Блокируются учетные записи

[Ejik]

Добрый день!!!

Такая проблема периодически блокируется 2 учетки, как проверить в чем проблема.

DC-2, 1-win 2008 он же является хозяином всех FSMO + GC. 2-win 2003. при блокировке юзера на 2 домене можно разблокировать, а на 1 не видно что данный юзер заблокирован. И влогах постоянно 3 ошибки создаются 5719, 5805 и 5723.

Вот логи

Log Name:	  SystemSource:		NETLOGONDate:		  09.11.2009 15:26:24Event ID:	  5719Task Category: NoneLevel:		 ErrorKeywords:	  ClassicUser:		  N/AComputer:	  cap-dc-01.npfcapital.kzDescription:This computer was not able to set up a secure session with a domain controller in domain BANK due to the following: There are currently no logon servers available to service the logon request. This may lead to authentication problems. Make sure that this computer is connected to the network. If the problem persists, please contact your domain administrator.  ADDITIONAL INFO If this computer is a domain controller for the specified domain, it sets up the secure session to the primary domain controller emulator in the specified domain. Otherwise, this computer sets up the secure session to any domain controller in the specified domain.Event Xml:<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System><Provider Name="NETLOGON" /><EventID Qualifiers="0">5719</EventID><Level>2</Level><Task>0</Task><Keywords>0x80000000000000</Keywords><TimeCreated SystemTime="2009-11-09T09:26:24.000Z" /><EventRecordID>49036</EventRecordID><Channel>System</Channel><Computer>cap-dc-01.npfcapital.kz</Computer><Security /> </System> <EventData><Data>BANK</Data><Data>%%1311</Data><Binary>5E0000C0</Binary> </EventData></Event>

Log Name:	  SystemSource:		NETLOGONDate:		  09.11.2009 13:55:30Event ID:	  5805Task Category: NoneLevel:		 ErrorKeywords:	  ClassicUser:		  N/AComputer:	  cap-dc-01.npfcapital.kzDescription:The session setup from the computer DB failed to authenticate. The following error occurred: Access is denied.Event Xml:<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System><Provider Name="NETLOGON" /><EventID Qualifiers="0">5805</EventID><Level>2</Level><Task>0</Task><Keywords>0x80000000000000</Keywords><TimeCreated SystemTime="2009-11-09T07:55:30.000Z" /><EventRecordID>49012</EventRecordID><Channel>System</Channel><Computer>cap-dc-01.npfcapital.kz</Computer><Security /> </System> <EventData><Data>DB</Data><Data>%%5</Data><Binary>220000C0</Binary> </EventData></Event>

Log Name:	  SystemSource:		NETLOGONDate:		  09.11.2009 13:43:36Event ID:	  5723Task Category: NoneLevel:		 ErrorKeywords:	  ClassicUser:		  N/AComputer:	  cap-dc-01.npfcapital.kzDescription:The session setup from computer 'DB' failed because the security database does not contain a trust account 'DB$' referenced by the specified computer.  USER ACTION  If this is the first occurrence of this event for the specified computer and account, this may be a transient issue that doesn't require any action at this time. Otherwise, the following steps may be taken to resolve this problem:  If 'DB$' is a legitimate machine account for the computer 'DB', then 'DB' should be rejoined to the domain.  If 'DB$' is a legitimate interdomain trust account, then the trust should be recreated.  Otherwise, assuming that 'DB$' is not a legitimate account, the following action should be taken on 'DB':  If 'DB' is a Domain Controller, then the trust associated with 'DB$' should be deleted.  If 'DB' is not a Domain Controller, it should be disjoined from the domain.Event Xml:<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System><Provider Name="NETLOGON" /><EventID Qualifiers="0">5723</EventID><Level>2</Level><Task>0</Task><Keywords>0x80000000000000</Keywords><TimeCreated SystemTime="2009-11-09T07:43:36.000Z" /><EventRecordID>49009</EventRecordID><Channel>System</Channel><Computer>cap-dc-01.npfcapital.kz</Computer><Security /> </System> <EventData><Data>DB</Data><Data>DB$</Data><Binary>8B0100C0</Binary> </EventData></Event>

[Timba]

Ejik

Такая проблема периодически блокируется 2 учетки, как проверить в чем проблема.

DC-2, 1-win 2008 он же является хозяином всех FSMO + GC. 2-win 2003. при блокировке юзера на 2 домене можно разблокировать, а на 1 не видно что данный юзер заблокирован. И влогах постоянно 3 ошибки создаются 5719, 5805 и 5723.

Так у вас один домен или два? Если один, то нормально ли проходит репликация AD между DC? И в каком режиме работает домен? У вас же разные сервера. Должен работать в режиме совместимости с 2003. Блокируется учетка, когда пользователь с одной и той же станции входит? Или с других станций тоже блокируется? Если с блокируется когда он входит с конкретной, то может быть дело и в самой станции. Когда она некорректно взаимодействует с AD. В этом случае может помочь выведение станции из домена и присоединение заново.

Все же нужно больше информации предоставлять, если хотите получить точный ответ.

[Ejik]

Два домена, репликация походит без ошибок. Вот в каком режиме работает домен не помню, как можно посмотреть?

Пользователи выходят каждый со своей машины. Машину из домена выводил и снова вводил, но это не помогло.

[Maikll]

Два домена в пределах одного леса с трастами между ними?

dcdiag с обоих в студию.

Машину из домена выводил и снова вводил, но это не помогло.

Т.е. я понимаю это так, что проблема только на этой конкретной машине? В логах на ней что?

[Ejik]

Два домена в пределах одного леса с трастами между ними?

Да.

Вот dcdiag с CAP-DC-01 Win 2008

C:\Users\viktor>dcdiagDirectory Server DiagnosisPerforming initial setup:  Trying to find home server...  Home Server = cap-dc-01  * Identified AD Forest.  Done gathering initial info.Doing initial required tests  Testing server: Default-First-Site\CAP-DC-01  Starting test: Connectivity	 ......................... CAP-DC-01 passed test ConnectivityDoing primary tests  Testing server: Default-First-Site\CAP-DC-01  Starting test: Advertising	 ......................... CAP-DC-01 passed test Advertising  Starting test: FrsEvent	 ......................... CAP-DC-01 passed test FrsEvent  Starting test: DFSREvent	 ......................... CAP-DC-01 passed test DFSREvent  Starting test: SysVolCheck	 ......................... CAP-DC-01 passed test SysVolCheck  Starting test: KccEvent	 ......................... CAP-DC-01 passed test KccEvent  Starting test: KnowsOfRoleHolders	 ......................... CAP-DC-01 passed test KnowsOfRoleHolders  Starting test: MachineAccount	 ......................... CAP-DC-01 passed test MachineAccount  Starting test: NCSecDesc	 ......................... CAP-DC-01 passed test NCSecDesc  Starting test: NetLogons	 ......................... CAP-DC-01 passed test NetLogons  Starting test: ObjectsReplicated	 ......................... CAP-DC-01 passed test ObjectsReplicated  Starting test: Replications	 ......................... CAP-DC-01 passed test Replications  Starting test: RidManager	 ......................... CAP-DC-01 passed test RidManager  Starting test: Services	 ......................... CAP-DC-01 passed test Services  Starting test: SystemLog	 ......................... CAP-DC-01 failed test SystemLog  Starting test: VerifyReferences	 ......................... CAP-DC-01 passed test VerifyReferences  Running partition tests on : Schema  Starting test: CheckSDRefDom	 ......................... Schema passed test CheckSDRefDom  Starting test: CrossRefValidation	 ......................... Schema passed test CrossRefValidation  Running partition tests on : Configuration  Starting test: CheckSDRefDom	 ......................... Configuration passed test CheckSDRefDom  Starting test: CrossRefValidation	 ......................... Configuration passed test CrossRefValidation  Running partition tests on : npfcapital  Starting test: CheckSDRefDom	 ......................... npfcapital passed test CheckSDRefDom  Starting test: CrossRefValidation	 ......................... npfcapital passed test CrossRefValidation  Running enterprise tests on : npfcapital.kz  Starting test: LocatorCheck	 ......................... npfcapital.kz passed test LocatorCheck  Starting test: Intersite	 ......................... npfcapital.kz passed test Intersite

И с KAZ-DC-01 Win 2003

C:\Documents and Settings\viktor>dcdiagDomain Controller DiagnosisPerforming initial setup:  Done gathering initial info.Doing initial required tests  Testing server: Default-First-Site\KAZ-DC-01  Starting test: Connectivity	 ......................... KAZ-DC-01 passed test ConnectivityDoing primary tests  Testing server: Default-First-Site\KAZ-DC-01  Starting test: Replications	 ......................... KAZ-DC-01 passed test Replications  Starting test: NCSecDesc	 ......................... KAZ-DC-01 passed test NCSecDesc  Starting test: NetLogons	 ......................... KAZ-DC-01 passed test NetLogons  Starting test: Advertising	 ......................... KAZ-DC-01 passed test Advertising  Starting test: KnowsOfRoleHolders	 ......................... KAZ-DC-01 passed test KnowsOfRoleHolders  Starting test: RidManager	 ......................... KAZ-DC-01 passed test RidManager  Starting test: MachineAccount	 ......................... KAZ-DC-01 passed test MachineAccount  Starting test: Services	 ......................... KAZ-DC-01 passed test Services  Starting test: ObjectsReplicated	 ......................... KAZ-DC-01 passed test ObjectsReplicated  Starting test: frssysvol	 ......................... KAZ-DC-01 passed test frssysvol  Starting test: frsevent	 ......................... KAZ-DC-01 passed test frsevent  Starting test: kccevent	 ......................... KAZ-DC-01 passed test kccevent  Starting test: systemlog	 ......................... KAZ-DC-01 passed test systemlog  Starting test: VerifyReferences	 ......................... KAZ-DC-01 passed test VerifyReferences  Running partition tests on : Schema  Starting test: CrossRefValidation	 ......................... Schema passed test CrossRefValidation  Starting test: CheckSDRefDom	 ......................... Schema passed test CheckSDRefDom  Running partition tests on : Configuration  Starting test: CrossRefValidation	 ......................... Configuration passed test CrossRefValidation  Starting test: CheckSDRefDom	 ......................... Configuration passed test CheckSDRefDom  Running partition tests on : npfcapital  Starting test: CrossRefValidation	 ......................... npfcapital passed test CrossRefValidation  Starting test: CheckSDRefDom	 ......................... npfcapital passed test CheckSDRefDom  Running enterprise tests on : npfcapital.kz  Starting test: Intersite	 ......................... npfcapital.kz passed test Intersite  Starting test: FsmoCheck	 ......................... npfcapital.kz passed test FsmoCheck

Логи с клиента сейчас скину.

[Ejik]

Вот логи с клиентской машины

Системный лог:

Ошибка DCOM "Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены. " при попытке запуска службы vmount2 с аргументами "-Service" для запуска сервера:{F91031A3-644F-46F1-8ED5-B91F0E160879}

Лог приложений

Не удалось получить доступ в реестре к файлу политики, \\npfcapital.kz\sysvol\npfcapital.kz\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol. (Отказано в доступе. ).

и еще

Не удалось создать в реестре раздел Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{0b4388df-595e-4f27-acec-4b79839a87dd}. (Отказано в доступе. ).

[Maikll]

Где же два разных домена, если в обоих логах - npfcapital.kz?

В логах с клиента желательно код ошибки и источник указывать.

кстати, где находится dns, держащий зону npfcapital.kz?

[Ejik]

Я имел виду два контроллера домена

dns стоит на обоих контроллерах.

Тип события:	ОшибкаИсточник события:	DCOMКатегория события:	ОтсутствуетКод события:	10005Дата:		10.11.2009Время:		11:05:57Пользователь:		NPFCAPITAL\AibarКомпьютер:	AIBAR601Описание:Ошибка DCOM "Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены. " при попытке запуска службы vmount2 с аргументами "-Service" для запуска сервера:{F91031A3-644F-46F1-8ED5-B91F0E160879}

Тип события:	ОшибкаИсточник события:	UserenvКатегория события:	ОтсутствуетКод события:	1096Дата:		10.11.2009Время:		13:09:24Пользователь:		NT AUTHORITY\SYSTEMКомпьютер:	AIBAR601Описание:Не удалось получить доступ в реестре к файлу политики, \\npfcapital.kz\sysvol\npfcapital.kz\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol. (Отказано в доступе. ).

Тип события:	ОшибкаИсточник события:	UserenvКатегория события:	ОтсутствуетКод события:	1020Дата:		10.11.2009Время:		13:09:24Пользователь:		NT AUTHORITY\SYSTEMКомпьютер:	AIBAR601Описание:Не удалось создать в реестре раздел Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{0b4388df-595e-4f27-acec-4b79839a87dd}. (Отказано в доступе. ).

[Maikll]

В логах на КД ничего подозрительного. Еще можно netdiag с них показать.

Похоже что проблема на клиенте.

dns стоит на обоих контроллерах.

я просто обратил внимание, что npfcapital.kz - реально существующий домен в интернете...

[Ejik]

В логах только то что я в первом посте выложил.

netdiag с win 2003

C:\Documents and Settings\viktor>netdiag.....................................Computer Name: KAZ-DC-01DNS Host Name: kaz-dc-01.npfcapital.kzSystem info : Microsoft Windows Server 2003 (Build 3790)Processor : x86 Family 15 Model 2 Stepping 7, GenuineIntelList of installed hotfixes :	KB915800-v9	KB923561	KB924667-v2	KB925398_WMP64	KB925876	KB925902	KB926139-v2	KB927891	KB929123	KB930178	KB932168	KB933729	KB933854	KB935839	KB935840	KB936021	KB936357	KB936782	KB938127	KB938464	KB938759-v4	KB941569	KB942830	KB942831	KB943055	KB943460	KB943485	KB943729	KB944338-v2	KB944653	KB945553	KB946026	KB948496	KB948590	KB949014	KB950762	KB950974	KB951066	KB951072-v2	KB951698	KB951746	KB951748	KB952004	KB952069	KB952954	KB953298	KB954155	KB954211	KB954550-v5	KB954600	KB955069	KB956390	KB956391	KB956572	KB956744	KB956802	KB956803	KB956841	KB956844	KB957095	KB957097	KB958215	KB958644	KB958687	KB958690	KB958869	KB959426	KB960225	KB960714	KB960803	KB960859	KB961063	KB961118	KB961371	KB961371-v2	KB961373	KB961501	KB963027	KB967715	KB967723	KB968389	KB968537	KB968816	KB969059	KB969805	KB969897	KB970238	KB970483	KB971032	KB971486	KB971513	KB971557	KB971633	KB971657	KB971961	KB972260	KB973346	KB973354	KB973507	KB973525	KB973540	KB973815	KB973869	KB974112	KB974455	KB974571	KB975025	KB975467	KB976749	Q147222Netcard queries test . . . . . . . : PassedPer interface results:Adapter : Local Area Connection 2	Netcard queries test . . . : Passed	Host Name. . . . . . . . . : kaz-dc-01	IP Address . . . . . . . . : 192.168.113.1	Subnet Mask. . . . . . . . : 255.255.255.0	Default Gateway. . . . . . : 192.168.113.254	Dns Servers. . . . . . . . : 192.168.113.25								 192.168.113.1	AutoConfiguration results. . . . . . : Passed	Default gateway test . . . : Passed	NetBT name test. . . . . . : Passed	[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.	WINS service test. . . . . : Skipped		There are no WINS servers configured for this interface.Global results:Domain membership test . . . . . . : PassedNetBT transports test. . . . . . . : PassedList of NetBt transports currently configured:	NetBT_Tcpip_{87F4A130-ED85-4728-A1E5-E5CC580F07F0}1 NetBt transport currently configured.Autonet address test . . . . . . . : PassedIP loopback ping test. . . . . . . : PassedDefault gateway test . . . . . . . : PassedNetBT name test. . . . . . . . . . : Passed[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.Winsock test . . . . . . . . . . . : PassedDNS test . . . . . . . . . . . . . : PassedPASS - All the DNS entries for DC are registered on DNS server '192.168.113.25' and other DCs also have some of the names registered.PASS - All the DNS entries for DC are registered on DNS server '192.168.113.1' and other DCs also have some of the names registered.Redir and Browser test . . . . . . : PassedList of NetBt transports currently bound to the Redir	NetBT_Tcpip_{87F4A130-ED85-4728-A1E5-E5CC580F07F0}The redir is bound to 1 NetBt transport.List of NetBt transports currently bound to the browser	NetBT_Tcpip_{87F4A130-ED85-4728-A1E5-E5CC580F07F0}The browser is bound to 1 NetBt transport.DC discovery test. . . . . . . . . : PassedDC list test . . . . . . . . . . . : PassedTrust relationship test. . . . . . : PassedSecure channel for domain 'NPFCAPITAL' is to '\\cap-dc-01.npfcapital.kz'.Kerberos test. . . . . . . . . . . : PassedLDAP test. . . . . . . . . . . . . : PassedBindings test. . . . . . . . . . . : PassedWAN configuration test . . . . . . : SkippedNo active remote access connections.Modem diagnostics test . . . . . . : PassedIP Security test . . . . . . . . . : SkippedNote: run "netsh ipsec dynamic show /?" for more detailed informationThe command completed successfully

и с win 2008

C:\Users\viktor>netdiag......................................Computer Name: CAP-DC-01DNS Host Name: cap-dc-01.npfcapital.kzSystem info : Windows Server ® 2008 Standard (Build 6002)Processor : x86 Family 6 Model 23 Stepping 6, GenuineIntelHotfixes : none detectedNetcard queries test . . . . . . . : Passed[WARNING] The net card 'RAS Async Adapter' may not be working because it hasnot received any packets.[WARNING] The net card 'Intel® PRO/1000 EB Network Connection with I/O Acceleration #2 - Teefer2 Miniport' may not be working.[WARNING] The net card 'Intel® PRO/1000 PT Dual Port Network Connection -Teefer2 Miniport' may not be working.[WARNING] The net card 'Intel® PRO/1000 PT Dual Port Network Connection #2- Teefer2 Miniport' may not be working.[WARNING] The net card 'Intel® PRO/1000 PT Dual Port Network Connection #2' may not be working.[WARNING] The net card 'Intel® PRO/1000 PT Dual Port Network Connection' may not be working.[WARNING] The net card 'Intel® PRO/1000 EB Network Connection with I/O Acceleration #2' may not be working.[WARNING] The net card 'Teredo Tunneling Pseudo-Interface' may not be working.GetStats failed for 'isatap.{CBDC8221-1F3E-462D-B046-1614214682FA}'. [ERROR_GEN_FAILURE]GetStats failed for 'isatap.{1C40D984-1E8A-4482-B664-C13ABA800749}'. [ERROR_GEN_FAILURE]GetStats failed for 'isatap.{E1B1D4A1-8497-4EBA-A15E-B99416802438}'. [ERROR_GEN_FAILURE]GetStats failed for 'isatap.{3FFC3EFD-465D-4FD3-AFD3-351F1D93CB7D}'. [ERROR_GEN_FAILURE]Per interface results:Adapter : Local Area Connection 4	Netcard queries test . . . : Failed	NetCard Status:		  DISCONNECTED		Some tests will be skipped on this interface.	Host Name. . . . . . . . . : cap-dc-01	IP Address . . . . . . . . : 0.0.0.0	Subnet Mask. . . . . . . . : 0.0.0.0	Default Gateway. . . . . . : 0.0.0.0	Dns Servers. . . . . . . . :Adapter : Local Area Connection 3	Netcard queries test . . . : Passed	Host Name. . . . . . . . . : cap-dc-01	IP Address . . . . . . . . : 192.168.113.25	Subnet Mask. . . . . . . . : 255.255.255.0	Default Gateway. . . . . . : 192.168.113.254	Dns Servers. . . . . . . . : 192.168.113.25								 192.168.113.1								 127.0.0.1	AutoConfiguration results. . . . . . : Passed	Default gateway test . . . : Passed	NetBT name test. . . . . . : Passed	[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.	WINS service test. . . . . : Skipped		There are no WINS servers configured for this interface.Adapter : Local Area Connection 2	Netcard queries test . . . : Failed	NetCard Status:		  DISCONNECTED		Some tests will be skipped on this interface.	Host Name. . . . . . . . . : cap-dc-01	IP Address . . . . . . . . : 0.0.0.0	Subnet Mask. . . . . . . . : 0.0.0.0	Default Gateway. . . . . . : 0.0.0.0	Dns Servers. . . . . . . . :Adapter : Local Area Connection	Netcard queries test . . . : Failed	NetCard Status:		  DISCONNECTED		Some tests will be skipped on this interface.	Host Name. . . . . . . . . : cap-dc-01	IP Address . . . . . . . . : 0.0.0.0	Subnet Mask. . . . . . . . : 0.0.0.0	Default Gateway. . . . . . : 0.0.0.0	Dns Servers. . . . . . . . :Global results:Domain membership test . . . . . . : PassedNetBT transports test. . . . . . . : PassedList of NetBt transports currently configured:	NetBT_Tcpip_{3FFC3EFD-465D-4FD3-AFD3-351F1D93CB7D}	NetBT_Tcpip_{1C40D984-1E8A-4482-B664-C13ABA800749}	NetBT_Tcpip_{E1B1D4A1-8497-4EBA-A15E-B99416802438}	NetBT_Tcpip_{CBDC8221-1F3E-462D-B046-1614214682FA}4 NetBt transports currently configured.Autonet address test . . . . . . . : PassedIP loopback ping test. . . . . . . : PassedDefault gateway test . . . . . . . : PassedNetBT name test. . . . . . . . . . : Passed[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.Winsock test . . . . . . . . . . . : PassedDNS test . . . . . . . . . . . . . : PassedPASS - All the DNS entries for DC are registered on DNS server '192.168.113.25' and other DCs also have some of the names registered.PASS - All the DNS entries for DC are registered on DNS server '192.168.113.1' and other DCs also have some of the names registered.PASS - All the DNS entries for DC are registered on DNS server '127.0.0.1' and other DCs also have some of the names registered.Redir and Browser test . . . . . . : PassedList of NetBt transports currently bound to the Redir	NetBT_Tcpip_{3FFC3EFD-465D-4FD3-AFD3-351F1D93CB7D}	NetBT_Tcpip_{1C40D984-1E8A-4482-B664-C13ABA800749}	NetBT_Tcpip_{E1B1D4A1-8497-4EBA-A15E-B99416802438}	NetBT_Tcpip_{CBDC8221-1F3E-462D-B046-1614214682FA}The redir is bound to 4 NetBt transports.List of NetBt transports currently bound to the browser	NetBT_Tcpip_{3FFC3EFD-465D-4FD3-AFD3-351F1D93CB7D}	NetBT_Tcpip_{1C40D984-1E8A-4482-B664-C13ABA800749}	NetBT_Tcpip_{E1B1D4A1-8497-4EBA-A15E-B99416802438}	NetBT_Tcpip_{CBDC8221-1F3E-462D-B046-1614214682FA}The browser is bound to 4 NetBt transports.DC discovery test. . . . . . . . . : PassedDC list test . . . . . . . . . . . : PassedTrust relationship test. . . . . . : SkippedKerberos test. . . . . . . . . . . : PassedLDAP test. . . . . . . . . . . . . : PassedBindings test. . . . . . . . . . . : PassedWAN configuration test . . . . . . : SkippedNo active remote access connections.Modem diagnostics test . . . . . . : PassedIP Security test . . . . . . . . . : SkippedNote: run "netsh ipsec dynamic show /?" for more detailed informationThe command completed successfully

Да, в инете этот наш сайт.

Изменено 10 ноября, 2009 пользователем Ejik

[Maikll]

Чисто, проблем не вижу.

По логам с клиента, первая ошибка DCOM - установлена Vmware?

и по второй ошибке - это может быть следствием наличия нескольких сетевых интерфейсов - http://support.microsoft.com/kb/258296/

ну и по третьей - http://www.eventid.net/display.asp?eventid...env&phase=1

Изменено 10 ноября, 2009 пользователем Maikll

[Ejik]

По логам с клиента, первая ошибка DCOM - установлена Vmware?

Да, установлена.

и по второй ошибке - это может быть следствием наличия нескольких сетевых интерфейсов - http://support.microsoft.com/kb/258296/

Сетивая карта одна.

ну и по третьей - http://www.eventid.net/display.asp?eventid...env&phase=1

с английским плохо, непонял что нужно сделать. :g:

[Maikll]

Сетивая карта одна.

Физически может и одна, я же говорил о сетевых интерфейсах, если установлена Vmware, последняя добавляет в систему несколько виртуальных для своей работы.

Так что делаем как описано в статье.

[Ejik]

Maikll: Извините что-то я торможу, :g:.

И еще вопрос, в первом посте я выложил ошибки с DC, в двух из них сказано что есть проблемы с авторизацией компьютера DB - как я понял, но в домене нет такой машины, но есть юзер с именем DB, у него проблем нет.

От куда ета мифическая машина?

[Maikll]

С теми ошибками ситуация довольно странная. Что за домен с именем BANK, знакомо название?

Записи в днс желательно поменять местами, первым поставить второй сервер, второй записью - себя, 127.0.0.1 - лишнее.

Кстати, обновление схемы при вводе в домен сервера на 2008 делали? или домен уже заводился на нем, короче какой сервер был первый?

[Ejik]

С теми ошибками ситуация довольно странная. Что за домен с именем BANK, знакомо название?

У нас с банковским доменом настроены доверительные отношения.

Записи в днс желательно поменять местами, первым поставить второй сервер, второй записью - себя, 127.0.0.1 - лишнее.

Но обоих DC?

Кстати, обновление схемы при вводе в домен сервера на 2008 делали? или домен уже заводился на нем, короче какой сервер был первый?

Сервер первый был 2003, при вводе 2008 обновлял схемы.

Изменено 12 ноября, 2009 пользователем Ejik

[Maikll]

Но обоих DC?

Да, чтобы первичная запись указывала на партнера по репликации а вторичная - на самого себя. Это - стандартная рекомендация при наличии двух КД.

У нас с банковским доменом настроены доверительные отношения.

В таком случае первая мысль - что-то не так со связью между доменами. Кстати, не может ли этот DB быть именно из домена BANK?

И еще... вспомнил по поводу блокировок уч. записей... где-то с полгода назад приходилось выявлять подобное, в моем случае это оказался вирус, который путем перебора пытался взломать пасс админа, но еще такое может происходить если к примеру выход в нет по доменным учетным записям, пароль пользователю сменили а у того на компе стояла какая-нибудь программа типа аськи и был запомнен пароль для выхода в нет. Вот и получается что программа пытается связаться, аутентификация не проходит естественно и в итоге срабатывает блокировка по числу неправильных входов.

Это только как пример но ситуация может быть похожей.

[Ejik]

А как теперь вычислить вирус это или сохраненный пароль в программе? читал где то что в 2008 можно активировать журнал audit account logon в групповых политиках, Computer Configuration->Windows Settings->Security Settings->Audit Policy здесь есть Audit account logon events открываю эту политику и ставлю галочку определите параметры настройки политики и выбираю какие события фиксировать, в данном случае меня интересует "Отказ".

Эти настройки я делаю в политике Default Domain Controllers Policy, но в евентах данного журнала нет и не появляется. Может что то не так делаю?

[Maikll]

Эти настройки я делаю в политике Default Domain Controllers Policy, но в евентах данного журнала нет и не появляется. Может что то не так делаю?

Эти события должны фиксироваться в журнале "Security".

А как теперь вычислить вирус это или сохраненный пароль в программе?

Вирус - антивирусом :)

В моем случае подозрение вызвали ошибки на КД от SAM id 12294, но это уже когда зловред пошел брутфорсить Администратора.

А так полезно физически глянуть на эти станции - вдруг там какая-нибудь портабельная аська стоит.

[Ejik]

Эти события должны фиксироваться в журнале "Security".

Да, уже нашел. Спасибо. Буду смотреть, может что интересное найду.

Вирус - антивирусом :)

Проверял, все чиста.

[Ejik]

Maikll: В логах есть такая ошибка:

Event Type:	Failure AuditEvent Source:	SecurityEvent Category:	Account Logon Event ID:	675Date:		16.11.2009Time:		10:13:52User:		NT AUTHORITY\SYSTEMComputer:	KAZ-DC-01Description:Pre-authentication failed:	User Name:	NAhmedova	User ID:		NPFCAPITAL\NAhmedova	Service Name:	krbtgt/NPFCAPITAL	Pre-Authentication Type:	0x2	Failure Code:	0x18	Client Address:	192.168.113.65For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Настораживает вот эта строка :Service Name: krbtgt/NPFCAPITAL - не вирус ли эта?

[Maikll]

Полное название krbtgt расшифровывается как KeRBeros Tiket Grant Tiket - учетная запись службы раздачи ключей Kerberos.

Вирус конечно полностью исключить нельзя, но тогда, имхо, этих ошибок были бы десятки если не сотни, смотреть в любом случае надо на клиенте 192.168.113.65 под пользователем NAhmedova, может у нее диск сетевой к примеру мапится под запомненым паролем или что-то аналогичное.

[Ejik]

За 2,5 часа зарегистрировано 188 новых событий, с id 680,672,673,675 и 537, не многовато ли?

[Maikll]

Возможно, ты стал счастливым обладателем вируса Conficker. :bye1:

Для очистки совести проверься kidokiller - http://support.kaspersky.ru/faq/?qid=208636215

[Ejik]

Проверил утилитой KK.exe от Касперского, ничего не нашел.

Теперь такая ситуация: Перегружаю клиентскую машину, захожу в свойства сетевого окружения там пусто, т.е нет подключения, в службах не запускаются dhcp-клиент, вторичный вход в систему, это те что я пытался запустить.

Таких машин уже 8, и мне кажется что это только начало, даже боюсь представить что будет завтра.