[alexsimm]

Началось всё с того, что при установке сабна на юниксе я забыл в настройках указать что он не будет контроллером домена, в результате контроллер домена в2к почти упал.
А именно, не отображался список пользователей контроллера домена, хотя все в сеть входитьмогли и работали.
После восстановления из бекапа обнаружил, что АД не смог восстановиться, сказало мне что он запущен, хотя восстановление производил правильно. загружался в режим восстановления АД.

После восстановления АД список пользователей я смог получать, на первый взгляд всё вроде ьы ок, но перестало работать получение политик с АД.
То есть юзер логониться всеть, а загрузка политик с сервера не работает.
Но у контроллера домена в логах всё ок, загрузка политик происходит нормально.
Security policy in the Group policy objects are applied successfully.
Вот лог ошибок у клиента:
Userenv
1058
NT AUTHORITY\SYSTEM
Описание
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=office,DC=local. Этот файл должен находиться в <\\office.local\sysvol\office.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа. ). Обработка групповой политики прекращена.

Userenv
1030
AUTHORITY\SYSTEM
Описание
Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.

Где копать, что делать? Помогите


Сообщение отредактировал alexsimm - Среда, 23 Января 2008, 2:37

[Egor]

А на EventID по номеру ошибки сходить - не судьба?

[alexsimm]

Да сходил, только ничего путнего там не написали. Вроде проверил всё по тем рекомендациям. Нифига.

[alexsimm]

Ещё один момент:
если я с рабочей станции захожу на сервер по ссылке \\имя_сервера_домена
то во все шары могу попасть
но если я зайду по ссылке \\имя_домена
я шары увижу, но никуда не даёт доступ

А если это проделать на самом контроллере домена. то всё ок. Везде и по всякому есть доступы.

[alexsimm]

Ещё один момент
На одном из серваков, которые находится в этом домене, обновление политик через каждые 17 часов (примерно) происходит нормально). В другое время не обновляются.
Чтобы это могло значить?!

[Egor]

Круто, месяц молчания и... ответ. Ничего, если я рекомендации через пол-года выдам?

ЗЫ Вы не из Эстонии, случаем?

ЗЫЫ Ошибки-то, в принцыпе стандартные и бороться с ними... в большинстве случаев, достаточно дать все права на папку SYSVOL для всех... система сама изменит все "как надо" при перезагрузке. Возникает элементарный вопрос:

Вроде проверил всё по тем рекомендациям.

А что, конкретно проверял/делал?

[alexsimm]

ЗЫЫ Ошибки-то, в принцыпе стандартные и бороться с ними... в большинстве случаев, достаточно дать все права на папку SYSVOL для всех... система сама изменит все "как надо" при перезагрузке. Возникает элементарный вопрос:

А вы внимательно читали то что я написал?
Доступы есть все которые были.
Подсказка, как иписал выше:
если я с рабочей станции захожу на сервер по ссылке \\имя_сервера_домена
то во все шары могу попасть
но если я зайду по ссылке \\имя_домена
я шары увижу, но никуда не даёт доступ

Где копать. явно пермишины есть на папку. Тут где то в другом месте собака зарыта.

[Egor]

А вы внимательно читали то что я написал?

А Вы?

Доступы есть все которые были.

Будте добры, перечислети.

ЗЫ \\имя_сервера_домена # \\имя_домена - обратная зона существует?

Сообщение отредактировал Egor - Пятница, 14 Марта 2008, 2:17

[alexsimm]

на сисвол папочку
Щаринг пермишин такой:
администраторы домена - все доступы
авторизованные пользователи- все доступы
все - только чтение

секьюрити
администраторы домена - все доступы
операторы сервера и авторизованные пользователи- чтение и выполнение, просмотр папок, чтение
криатор оунер - пусто
систем - всё

[alexsimm]

Надо понять, что могло произойти при подключении к сети самбы контроллера домена.
Именно после этого начались проблемы

[Egor]

в большинстве случаев, достаточно дать все права на папку SYSVOL для всех

Имелось ввиду Everyone.

секьюрити
администраторы домена - все доступы
операторы сервера и авторизованные пользователи- чтение и выполнение, просмотр папок, чтение
криатор оунер - пусто
систем - всё

Everyone не присутствуют вообще

администраторы домена - все доступы
авторизованные пользователи- все доступы
все - только чтение

[alexsimm]

Everyone не присутствуют вообще

А евриван и не должнобыть вообще.

Подумаем логически:
если мы попадаем в папочку по сети, значит доступы нужные есть,а вот почему мы не можем попасть, если зайдём на сервере по имени домена???
Тут уже что-то другое надо смотреть

[alexsimm]

На тестовом контроллере домена в2к3, в который я переделал из в2к, после загрузки системы и логона на этом же контроллере домена, в течении первых 20 сек доступ есть, потом обрубается.
странно

[Egor]

Надо понять, что могло произойти при подключении к сети самбы контроллера домена.
Именно после этого начались проблемы

Самба стал основным обозревателем сети.

[alexsimm]

Цитата(alexsimm @ Пятница, 14 Марта 2008, 10:29)
Надо понять, что могло произойти при подключении к сети самбы контроллера домена.
Именно после этого начались проблемы

Самба стал основным обозревателем сети.

Дык что делать то? Как лечить контроллер домена?

[mpa]

меня умиляют ваши темпы

[alexsimm]

меня умиляют ваши темпы 

Лучше бы что путнего сказали

[mpa]

Да сходил, только ничего путнего там не написали. Вроде проверил всё по тем рекомендациям. Нифига.

тут по-моему вкралась какая-то ошибка. Я по EventID многие проблемы порешал.

[alexsimm]

тут по-моему вкралась какая-то ошибка. Я по EventID многие проблемы порешал.

Где же эта ошибка ?!

[mpa]

Тут вот много чего советуют
Что именно из описанных советов уже проделано ?