На домене, в отдельной OU заведены пользователи для терминального доступа к серверу на моей стороне. Логины присылаются централизовано, как и пароли для этих юзеров - никакой самодеятельности. Схема отлажена и работает стабильно уже не один год, никто не жалуется.

Вчера обнаружилась проблема с одним из пользователей - не может пройти авторизацию на сервере, получает сообщение о том, что неверно указаны пароль, логин или имя домена. Я попробовал со своей стороны залогиниться с реквизитами этого пользователя - получилось, но нужная корпоративная программа (привязана так же к доменным учеткам и авторизации SQL Server) не загружает клиентскую часть, а молча закрывается после splashscreen'a.

Я прибил на контроллере учетку этого пользователя и завел новую со старыми реквизитами - та же песня - с удаленки не заходит, с моей стороны заходит, но программа не загружается. В ночь перезагрузил все сервера, включая КД. Ничего не изменилось. Я снова прибил учетку пользователя и создал ее заново, но к имени логина добавил еще один символ, а также внес соответствующие коррективы в корпоративную программу (у старой учетки тупо добавил один лишний символ к логину). ВСЕ ЗАРАБОТАЛО КАК НАДО!

Вернул все на место (в AD у новой учетки убрал лишний символ, внес коррективы в программу) и все стало опять работать как раньше, т.е. ни хрена не как надо.

Однозначно это проблема, где-то на уровне КД/AD, его безопасности (дубликатов SID'ов?), а может чего еще, но я уже не знаю, поэтому прошу совета, где еще что посмотреть, подкрутить?

PS. В логин входят только буквы и цифры латинского алфавита, никаких национальных символов 100% нет. КД: Windows Server 2003 Standart + все заплатки и хотфиксы с сервис паками установлены. На нем заведены уйма учеток аналогичного свойства - никаких проблем нет. Связка работает нормально уже несколько лет! В логах на серваках, включая КД, все шоколадно.

СПАСИБО!
--------------------------------------------------------------
o(O_O)o

Anatoly PodgoretskyТы сам то пробовал залогиниться не со своей стороны, а не со слов пользователя
Как я это сделаю, они от меня далеко за шлюзами, маршрутизаторами и файрволами. Сэмулировать ситуацию я могу только от себя. Но даже, если там криворукие админы и пользователь, почему не пашет программа для этого конкретного логина?

rahzerНа клиентской машине логи смотрели системных\сетевых\безопасности журналов? Там наверняка что-то есть..Как вариант на серваке тоже события глянуть. Настройки сети на клиенте? Синхронизация с КД? Ну если опять же на другой машине под клиентом входите, но дальше дело не идет..странно, может еще какие привязки есть?
Клиент далеко, доступа к его машине у меня никогда не было и не будет, там свои рулители есть. Вчера общался с ихним админом, там тоже все в непонятках, как такое может быть. Сначала думал на сервер лицензий терминала (активирован, кол-во лицензий - хоть соли), но повторяю - в логах на моей стороне, включая КД, сервер терминалов, сервер приложения - все чисто и красиво. Проблема конкретно с этим логином и только с ним.

Если я запускаю программу на самом серваке приложений от имени той учетки через runas, то программа не вылетает, но и дальше сплэша не идет, зависая в бесконечном цикле - одно из ядер загружено на всю катушку. Ждал минут 20 - без результатно. ProcMon ничего интересного в этот момент не показывает.

Anatoly PodgoretskyИ для начала надо заняться связью с компьюером, хотя бы через "удаленый помощник" Виндоус, не говоря уже о других средствах, которые могут работать глубоко из локалки, у него же наверно выход в Интернет есть?
На их стороне есть свои админы, фактически мои начальники, вот пускай и разгребают. Хоть комп и входит в общую глобально-локальную сеть :), но паролей от их машин у меня нет и никогда не было, а этот логин/пароль это вообще отдельная вещь в себе, предназначенная только для удаленки с их стороны.

Выйду с предложением переименовать логин для пользователя, т.к. других вариантов у меня нет.

Anatoly PodgoretskyТак рано или поздно, таже проблема будет с любым логином.
За шесть лет это первый глюк такого плана, всему остальному всегда находились (и находятся) логичные объяснение. У нас скоро грядут такие глобальные изменения, что я уже даже сомневаюсь, что у меня останутся админские полномочия...

Sergey OrlovА в голове не было мыслей типа такой ресурс уже есть, поскольку при переименовании все работает, и надо его попытаться найти в дереве...
ты про Find в AD или что-то другое, я не понял ни фига...
Если первое, то такой логин есть только у одной учетки.

Разобрался.

С логином, видимо, тупили сами залогинивающиеся (у меня с их реквизитами все работало), а вот с программой все оказалось не так просто. Я полагаю, что проблема возникла после какого-нибудь установленного хотфикса безопасности, накладывающего допольнительные ограничения и/или залатывающие старые дыры (на сервере для этой группы пользователей действуют ограничения GPO на доступ к локальным дискам). Короче, я дал права на папку с программой для группы, в которую входят пользователи терминала - и все теперь загружается и работает.

Почему тогда вопрос возник именно сейчас (последние обновления для Server 2003 выходили месяц назад!) и никто больше не обращался? Значит так работают , что я могу еще сказать...

Всем спасибо!