Проблемы с Group Policy на Multihome DC
1893
2
netghost
Бордератор
Короче, суть проблемы такова:
Есть сетка, домен, 2 контроллера. Один из них стоит на компе с двумя сетевухами, который является гейтом в инет. Вроде домен работает нормально, ошибок в event viewer'е нету ни в какой категории, но только почему-то при попытке запустить редактор политик на компе с двумя сетевухами, он ругается следующим текстом:
Failed to open group policy object. You may not have appropriate rights.
А ниже расшифровка: Windows cannot find the network path. Verifty that the network path is correct and the destination computer is not busy or turned off. If windows still cannot find the network path, contact your network administrator.
Провобал диагностировать с помощью gpotool (/verbose), вот что пишет:
А вот что пишет та же команда на другом контроллере:
откуда видно, что контроллер на самом деле работает... Если попробовать написать "cd \\spd.local\sysvol" (spd.local == FQDN, там, где должна лежать груп полиси), то все ОК.
ДНС на этом DC есть и настроена, при попытке с него пинговать себя, резолвится в основном тот адрес, что на внешнем интерфейсе...
А теперь самый интересный факт - если задизейблить внешнее подключение, то тут же начинает все работать и груп полиси открывается... Если потом снова енейблить, то через секунд 30 опять перестает работать... Даже и не знаю, куда копать, ДНС или все-таки что-то другое??
Понимаю, что поидее роутер не должен быть домен-контроллером, но пока другого выхода нет... Может быть временно переставлю домен контроллер на виртуальную машину, чтоб на ней был тока один интерфейс, и буду запускать ее на этой машине (благо конфигурация позволяет - P4-2.4HT, 1 GB DDR-400)... А на хост-системе будет тока роутер, пусть пока виндовый...
Но все-таки хотелось бы разобраться, почему же глючит... Неужели не может домен-контроллер нормально работать на multihome тачке???
Есть сетка, домен, 2 контроллера. Один из них стоит на компе с двумя сетевухами, который является гейтом в инет. Вроде домен работает нормально, ошибок в event viewer'е нету ни в какой категории, но только почему-то при попытке запустить редактор политик на компе с двумя сетевухами, он ругается следующим текстом:
Failed to open group policy object. You may not have appropriate rights.
А ниже расшифровка: Windows cannot find the network path. Verifty that the network path is correct and the destination computer is not busy or turned off. If windows still cannot find the network path, contact your network administrator.
Провобал диагностировать с помощью gpotool (/verbose), вот что пишет:
Domain: spd.local
Validating DCs...
[b]spd-server.spd.local: down (sysvol only)[/b]
Available DCs:
jurist.spd.local
Searching for policies...
Found 2 policies
============================================================
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Policy
Policy OK
Details:
------------------------------------------------------------
DC: jurist.spd.local
Friendly name: Default Domain Policy
Created: 08.11.2003 7:44:16
Changed: 16.02.2004 12:48:50
DS version: 4(user) 29(machine)
Sysvol version: 4(user) 29(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}
{3060E8CE-7020-11D2-842D-00C04FA372D4}]
[{35378EAC-683F-11D2-A89A-00C04FBBCFA2}
{0F6B957E-509E-11D1-A7CC-0000F87571E3}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}
{0F6B957D-509E-11D1-A7CC-0000F87571E3}
{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
[{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
[{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}
{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Controllers Policy
Policy OK
Details:
------------------------------------------------------------
DC: jurist.spd.local
Friendly name: Default Domain Controllers Policy
Created: 08.11.2003 7:44:16
Changed: 31.03.2004 18:30:00
DS version: 1(user) 29(machine)
Sysvol version: 1(user) 29(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}
{0F6B957E-509E-11D1-A7CC-0000F87571E3}]
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
============================================================
Policies OK
А вот что пишет та же команда на другом контроллере:
Domain: spd.local
Validating DCs...
jurist.spd.local: OK
spd-server.spd.local: OK
Available DCs:
jurist.spd.local
spd-server.spd.local
Searching for policies...
Found 2 policies
============================================================
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Policy OK
Details:
------------------------------------------------------------
DC: jurist.spd.local
Friendly name: Default Domain Policy
Created: 08.11.2003 7:44:16
Changed: 16.02.2004 12:48:50
DS version: 4(user) 29(machine)
Sysvol version: 4(user) 29(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}
{3060E8CE-7020-11D2-842D-00C04FA372D4}]
[{35378EAC-683F-11D2-A89A-00C04FBBCFA2}
{0F6B957E-509E-11D1-A7CC-0000F87571E3}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}
{0F6B957D-509E-11D1-A7CC-0000F87571E3}
{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
[{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
[{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}
{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: spd-server.spd.local
Friendly name: Default Domain Policy
Created: 08.11.2003 7:44:16
Changed: 28.03.2004 7:43:33
DS version: 4(user) 29(machine)
Sysvol version: 4(user) 29(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}
{3060E8CE-7020-11D2-842D-00C04FA372D4}]
[{35378EAC-683F-11D2-A89A-00C04FBBCFA2}
{0F6B957E-509E-11D1-A7CC-0000F87571E3}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}
{0F6B957D-509E-11D1-A7CC-0000F87571E3}
{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
[{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
[{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}
{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Policy OK
Details:
------------------------------------------------------------
DC: jurist.spd.local
Friendly name: Default Domain Controllers Policy
Created: 08.11.2003 7:44:16
Changed: 31.03.2004 18:30:00
DS version: 1(user) 29(machine)
Sysvol version: 1(user) 29(machine)
Flags: 0
User extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}
{0F6B957E-509E-11D1-A7CC-0000F87571E3}]
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: spd-server.spd.local
Friendly name: Default Domain Controllers Policy
Created: 08.11.2003 7:44:16
Changed: 31.03.2004 18:29:45
DS version: 1(user) 29(machine)
Sysvol version: 1(user) 29(machine)
Flags: 0
User extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}
{0F6B957E-509E-11D1-A7CC-0000F87571E3}]
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
Policies OK
откуда видно, что контроллер на самом деле работает... Если попробовать написать "cd \\spd.local\sysvol" (spd.local == FQDN, там, где должна лежать груп полиси), то все ОК.
ДНС на этом DC есть и настроена, при попытке с него пинговать себя, резолвится в основном тот адрес, что на внешнем интерфейсе...
А теперь самый интересный факт - если задизейблить внешнее подключение, то тут же начинает все работать и груп полиси открывается... Если потом снова енейблить, то через секунд 30 опять перестает работать... Даже и не знаю, куда копать, ДНС или все-таки что-то другое??
Понимаю, что поидее роутер не должен быть домен-контроллером, но пока другого выхода нет... Может быть временно переставлю домен контроллер на виртуальную машину, чтоб на ней был тока один интерфейс, и буду запускать ее на этой машине (благо конфигурация позволяет - P4-2.4HT, 1 GB DDR-400)... А на хост-системе будет тока роутер, пусть пока виндовый...
Но все-таки хотелось бы разобраться, почему же глючит... Неужели не может домен-контроллер нормально работать на multihome тачке???
он не глючит, просто бинды криво прописаны -
открываем папку с dial-up and network connections - advanced - advanced settings и в верхнем списке - внутренний коннект поднимаем на самый верх, то есть он начнет пинать этот коннект когда попытается через ДНС найти AD, а так у тя пакеты на прововский ДНС летят и естесственно он ниче не находит
открываем папку с dial-up and network connections - advanced - advanced settings и в верхнем списке - внутренний коннект поднимаем на самый верх, то есть он начнет пинать этот коннект когда попытается через ДНС найти AD, а так у тя пакеты на прововский ДНС летят и естесственно он ниче не находит
Урра!! Ты гений :).. Скока уже времени общаюсь с виндами, а где выставлять приоритет интерфейсов узнал только сейчас... Блин... А я всегда считал, что метриками мутить надо... А что есть вообще такой диаложек, в жисть бы не догадался...
А проблема была не в прововском ДНС (днс на внешнем тоже прописан локальный, в котором прововские серваки прописаны в форвардинге... Просто на внешнем ДНС висит FW (тот самый, который Routing & Remote Access), и видимо обращение к домену просто прибивал (пусть даже с локалхоста).
А проблема была не в прововском ДНС (днс на внешнем тоже прописан локальный, в котором прововские серваки прописаны в форвардинге... Просто на внешнем ДНС висит FW (тот самый, который Routing & Remote Access), и видимо обращение к домену просто прибивал (пусть даже с локалхоста).