Ситуация такая:
Есть один КД на 40 компов.
При входе машины в домен не видно сетевых дисков, сетевых принтеров, а если еще попытаться с машины зайти на КД через сетевое окружение выдает запрос на логин/пароль.

Такая ситуация не на всех машинах, - некоторые печатают нормально, видят диски и к ним применяются групповые политики. Есть те, которые при входе в домен не видят диски, не видят принтеры и соответственно к ним не применяются политики. Если вторую группу машин перезагрузить - все работает (видит диски и принтеры доступны и логин/пароль не запрашивает уже - как бы со второй перезагрузки КД "узнает" машинку), но политики также не применяются...

Складывается чувство, что регистрация в домене не происходит, - машина заходит через кэш, в котором сохранены удачные входы в систему...

Думал над этим думал - поменял свичи и упсы новые поставил для этих же свичей. Не помогло. Думаю теперь над сетевой картой в КД.

Думал также, что окно авторизации выскакивает потому, что данная учетная запись блокируется из-за вирусни, которая подбирает пароль к другим машинам... Эта мысль у меня витала очень долго, потому что недавно сеть была вылечена от конфикера. Прошло две недели с того момента, как конфикер я в сети видел последний раз. Сканил сеть всем чем только можно - cureit, avz, kaspersky, nod32, kk.exe и т.д. - вычистил наверно все...

И дальше бы наверно продолжал грешить на вирусню, если бы не одно НО!

Решил ребутнуть КД... После ребута вылезло окно предупреждения "Одна или несколько служб не были запущены. Проверьте журнал событий для получения дополнительных сведений". Лезу в журнал, вижу 3 ошибки:

Ошибка №1:
====================
Тип события: Ошибка
Источник события: WLBS
Категория события: Отсутствует
Код события: 35
Дата: 28.09.2009
Время: 20:25:31
Пользователь: Н/Д
Компьютер: CORE
Описание:
NLB-кластер 0.0.0.0 . Невозможно включить режим кластеров из-за ошибок в параметрах. Весь трафик будет проходить через TCP/IP. Перезапустите кластерные операции после устранения неполадок с помощью команды "wlbs reload" с последующей командой "wlbs start".

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 00 00 0c 00 04 00 5a 00 ......Z.
0008: 00 00 00 00 23 00 07 c0 ....#..A
0010: 00 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
0028: a5 32 05 00 00 00 00 00 ?2......
0030: 00 00 00 00 ....
====================

Ошибка №2:
====================
Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7000
Дата: 28.09.2009
Время: 20:21:32
Пользователь: Н/Д
Компьютер: CORE
Описание:
Сбой при запуске службы "SE0CLPT" из-за ошибки
Системе не удается найти указанное устройство.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
====================
Ошибка №3
====================
Тип события: Ошибка
Источник события: SE0CLPT
Категория события: Отсутствует
Код события: 3
Дата: 28.09.2009
Время: 20:20:21
Пользователь: Н/Д
Компьютер: CORE
Описание:
Не найдено описание для события с кодом ( 3 ) в источнике ( SE0CLPT ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания, - дополнительные сведения об этом содержатся в справке. В записи события содержится следующая информация: .
Данные:
0000: 00 00 00 00 01 00 58 00 ......X.
0008: 00 00 00 00 03 00 07 c0 .......A
0010: 04 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
====================

DNS на КД ничего не разрешает и нужен был только для того, чтобы АД поднять - есть отдельный юниксовый ДНС, этот юниксовый ДНС и указан в качестве предпочитаемого на клиентских машинах, в качестве альтернативного - другой, еще один, юниксовый ДНС :)
Проблема появилась после миграции с 2000 на 2003 сервер. Перетянул АД, сделал глобальным каталогом, забрал роли.

Итак, главный вопрос: почему может выдаваться окно с запросом логина/пароля? Подскажите, пожалуйста... Я не знаю...

C:\Documents and Settings\AdminF>dcdiag

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\CORE
Starting test: Connectivity
......................... CORE passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\CORE
Starting test: Replications
......................... CORE passed test Replications
Starting test: NCSecDesc
......................... CORE passed test NCSecDesc
Starting test: NetLogons
......................... CORE passed test NetLogons
Starting test: Advertising
......................... CORE passed test Advertising
Starting test: KnowsOfRoleHolders
......................... CORE passed test KnowsOfRoleHolders
Starting test: RidManager
......................... CORE passed test RidManager
Starting test: MachineAccount
......................... CORE passed test MachineAccount
Starting test: Services
......................... CORE passed test Services
Starting test: ObjectsReplicated
......................... CORE passed test ObjectsReplicated
Starting test: frssysvol
......................... CORE passed test frssysvol
Starting test: frsevent
......................... CORE passed test frsevent
Starting test: kccevent
......................... CORE passed test kccevent
Starting test: systemlog
......................... CORE passed test systemlog
Starting test: VerifyReferences
......................... CORE passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : faeton
Starting test: CrossRefValidation
......................... faeton passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... faeton passed test CheckSDRefDom

Running enterprise tests on : faeton.ru
Starting test: Intersite
......................... faeton.ru passed test Intersite
Starting test: FsmoCheck
......................... faeton.ru passed test FsmoCheck

C:\Documents and Settings\AdminF>netdiag

.....................................

Computer Name: CORE
DNS Host Name: core.faeton.ru
System info : Microsoft Windows Server 2003 R2 (Build 3790)
Processor : x86 Family 6 Model 23 Stepping 10, GenuineIntel
List of installed hotfixes :
KB923561
KB924667-v2
KB925398_WMP64
KB925902-v2
KB926122
KB927891
KB929123
KB930178
KB932168
KB933854
KB936357
KB936782
KB938127
KB938464-v2
KB941569
KB943055
KB943460
KB944338-v2
KB944653
KB945553
KB946026
KB948496
KB950762
KB950974
KB951066
KB951748
KB952004
KB952069
KB952954
KB954600
KB955069
KB955839
KB956572
KB956802
KB956803
KB957097
KB958469
KB958644
KB958687
KB959426
KB960225
KB960803
KB960859
KB961063
KB961371
KB961371-v2
KB961501
KB967715
KB968537
KB969805
KB970238
KB971032
KB971557
KB971633
KB971657
KB972260
KB972260-IE8
KB972636-IE8
KB973346
KB973354
KB973507
KB973540
KB973815
KB973869
Q147222


Netcard queries test . . . . . . . : Passed
GetStats failed for '¦Ё ьющ ярЁрыыхы№эvщ яюЁЄ'. [ERROR_NOT_SUPPORTED]
[WARNING] The net card '¦шэшяюЁЄ WAN (PPTP)' may not be working because it h
as not received any packets.
[WARNING] The net card '¦шэшяюЁЄ WAN (PPPoE)' may not be working because it
has not received any packets.
[WARNING] The net card '¦шэшяюЁЄ WAN (IP)' may not be working because it has
not received any packets.
GetStats failed for '¦шэшяюЁЄ WAN (L2TP)'. [ERROR_NOT_SUPPORTED]



Per interface results:

Adapter : ¦юфъы¦ўхэшх яю ыюъры№эющ ёхЄш

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : core
IP Address . . . . . . . . : 192.168.0.58
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . :
Dns Servers. . . . . . . . : 192.168.0.58
192.168.0.2


AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Skipped
[WARNING] No gateways defined for this adapter.

NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenge
r Service', <20> 'WINS' names is missing.

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.


Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{806E01B4-2D36-4555-B6C7-508762B0D83A}
1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Failed

[FATAL] NO GATEWAYS ARE REACHABLE.
You have no connectivity to other network segments.
If you configured the IP protocol manually then
you need to add at least one valid gateway.


NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Servi
ce', <03> 'Messenger Service', <20> 'WINS' names defined.


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.0.58
' and other DCs also have some of the names registered.
[WARNING] The DNS entries for this DC cannot be verified right now on DNS
server 192.168.0.2, ERROR_TIMEOUT.


Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{806E01B4-2D36-4555-B6C7-508762B0D83A}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{806E01B4-2D36-4555-B6C7-508762B0D83A}
The browser is bound to 1 NetBt transport.


DC discovery test. . . . . . . . . : Passed


DC list test . . . . . . . . . . . : Passed


Trust relationship test. . . . . . : Skipped


Kerberos test. . . . . . . . . . . : Passed


LDAP test. . . . . . . . . . . . . : Passed


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully


Дык... раньше был 2000 сервер, без форвартинга... Т.е. на самом КД было указан ай пи, маска и днс (свой же ай пи, или 127.0.0.1 - я уже точно не помню) - и все прекрасно работало в течение 5 лет (сервер по-моему за это время даже перезагружался разы:) )... В конца этого лета старый сервер стал умирать, что и вызвало необходимость замены - был установлен 2003 сервер R2, осуществлена миграция и захват ролей... ну и т.д. по программке...

Оох ёёёлки...

192.168.0.2 - это айпи умершего старого КД, с которого и осуществлялась миграция...

Проверяю роли на текущем сервере:

Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

==================
C:\Documents and Settings\AdminF>dsquery server -hasfsmo schema
"CN=CORE,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=faet
on,DC=ru"

C:\Documents and Settings\AdminF>dsquery server -hasfsmo name
"CN=CORE,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=faet
on,DC=ru"

C:\Documents and Settings\AdminF>dsquery server -hasfsmo rid
"CN=CORE,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=faet
on,DC=ru"

C:\Documents and Settings\AdminF>dsquery server -hasfsmo pdc
"CN=CORE,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=faet
on,DC=ru"

C:\Documents and Settings\AdminF>dsquery server -hasfsmo infr
"CN=CORE,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=faet
on,DC=ru"
==================

С ролями все ок. Теперь немного истории. Раньше было два КД:
айпи одного - 192.168.0.2
второго - 192.168.0.3
Оба под 2000 сервером. Один умер. Остался один - тот который 192.168.0.2. Решил поставить совершенно новый КД, с крутым железом, чтобы возложить на него кучу задач. Из дерева старого сервака (192.168.0.2) вычистил все инфу о 192.168.0.3. Поднял новый КД (192.168.0.58), захватил роли, а 192.168.0.2 убрал. Теперь делаю на этом новом серваке (192.168.0.58) nslookup:

==================
C:\Documents and Settings\AdminF>nslookup faeton.ru
Server: core.faeton.ru
Address: 192.168.0.58

Name: faeton.ru
Addresses: 192.168.0.58, 192.168.0.3, 192.168.0.2
==================

Откуда там черт возьми записи еще и о 192.168.0.3? Я конечно новичек в деле администрирования, и может быть чего то не понимаю, но мне кажется что во второй строке Addresses должна быть одна запись и это 192.168.0.58 ???

Ладно, проверим действительно ли захвачены ли роли, запускаем ntdsutil


==================
C:\Documents and Settings\AdminF>ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server core
Привязка к core ...
Подключен к core с помощью учетных данных локального пользователя.
server connections: q
fsmo maintenance: ?
fsmo maintenance: seize domain naming master
Попытка безопасной передачи domain naming FSMO перед захватом.
Успешная передача FSMO - захват не требуется.

fsmo maintenance: seize infrastructure master
Попытка безопасной передачи infrastructure FSMO перед захватом.
Успешная передача FSMO - захват не требуется.

fsmo maintenance: seize pdc
Попытка безопасной передачи PDC FSMO перед захватом.
Успешная передача FSMO - захват не требуется.

fsmo maintenance: seize rid master
Выбранный сервер уже является владельцем роли RID

fsmo maintenance: seize schema master
Попытка безопасной передачи schema FSMO перед захватом.
Ошибка ldap_modify_sW, код ошибки 0x32(50 (Недостаточные права).
Расширенное сообщение об ошибке LDAP 00002098: SecErr: DSID-03151D7D, problem 40
03 (INSUFF_ACCESS_RIGHTS), data 0

Возвращенная ошибка Win32 0x2098(Для выполнения операции права недостаточны.)
)
В зависимости от кода ошибки это может быть
ошибка подключения, LDAP или передачи роли.
Не удалось передать schema FSMO, выполняется захват...
При выполнении функции ldap_modify для SD произошла ошибка 0x32(50 (Недостаточны
е права).
Расширенное сообщение об ошибке LDAP 00000005: SecErr: DSID-03151E04, problem 40
03 (INSUFF_ACCESS_RIGHTS), data 0

Возвращенная ошибка Win32 0x5(Отказано в доступе.)
)
fsmo maintenance:
==================

Эээм? Вопрос, так и должно быть или косяк? Я имею ввиду попыткку захвата schema master... Ведь:
Серверу "core" известно о 5 ролях
Схема - CN=NTDS Settings,CN=CORE,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=faeton,DC=ru
Домен - CN=NTDS Settings,CN=CORE,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=faeton,DC=ru
PDC - CN=NTDS Settings,CN=CORE,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=faeton,DC=ru
RID - CN=NTDS Settings,CN=CORE,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=faeton,DC=ru
Инфраструктура - CN=NTDS Settings,CN=CORE,CN=Servers,CN=Default-First-Site-Name,
CN=Sites,CN=Configuration,DC=faeton,DC=ru


И что конкретно сказать про ДНС...?

Sergey OrlovУбрать 192.168.0.2 из настроек TCP/IP у КД, также прочистить DNS и убить все упоминания об этом адресе как впрямых так и в обратных зонах.

Убить тупо удалением или нужно еще будет консолькой поработать? как например сказано тут:
http://support.microsoft.com/kb/216498

Да, действительно в зоне прямого просмотра есть записи "(как папка верхнего уровня)" типа А... сам не знаю, как не углядел...

В TCP/IP айпишник убрал сразу, как вытащил старый КД. Сейчас почищу DNS - посмотрим завтра что будет...

Sergey OrlovПерегрузить КД , убить в AD старый КД, он у тебя имеется в дереве

Имеется только в ветке "computers"...

aleks2>>почему может выдаваться окно с запросом логина/пароля
Не имея связи c КД, клиент авторизуется по NTLM при подключении к ЛЮБОМУ компутеру домена, и каждый раз заново. А компутер, к которому подключаются, тоже не имеет связи с КД, и не могет авторизовать доменную учетку => выдает запрос на имя/пароль.

И настройка ДНС на виндовом серваке решит проблему запроса учеток?
Но тогда объясните мне КАК?!?! работало до этого? Также были два юникса (ДНСы), также не было форвартинга, также юниксовые ДНСы прописаны были как альтернативный и предпочитаемый ДНС... С того момента изменился только сервер, на который были перетянуто АД. Установлен сервис ДНС, SRV записи в котором прописались автоматически при понижении роли старого КД...

Пересылку настроил.
Инет есть, почта уходит, НО!:

=============
fsmo maintenance: seize schema master
Попытка безопасной передачи schema FSMO перед захватом.
Ошибка ldap_modify_sW, код ошибки 0x32(50 (Недостаточные права).
Расширенное сообщение об ошибке LDAP 00002098: SecErr: DSID-03151D7D, problem 40
03 (INSUFF_ACCESS_RIGHTS), data 0

Возвращенная ошибка Win32 0x2098(Для выполнения операции права недостаточны.)
)
В зависимости от кода ошибки это может быть
ошибка подключения, LDAP или передачи роли.
Не удалось передать schema FSMO, выполняется захват...
При выполнении функции ldap_modify для SD произошла ошибка 0x32(50 (Недостаточны
е права).
Расширенное сообщение об ошибке LDAP 00000005: SecErr: DSID-03151E04, problem 40
03 (INSUFF_ACCESS_RIGHTS), data 0

Возвращенная ошибка Win32 0x5(Отказано в доступе.)
)
=============

Это сохранилось... Я не знаю, в том то и дело, должно быть так или нет. По аналогии с 4 другими ролями - я думал, что напишет "захват не требуется"... Подскажите тут пожалуйста...

ДНС вычистил. nslookup теперь показывает:

==============
C:\Documents and Settings\AdminF>nslookup faeton.ru
Server: core.faeton.ru
Address: 192.168.0.58

Name: faeton.ru
Addresses: 192.168.0.58
==============

Еще хочу сказать, по поводу ДНС. До указания IP КД на клиентских машинах в качестве предпочитаемого ДНС, отзыв от КД был следующего характера:
Если в АД отключить учетку - выдавало на клиенте ошибку, что учетная запись отключена. Если учетку включить - все ок, хотя тогда не был указан в качестве предпочитаемого ДНС IP КД, а было, как я говорил, юниксовая схема.

В общем все заработало =)

Политики применяются для всех компов, сетевые диски видны, принтеры тоже.
Что я сделал?
Указал, как вы и посоветовали, в качестве предпочитаемого ДНС IP КД (в качестве альтернативного остался юникс - с него и ползем в инет). Пересылку с него убрал, подождал 5 минут, перезагрузил парочку машин - политики пошли - это было вчера, после того, как я последний раз тут отписался.
Сегодня утром жалоб на принтеры уже не поступало, логин/пароль на тачках не запрашивало, сетевые диски было видно. Что ж, посмотрю как будет в течение недели. Правда есть одно но:

Я поставил политику вчера на запуск программы при входе в систему - это чтобы быстро определить, начали ли применяться политики после указания ДНС. Потом, когда убедился, что все ок, я эту политику убрал с КД. Но сегодня утром программа все равно запустилась... О_о

Не подскажите?

И по поводу получения роли мастера схемы...?

Домен faeton.ru, который у нас, - не виден из инета и, собсно, самого инета на КД нету... в этом случае могут быть какие то проблемы с настоящим доменом faeton.ru?

Кстати по поводу роли - да, в администраторах схемы моя учетка, под которой пытаюсь повторно получить роль, есть.

Проверил все еще раз ntdsutil, Adsiedit и просмотрел дерево АД - вроде никаких упоминаний о старом КД не осталось... бэлин...

И по поводу политик?:) перезагрузившись политика на запуск проги не применилась повторно...

Я так понимаю, вы предлагаете переименовать домен в faeton.local?