[LØST] Domene kontrolleren godkjenner ikke alle maskinene

19 innlegg i emnet

Skrevet

Hei.

Jeg har de siste dagene ghostet 40 maskiner, i dag har jeg sittet å meldt maskinene inn i domenet og gitt unike datamaskinnavn. Så tenkte jeg etterpå at jeg skulle teste at alt var greit. Neida, den gang ei.

De aller fleste maskinene var det ikke noe problem med, men et par av maskinen får meldingen når man prøver å logge på domenet:

"Domenet <domene> er ikke tilgjenglig, eller datamaskinkontoen ble ikke funnet. Prøv igjen senere eller kontakt systemansvarlig"

Jeg er jo da systemansvarlig, men vet ikke løsningen for det. Jeg har sjekket i AD, her ligger maskinene, og logger jeg på maskinene som har dette problemet lokalt, får jeg kontakt med serveren, og ressursene på den.

Noen som vet en løsning på dette? Jeg får kontakt med serveren både ved hjelp av DNS navn og ip adressen, så forstår ikke helt hva den surrer etter.

Håper noen kan gi svar fort, ellers blir det mye mas på meg :o

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Er det noe brannmur som kjører på klientene?

Har du sjekket Lost and Found og Orpheand containere i AD?

Får du LDAP client feilmeldinger?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jeg har noton firewall kjørende på klientene ja. Men det har jo alle maskinene, hvorfor skjer dette bare på noen? Når jeg har endrer datamaskinnavn og meldt maskinen inn i domenet har jeg selvfølgelig deaktivert brannmuren.

Jeg har ikke sjekket log på serveren, eller i lost+found. Men synes fortsatt dette er veldig rart, er jo akkurat det samme imaget som er brukt på alle maskinene, og helt likt oppsett over alt. Jeg skal sjekke loggen i morgen på jobb, men kom gjerne med flere tips :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Har faktisk opplevd den "jokereffekten" du nevner på samme måte, men det var med Trend Micro AV/Firewall.

Lykke til :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Sjekk loggen på klientene som ikke får logget på. Der får du nok en mer konstruktiv feilmelding. Skriv den gjerne inn her for ytterligere hjelp. Det du beskriver kan ha mange grunner, men jeg holder en knapp på korrupt domenekonto. Loggen vil antageligvis gi en del mer informasjon som sagt :)

EDIT: De kjører vel ikke trådløst forresten?

Endret av Jesus Christ
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hei Jesus

Det er velg egentlig ikke meg du spør, men jeg kaster meg inn.

På det nettverket jeg snakker om, så kjører faktisk alle klientene mot en trådløs belkin router.

NB: Jeg får perfekte resultater når jeg slår av firewall (trend micro) på problemklientene.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Heisann

Det er brannmuren som sperrer, etter rask sjekk ser det ut som om følgende må åpnes i firewall for at LDAP mot AD queries skal fungere:

389/TCP,UDP

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Nei er ikke tråløst.. men en eller annen følelse sier meg at dette har noe med DNS serveren å gjøre.. jeg må se litt mer på det i morgen...

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Nei du, det er firewallen.

Jeg er Happy nå :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

hmm.. rart, hvorfor får de andre maskinene mine lov å logge på da, med akkurat likt oppsett? jeg må finne ut av dette i morgen

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Vel, de tre tingene som slår meg først er

1. Korrupt domenekonto, noe som er litt usannsynlig om du har tatt gode forholdsregler.

2. Den trådløse tjenesten klarer ikke å starte før Windows starter opp, noe som ville vært merkelig i og med at det er samme oppsett på alle maskinene. Kan også bli et problem med et dårlig aksesspunkt og/eller dårlig signalstyrke, med tapte pakker o.l..

3. Klokken i Windows er feil på enkelte maskiner, noe som er ganske plausibelt i og med at imaget ikke stiller klokken riktig automatisk (såvidt jeg vet).

DNS kan forsåvidt også være en feilkilde. Som sagt, loggen på de enkelte klientene vil si veldig mye mer. At brannmuren ikke er åpen for LDAP-queries er neppe tilfelle, i og med at det fungerer på andre maskiner med akkurat samme oppsett, i tillegg til at da hadde han heller ikke fått browset domenet etter lokal pålogging. LDAP-queries brukes nok ikke bare under pålogging.

Forresten, det skal være unødvendig å deaktivere brannmuren ved innmelding til AD. Nå har jeg ikke prøvd Norton i nettverkssammenheng, men det må da være en fordel å melde maskinen inn mens brannmuren kjører, i og med at du da (hvis den skulle være sperret) faktisk kan si ifra at RPC-tjenesten og andre vitale nettverkstjenester skal får lov å kommunisere med resten av nettet på den måten. Da vil du jo finne ut om brannmuren har noe i mot dette umiddelbart.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Testene mine viser at det må være Firewallen, mine klienter er heldigvis bak to andre brannmurer, og er ikke ute av bygget. Så jeg kan slå av Trend Micro firewall med god samvittighet.

Tips meg hvis du finner ut noe mer :)

Edit: Jesus, jeg har revet ut nesten hver eneste hårstrå på hodet mitt. Dette virker faktisk og jeg er happy...men jeg lurer noe jævlig jeg også.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Har noen ganger opplevd med Ghost at det har blitt noe kluss med SID. (Utelukker ikke at det er en feil som har vært i imagene at SID ikke er fjernet fra maskin som imaget opprinnelig har blitt laget på.) Har for eksempel også sett det hvis jeg har hatt en virtuell server og kopiert vhd-filen og bootet opp en server til.

Løsningen jeg har brukt da har vært å generere ny SID på den maskinen det gjelder. Hender da at det funker å bare reboote maskin etterpå, men i noen dumme tilfeller må maskin ut av domenet og joines igjen. Fint verktøy til det kan lastes ned på Sysinternals - Newsid

Kan som nevnt være noe DNS-tull også så er verd et forsøk å scavenge stale records på DNS-server og kjøre ipconfig /registerdns på klient. DNS kjører for øvrig på TCP/UDP 53 så hvis du har en streng firewall så bør også den porten åpnes.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

jeg må deaktivere norton for å få melde inn i domener, ikke ut. norton blir jeg snart gal på. det sperrer jo alt. Visst jeg prøver å melde maskinen inn i domenet uten å dekativere norton får jeg meldingen:

Domenet finnes ikke, kontakt systemansvarlig, og et eller annet ldap greier. Men dette har jeg jo gjort på alle de andre maskinene som det fungerer på og, og det er denne måte jeg har gjort det på tidligere. Jeg tipper det er et eller annet på serveren som ikke er helt bra. hehe.. må sjekke loggen i morgen.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Husk at de fleste klientene er OK.

Derfor er det feil med klientene, ikke serveren.

Hvis det virker, ikke fiks det.

Hold fokus på problemklientene dine, ikke rot for mye med serveren. Den virker jo for 36 av 40 klienter.

SID problematikk som ble foreslått er da en mer sannsynlig løsning. Han som foreslo det har jo rett. SID feil og image hører sammen, men tror fortsatt på at det er noe med firewall.

Akk akk, på tide med litt øl og fri nå.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

hehe.. :D skål da :D.. :thumbs:

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Vi fikser det :thumbs:

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Da er jeg hjemme igjen fra jobb, og har fått lest feilmeldinger på klienten, og fikset problemet :D

Det var drøssevis med feilmeldinger på klientene. Det som gikk igjen var at maskinkontoen ikke hadde blitt skikkelig registert i domenet, fordi den mente en annen maskin hadde samme navn. (dette er da bare tull)

Så løsningen ble:

Jeg meldte maskinene ut igjen av domenet, og inn igjen etter restart. Dette fungerte for alle maskinene :D

Så min konklusjon er at windows fulgte helt med i timen når det var så mange maskiner som ble meldt inn i domenet omtrent samtidig :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Da er jeg hjemme igjen fra jobb, og har fått lest feilmeldinger på klienten, og fikset problemet :D

Det var drøssevis med feilmeldinger på klientene. Det som gikk igjen var at maskinkontoen ikke hadde blitt skikkelig registert i domenet, fordi den mente en annen maskin hadde samme navn. (dette er da bare tull)

Så løsningen ble:

Jeg meldte maskinene ut igjen av domenet, og inn igjen etter restart. Dette fungerte for alle maskinene :D

Så min konklusjon er at windows fulgte helt med i timen når det var så mange maskiner som ble meldt inn i domenet omtrent samtidig :)

Ok, da er det et eksempel på SID-problematikk som nevnt tidligere :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive