке на активном сетевом железе.
**************************************************************************** Единственная зацепка на W2k возникает ошибка раза 3 в день
event id 8021 BROWSER
The browser was unable to retrieve a list of servers from the browser master on the network \Device\NwlnkIpx. The data is the error code.
для всех протоколов аналогично.
Все что советует MS в kb не помагает.
Кто нибудь посоветует че?
***************************************************************************
Убирай службу броузера с 2к нафиг, и делай его вообще неброузером и уж подавно не мастер-броузером или бэкап-броузером, отключай нетбт, в привязке ко всем протоколам и нвлинку и ТиСиПи, мапь через АйПи ресурсного сервера а не по его имени. Или прописывай винсы или настраивай ДНС или правь на клиентах hosts чтоб разрешение АйПи в имена проходило удачно.
netbios over ip28.04.03 18:04 Автор: Henry Статус: Незарегистрированный пользователь
> Убирай службу броузера с 2к нафиг, и делай его вообще > неброузером и уж подавно не мастер-броузером или > бэкап-броузером, Ок, службу остановил.
> отключай нетбт, в привязке ко всем > протоколам и нвлинку и ТиСиПи, мапь через АйПи ресурсного > сервера а не по его имени. Или прописывай винсы или > настраивай ДНС или правь на клиентах hosts чтоб разрешение > АйПи в имена проходило удачно. А вот здесь возник след. трабл. Вообще, насколько я знаю, W2K первая ось MS которая может работать без нетбт. Короче в сети стоит винсовый сервер, обрубаю все че посоветовал , естественно в hosts ничего не пишу, wins прописан, по имени пинги идти перестают и сеть видится только по голому IP. Почему ведь винс настроен? Или W2k не может работать без netbios over TCP/IP. А с пользователями пока неясно посмотрим.
WINS сервер работает на NetBIOS.30.04.03 10:56 Автор: Den <Денис Т.> Статус: The Elderman
Обрубает не конкретно пользователя а вообще доступ с этой станции.
Т.е. у юзера пишет нет доступа к диску, я вхожу своим логином тоже самое, перезагружаю машину все нормально.
Хоть что нибудь скажите, хоть самые дурацкие версии, а то вообще не вмоготу.
Новые тонкости07.05.03 14:34 Автор: babay <Andrey Babkin> Статус: Elderman
> Обрубает не конкретно пользователя а вообще доступ с этой > станции. > Т.е. у юзера пишет нет доступа к диску, я вхожу своим > логином тоже самое, перезагружаю машину все нормально. > Хоть что нибудь скажите, хоть самые дурацкие версии, а то > вообще не вмоготу.
И никак, не по IP, не по NetBT ? Можешь Named Pipes использовать, т.е. удаленно через них достучаться до C$ или ADMIN$ ? Если 100% ничего из этого не работает - тут проблема в контексте безопасности, иначе - проблема с разрешением имен или, как подсказывали, с количеством лицензий на серваке. Хотя логи будут верещать если лицензии кончились.
Новые тонкости05.05.03 16:48 Автор: Gothic Статус: Незарегистрированный пользователь
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
