Версия для печати темы

Автор: alexsimm Среда, 23 Января 2008, 2:24

Началось всё с того, что при установке сабна на юниксе я забыл в настройках указать что он не будет контроллером домена, в результате контроллер домена в2к почти упал.
А именно, не отображался список пользователей контроллера домена, хотя все в сеть входитьмогли и работали.
После восстановления из бекапа обнаружил, что АД не смог восстановиться, сказало мне что он запущен, хотя восстановление производил правильно. загружался в режим восстановления АД.

После восстановления АД список пользователей я смог получать, на первый взгляд всё вроде ьы ок, но перестало работать получение политик с АД.
То есть юзер логониться всеть, а загрузка политик с сервера не работает.
Но у контроллера домена в логах всё ок, загрузка политик происходит нормально.
Security policy in the Group policy objects are applied successfully.
Вот лог ошибок у клиента:
Userenv
1058
NT AUTHORITY\SYSTEM
Описание
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=office,DC=local. Этот файл должен находиться в <\\office.local\sysvol\office.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа. ). Обработка групповой политики прекращена.

Userenv
1030
AUTHORITY\SYSTEM
Описание
Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.

Где копать, что делать? Помогите

Автор: Egor Среда, 23 Января 2008, 20:28

А на EventID по номеру ошибки сходить - не судьба?

Автор: alexsimm Четверг, 21 Февраля 2008, 4:26

Да сходил, только ничего путнего там не написали. Вроде проверил всё по тем рекомендациям. Нифига.

Автор: alexsimm Четверг, 21 Февраля 2008, 6:36

Ещё один момент:
если я с рабочей станции захожу на сервер по ссылке \\имя_сервера_домена
то во все шары могу попасть
но если я зайду по ссылке \\имя_домена
я шары увижу, но никуда не даёт доступ

А если это проделать на самом контроллере домена. то всё ок. Везде и по всякому есть доступы.

Автор: alexsimm Четверг, 13 Марта 2008, 1:20

Ещё один момент
На одном из серваков, которые находится в этом домене, обновление политик через каждые 17 часов (примерно) происходит нормально). В другое время не обновляются.
Чтобы это могло значить?!

Автор: Egor Пятница, 14 Марта 2008, 0:22

Круто, месяц молчания и... ответ. Ничего, если я рекомендации через пол-года выдам?

ЗЫ Вы не из Эстонии, случаем?

ЗЫЫ Ошибки-то, в принцыпе стандартные и бороться с ними... в большинстве случаев, достаточно дать все права на папку SYSVOL для всех... система сама изменит все "как надо" при перезагрузке. Возникает элементарный вопрос:

А что, конкретно проверял/делал?

Автор: alexsimm Пятница, 14 Марта 2008, 1:20

А вы внимательно читали то что я написал?
Доступы есть все которые были.
Подсказка, как иписал выше:
если я с рабочей станции захожу на сервер по ссылке \\имя_сервера_домена
то во все шары могу попасть
но если я зайду по ссылке \\имя_домена
я шары увижу, но никуда не даёт доступ

Где копать. явно пермишины есть на папку. Тут где то в другом месте собака зарыта.

Автор: Egor Пятница, 14 Марта 2008, 2:03

А Вы?

Будте добры, перечислети.

ЗЫ \\имя_сервера_домена # \\имя_домена - обратная зона существует?

Автор: alexsimm Пятница, 14 Марта 2008, 10:05

на сисвол папочку
Щаринг пермишин такой:
администраторы домена - все доступы
авторизованные пользователи- все доступы
все - только чтение

секьюрити
администраторы домена - все доступы
операторы сервера и авторизованные пользователи- чтение и выполнение, просмотр папок, чтение
криатор оунер - пусто
систем - всё

Автор: alexsimm Пятница, 14 Марта 2008, 10:29

Надо понять, что могло произойти при подключении к сети самбы контроллера домена.
Именно после этого начались проблемы

Автор: Egor Пятница, 14 Марта 2008, 15:33

Имелось ввиду Everyone.

Everyone не присутствуют вообще

Автор: alexsimm Воскресенье, 16 Марта 2008, 13:21

А евриван и не должнобыть вообще.

Подумаем логически:
если мы попадаем в папочку по сети, значит доступы нужные есть,а вот почему мы не можем попасть, если зайдём на сервере по имени домена???
Тут уже что-то другое надо смотреть

Автор: alexsimm Понедельник, 31 Марта 2008, 2:57

На тестовом контроллере домена в2к3, в который я переделал из в2к, после загрузки системы и логона на этом же контроллере домена, в течении первых 20 сек доступ есть, потом обрубается.
странно

Автор: Egor Понедельник, 31 Марта 2008, 19:17

Самба стал основным обозревателем сети.

Автор: alexsimm Воскресенье, 20 Апреля 2008, 16:58

Дык что делать то? Как лечить контроллер домена?

Автор: mpa Воскресенье, 20 Апреля 2008, 21:29

меня умиляют ваши темпы

Автор: alexsimm Вторник, 22 Апреля 2008, 1:47

Лучше бы что путнего сказали

Автор: mpa Вторник, 22 Апреля 2008, 19:27

тут по-моему вкралась какая-то ошибка. Я по EventID многие проблемы порешал.

Автор: alexsimm Среда, 23 Апреля 2008, 1:38

Где же эта ошибка ?!

Автор: mpa Среда, 23 Апреля 2008, 23:50

http://eventid.net/display.asp?eventid=1058&eventno=1752&source=Userenv&phase=1
Что именно из описанных советов уже проделано ?