Версия для печати темы

Автор: WER Среда, 29 Июня 2011, 9:43

Здравствуйте.

Имею Win Serv 2003 с ролями DC DNC. Четыре сетевых интерфейса - два в мир два в локалку.
Журнал событий забивается ошибкой:

Тип события: Ошибка
Источник события: Kerberos
Категория события: Отсутствует
Код события: 3
Дата: 29.06.2011
Время: 9:17:15
Пользователь: Н/Д
Компьютер: NEWGATE
Описание:
Получено сообщение об ошибке Kerberos:
в сеансе входа в систему
Время клиента:
Время сервера: 6:17:15.0000 6/29/2011 Z
Код ошибки: 0xd KDC_ERR_BADOPTION
Расширенная ошибка: 0xc00000bb KLIN(0)
Сфера клиента:
Имя клиента:
Сфера сервера: LOCAL.COM.UA
Имя сервера: host/newgate.local.com.ua
Конечное имя: host/newgate.local.com.ua@local.COM.UA
Текст ошибки:
Файл: 9
Строка: b22
Данные ошибки в данных записи.
Дополнительные сведения можно найти в центре справки и поддержки,
в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 30 15 a1 03 02 01 03 a2 0.¡....¢
0008: 0e 04 0c bb 00 00 c0 00 ...»..À.
0010: 00 00 00 03 00 00 00 .......

ошибки отличаются только в "Конечное имя: ......../newgate.local.com.ua@local.COM.UA

Пытался что то нагуглить но без особого успеха.
Если кто знает , что это за напасть помогите плз!

Зарание благодарен.

Автор: Egor Понедельник, 04 Июля 2011, 14:01

Круто. Сие обуславливается производственной необходимостью? Меня, в основном, интересует не две "внешние" карточки, а две "внутренние". Т.е. у Вас су шествует две локальные подсети, в роли рутера выступает DC + два внешних провайдера? Так?
Уважаемый, будьте добры предоставить хотя-бы минимальное описание своей сети (топологию). Соответственно, очень желательно, ipconfig /all + route print с этого самого "сервера с четырьмя интерфейсами"... Как-то так.

Автор: WER Понедельник, 04 Июля 2011, 21:34

Здравствуйте.
Благодарю за желание помочь

Две сетевые в мир - переподключение при отказе
Внутренние:
1) - сеть предприятия - доступ в инет ограничен и порезаны сервисы + для этой сети постоянный доступ в центральный офис (VPN)
2) - сетка для гостей - полный доступ в инет + отрезан доступ к сети предприятия.

Настройка протокола IP для Windows



Имя компьютера . . . . . . . . . : NEWGATE
Основной DNS-суффикс . . . . . . : local.com.ua
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : local.com.ua
com.ua

new-net-n - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel® PRO/1000 MT Desktop Adapter
Физический адрес. . . . . . . . . : 00-07-E9-0C-55-48
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.10.121.174
Маска подсети . . . . . . . . . . : 255.255.255.240
Основной шлюз . . . . . . . . . . : 91.196.121.161
DNS-серверы . . . . . . . . . . . : 10.10.210.3
10.10.210.1

local-n - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 20-CF-30-ED-D4-74
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.7.101
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.7.101

datacom-n - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel® Gigabit CT Desktop Adapter #2
Физический адрес. . . . . . . . . : 00-1B-21-94-B4-07
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 11.11.171.27
Маска подсети . . . . . . . . . . : 255.255.255.248
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 11.11.160.3
11.11.160.1

w-lan-n - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel® Gigabit CT Desktop Adapter
Физический адрес. . . . . . . . . : 00-1B-21-94-B4-0A
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.3.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.3.2

Kerio Virtual Network - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio Virtual Network Adapter
Физический адрес. . . . . . . . . : 44-45-53-54-4F-53
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.15.13
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : 172.27.152.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 172.27.152.2
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 4 июля 2011 г. 13:51:01
Аренда истекает . . . . . . . . . : 5 июля 2011 г. 13:51:01

если есть еще вопросы отвечу

Автор: Egor Вторник, 05 Июля 2011, 14:11

Ух... Вот это бардак в сети. Начнем вот с этого:

У Вас, в идеале, должен быть - гибридный. Читаем, почему
http://wiki.compowiki.info/TipUzla
http://www.oszone.net/1823/
http://support.microsoft.com/kb/160177/ru
Второе:

Я не зря спрашивал о топологии сети. У Вас есть основной домен и дочерний? Чем обусловлены два суффикса? Сам DC какое доменное имя "держит"?
Немного теории. Предположим, что ваш DC основной и единственный. Сетевые интерфейсы, ему, требуются только для того, чтобы, посредством их, он смог управлять клиентскими компьютерами. Все. И если их все отключить, DC должен оставаться самодостаточным. Т.е. работает фраза - "я единственный и неповторимый, и никто мне не нужен". Даже, если он обрабатывает дочернюю зону, все равно, обрабатывать он должен только ее одну. Ни о каких двойных, тройных или еще каких суффиксах не может быть и речи. Это DC - этим все сказано.
Теперь с сетевыми интерфейсами. Есть два "внутренних" и два "внешних". Надеюсь, что внутренние интерфейсы расположены "выше" внешних в "дополнительных параметрах"?
Поскольку, сам DC управляет компьютерами "внутренней" сети, соответственно его DNS должен обрабатывать ТОЛЬКО запросы из внутренней сети (оснастка DNS - имя сервера - свойства - интерфейсы - только по указанным IP-адресам - отметить крыжиками только внутренние интерфейсы).
Теперь, по внешним интерфейсам. Насколько понимаю, у Вас установлена сборка системы не SBS. Т.е. установленную систему желательно не использовать в режиме шлюза. Исходим из того, что есть и пытаемся исправить.
1. Убираем из настроек внешних интерфейсов всякое упоминание о DNS. Иначе, DC начнет пытаться синхронизироваться с этими контроллерами, что не правильно.
2. НО запросы должны пересылаться на вышестоящие DNS. Значит - оснастка DNS - имя сервера - свойства - пересылка - указать эти DNS.
3. DC не знает какой вышестоящий DNS сопоставлять какому внешнему интерфейсу. Добавляем четыре постоянных точечных маршрута:
route add -p 10.10.210.3 mask 255.255.255.255 10.10.121.174
route add -p 10.10.210.1 mask 255.255.255.255 10.10.121.174
соответственно, для второй карточки
route add -p 11.11.160.3 mask 255.255.255.255 11.11.171.27
route add -p 11.11.160.1 mask 255.255.255.255 11.11.171.27
так... стоп... Почему IP внешней карточки и шлюз из разных сетей? Будьте добры объяснить. Так-же, очень-бы хотелось услышать об этом интерфейсе

Что это? VPN-соединение клиент-сервер или сервер-сервер и для чего он используется? И очень-бы хотелось увидеть route print.

Автор: WER Понедельник, 22 Августа 2011, 20:16

Сори что пропал были проблемы ;(

С типом узла разобрался.
По поводу шлюза - просто не хотел светить белыми IP
Внутренние интерфейсы стоят первыми (статью на сайте читал)
DNS переделал (чють не обделался - объект удаленный)
Kerio Virtual Network - Ethernet адаптер: - подключение сервер-сервер для объединения двух контор, собственно с него (с момента его установлени) и началась эта бодяга

Порядок просмотра суффиксов DNS . : local.com.ua
com.ua - че с этим делать? Внутрений домен local.com.ua, откуда com.ua лезет?

Блин через час почта перестала ходить на севак с которым установлено постоянное соединение :
Отправка по MX-ам. Nslookup-ы проходят и прямой и обратный, выдает IP и имена внутренней сети офиса.
Короче вернул все назад

Автор: Egor Среда, 31 Августа 2011, 11:12

Выдайте route print с обоих серверов.