Author Topic: Временная учетная запись в доменной сети  (Read 4020 times)

Alexander2142

  • Zen Apprentice
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
Здравствуйте. Заранее извиняюсь если неправильно сформулирую вопрос, плохо знаком с Зентялом и администрированием серверов в целом, очень надеюсь на вашу помощь. В офисе имеется Зентял 6.2.0, администрируется через Active Directory, возникли проблемы с доменной сетью, все пользователи при входе в свою учетку получают временный рабочий стол. Проблема возникла еще до моего прихода, никаких существенный изменений в настройки сервера я не вносил, перерыл пол интернета но ответов так и не нашел, не знаю куда копать. С решением проблемы не спешу, но хотелось бы как можно скорее, если нужны будут какие либо скрины/логи постараюсь предоставить, периодически буду мониторить форум.

luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Может домен переносился в зенчал с виндового сервера и были проблемы с лицензией или пробовали настроить удалённые рабочие столы на сервере или как-то редактировались пользовательские аккаунты в домене... в любом случае не помешает проверить доменные политики.

Гугл по запросу "windows временный рабочий стол домен" выдаёт много всякого, из чего можно вычленить основную информацию о том что профиль пользователя испорчен и система не может его использовать, поэтому чтоб хоть как-то загрузиться создаёт временный. Как показано на видео ниже пользователи пытаются чинить профиль двумя способами: или вручную активируя через реестр бэкап старого профиля, или более радикально - создавая новый профиль.

https://www.youtube.com/watch?v=cX27pYaLr7I

Но это всё не конкретно про домен! Поэтому я бы ещё обратил внимание на утилитку для переключения профиля с доменного на локальный и обратно (profwiz)
https://www.forensit.com/downloads.html

Alexander2142

  • Zen Apprentice
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
Может домен переносился в зенчал с виндового сервера и были проблемы с лицензией или пробовали настроить удалённые рабочие столы на сервере или как-то редактировались пользовательские аккаунты в домене... в любом случае не помешает проверить доменные политики.
Если честно не знаю какие манипуляции производились с сервером, да и не о чем таком от второго админа не слышал, знаю только что проблема возникала и раньше но лечилась следующей процедурой: putty > адрес сервера > в консоли sudo su > cd /home/samba/profiles > ls -la, примерно так удалялся профиль пользователя и затем просто перезапускался зентял из веб интерфейса, говорят помогало, но мне после удаления своего профиля помогло 50 на 50, т.е проблема осталась, да и хотелось бы как то вернуть старые данные.

Гугл по запросу "windows временный рабочий стол домен" выдаёт много всякого, из чего можно вычленить основную информацию о том что профиль пользователя испорчен и система не может его использовать, поэтому чтоб хоть как-то загрузиться создаёт временный. Как показано на видео ниже пользователи пытаются чинить профиль двумя способами: или вручную активируя через реестр бэкап старого профиля, или более радикально - создавая новый профиль.
Вот этот способ вообще не особо понимаю как должен помочь, ведь профиль конкретного пользователя использовался на многих пк и в теории мне на всех нужно редактировать реестр? В любом случае эти способы из гугла я пробовал, и у меня банально нету этих папок с приставкой .bak, проверено на многих пк.

Но это всё не конкретно про домен! Поэтому я бы ещё обратил внимание на утилитку для переключения профиля с доменного на локальный и обратно (profwiz)
https://www.forensit.com/downloads.html
С этой програмкой не разобрался, она же просто заносит локальный профиль в домен разве нет?

Возможно стоит проверить какую то из этих политик?


Журнал событий пк на котором пытаются войти в доменную учетку

luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Ну так вот же, всё написано - ошибка конкретно в том, что НА СЕРВЕРЕ отсутствует, или по другим причинам не доступен профиль пользователя. Даже рекомендации даны - проверить параметры безопасности и сетевое соединение.

По стороне клиента сверить время с серверным - при отбегании более чем на 5 минут пользователь не загрузится по причинам безопасности. Проверить видимость сервера по сети, возможно неверно настроен WINS и так называемый сетевой "мастер-браузер" (это компьютер в сети, взявший на себя функцию администрирования списка локальных машин). Должен быть только один мастер-браузер, а иначе сеть поделится и часть машин, включая и доменный контроллер, могут быть недоступны в сегменте сети.

Не использовать в домене названий кирилицей т.к. в разных кодировках символы интерпретируются по разному. Компьютеры и пользователей лучше называть латинскими знаками. Особенно учитывая что домен построен в среде линукс где UTF8. Разные там системные названия, папок с файлами... испанксие или китайские или арабские справа на лево - путь к гемморою админа.

Не понял как вы этими профилями пользуетесь. На разных компьютерах логинитесь на один сетевой профиль? И что в итоге, на всех компьютерах этот профиль не загружается или только на части компьютеров? Если попробовать залогиниться этим профилем на новом компьютере, где никогда профилем не пользовались тоже ошибка? В домене идентификация на билетах Цербера (собака такая). Не только для входа в винду, но и в других приложениях можно использовать. Если профиль не работает на новом компьютере, где им не логинились, но другой профиль, которым тоже там не логинились никогда, работает, то проблема с конкретным профилем на сервере. Если работает только профиль, который там уже был, а другие профили не работают (и глючные и типа рабочие), то это проблема сети т.к. существующий профиль может работать оффлайн некоторое время, без связи с контроллером домена.

Alexander2142

  • Zen Apprentice
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
По стороне клиента сверить время с серверным - при отбегании более чем на 5 минут пользователь не загрузится по причинам безопасности.
Проверял, на всех пк пользователей, на пк с которого администрируется доменная сеть и сервере Зентял время совпадает один в один.

Не использовать в домене названий кирилицей т.к. в разных кодировках символы интерпретируются по разному. Компьютеры и пользователей лучше называть латинскими знаками. Особенно учитывая что домен построен в среде линукс где UTF8. Разные там системные названия, папок с файлами... испанксие или китайские или арабские справа на лево - путь к гемморою админа.
Кириллица используется только в фио пользователя и у его группы, пробовал латиницей не помогло, но попробую потестить еще пару дней.

Не понял как вы этими профилями пользуетесь. На разных компьютерах логинитесь на один сетевой профиль? И что в итоге, на всех компьютерах этот профиль не загружается или только на части компьютеров? Если попробовать залогиниться этим профилем на новом компьютере, где никогда профилем не пользовались тоже ошибка? В домене идентификация на билетах Цербера (собака такая). Не только для входа в винду, но и в других приложениях можно использовать. Если профиль не работает на новом компьютере, где им не логинились, но другой профиль, которым тоже там не логинились никогда, работает, то проблема с конкретным профилем на сервере. Если работает только профиль, который там уже был, а другие профили не работают (и глючные и типа рабочие), то это проблема сети т.к. существующий профиль может работать оффлайн некоторое время, без связи с контроллером домена.
Создаю новый профиль, с него входят первый раз на пк №1, либо вход удачный либо профиль временный тут 50 на 50, (я заметил что проблема плавающая), затем допустим на след. день садятся за пк №2, и опять же либо удачный вход либо временный. Так же заметил что хоть вход может быть удачным но утилита bginfo работает тоже 50 на 50 (не применяется какая то политика?).

В домене идентификация на билетах Цербера (собака такая).
Тут не понял что имеется ввиду.

Проверить видимость сервера по сети, возможно неверно настроен WINS и так называемый сетевой "мастер-браузер" (это компьютер в сети, взявший на себя функцию администрирования списка локальных машин). Должен быть только один мастер-браузер, а иначе сеть поделится и часть машин, включая и доменный контроллер, могут быть недоступны в сегменте сети.
Вот этот момент хотелось бы разобрать поподробнее. Я так понимаю нужно узнать какой пк выступает мастер-браузером, примерно знаю какой но не могу убедится в этом на 100%, не получается разобраться с командой nbtsat, не подскажете что конкретно туда прописывать и куда смотреть? В гугле еще советуют найти параметр реестра HKLM\SYSTEM\CurrentControlSet\Services\Browser\Parameters и посмотреть там является ли данный пк мастер-браузером, но у меня почему то по пути Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services есть только папка bowser 0_o








luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Склоняюсь к тому что это не на стороне клиента профиль портится и не на стороне сервера. Скорее всего проблема по середине - в сетевых настройках и общей её работе. Не может быть так чтобы какой-то профиль 50/50 первый раз запустился, а потом 50/50 тоже самое на другой машине, если он на сервере испорчен, а на клиенте только создаётся.

В сети мастер-браузер выбирается голосованием между компьютерами если уже нет такого сервера, приписанного как мастер-браузер администратором. От обычных компьютеров сервер мастер-браузера отличается высоким приоритетом, который и обеспечивает ему выигрывание выборов. У обычных компьютеров приоритет по умолчанию довольно низкий и случайно они станут мастер-браузером если сеть не администрируется и состоит только из компов пользователей. В общем-то это основы построения сетей, правда сейчас новые виндоусы (с 10-й версии) хотят другое построение, без старых протоколов и поэтому если совсем сеть не админится там не только из-за мастер-браузера половины компов не видно, но и конфликтуют десятки с семёрками.

читаем MAN SAMBA

os level (G)

    This integer value controls what level Samba advertises itself as for browse elections. The value of this parameter determines whether nmbd(8) has a chance of becoming a local master browser for the workgroup in the local broadcast area.

    Note: By default, Samba will win a local master browsing election over all Microsoft operating systems except a Windows NT 4.0/2000 Domain Controller. This means that a misconfigured Samba host can effectively isolate a subnet for browsing purposes. This parameter is largely auto-configured in the Samba-3 release series and it is seldom necessary to manually override the default setting. Please refer to the chapter on Network Browsing in the Samba-3 HOWTO document for further information regarding the use of this parameter. Note: The maximum value for this parameter is 255. If you use higher values, counting will start at 0!

    Default: os level = 20
    Example: os level = 65


... в файле /etc/samba/smb.conf установить параметр "os level = 200" и этот компьютер всегда будет мастер-браузером в сети. При условии что физически сеть всегда поднята, роутеры со свичами правильно настроены, провода нигде не обрываются периодически, не происходит спонтанных разрывов сегментов, нет петель... а иначе ещё не такие будут чудеса.



Билеты Цербера. Тут я имел в виду что в АД профиль это не тот "профиль" который приходит в голову, а другой "профиль" и часто по факту это вообще не "профиль" а билетик Цербера - иначе говоря просто разрешение на доступ. И вот если не удалось с Цербером договориться, нет билетика и он не пропустил то и работать не будет.


Что нужно делать.

Проверять сеть. Искать петли - чтобы вдруг не оказалось что витая пара где-то кругом соединяется... пошла... пошла... переткулась... тут в свичь... там в свичь... через сервак... через телефон... а в итоге обратно вторым концом пришла. Современные сетевые устройства умеют подавлять шторм, но не будут подавлять другие проблемы и глюки.

Проверять настройки на серверах. Чтобы DHCP правильно давал внутренний DNS и WINS... настроить zentyal единственным мастер-браузером (выше написал как). По идее сам зенчал и должен быть DNS сервером. Очевидно клиенты (имеются в виду компьютеры) должны понимать топологию сети и домена, знать в каком домене они находятся, кто этот домен контролирует и где Цербер сидит.

Проверить роли FSMO

Проверить на WinSrever кто из серверов AD какими ролями FSMO обладает:
netdom query fsmo

В linux:
samba-tool fsmo show

luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Кстати, забыл упомянуть. Для zentyal все основные файлы настроек генерируются из шаблонов /usr/share/zentyal/stubs/

Если что-то надо поправить, дописать параметр или ещё что-то в конфигах поделать... то идём шаблоны zentyal править. Поэтому не в /etc/samba/smb.conf нужно вносить правки для самбы, а в /usr/share/zentyal/stubs/samba/smb.conf.mas