Autenticação da estação de trabalho contra o servidor AD errado na configuração de vários sites

Navegue suas respostas
3

Tendo um problema que já vi antes, mas ainda não encontrei uma solução, tenho vários sites do AD em um domínio fisicamente separados e logicamente separados por diferentes sub-redes e sites do AD.

Quando uma conta de usuário é ativada depois de estar em um estado desativado em um site e, em seguida, tenta efetuar login em uma estação de trabalho (nesse site), recebe uma mensagem de login informando que sua conta ainda está desativada.

Ao verificar em todos os DCs, o DC local informa que o usuário está habilitado, mas como a replicação ainda não ocorreu, todos os outros ainda estão desabilitados. Testar com um usuário habilitado inserindo senhas incorretas mostra que o evento de senha incorreto está ocorrendo no DC local e também no DC primário do domínio (mas não no site do usuário) Ainda não consegui encontrar os IDs de evento corretos no Win2k8 por tentativas incorretas de senha, então ainda não posso informar de qual CD a solicitação pw incorreta se originou.

Todas as sub-redes estão corretas e não há erros no% systemroot \ debug \ netlogon.log no controlador de domínio local, o servidor retorna seu no site correto, a estação de trabalho retorna seu no site correto e seu servidor de logon é o local DC, todos os caminhos DFS retornam ao host DFS local e, após o logon, não consigo ver nenhum tráfego para outro DC. O ping do nome de domínio também é resolvido para o DC local. Também configuramos o DNS para apontar apenas para o DC local.

Alguém tem uma idéia de por que essa configuração exigiria que um controlador de domínio diferente do DC local desbloqueie a conta? Os usuários gostariam de usar suas contas imediatamente para que a resolução disso seja muito útil.

Win 7 clientes, servidores Win 2k8 r2, domínio funcional 2003 em configuração de vários sites AD

    
por Ben Bowman 01.03.2013 / 01:53

1 resposta

1

Portanto, a questão é que você acha que o processo de autenticação está entrando em contato com um DC remoto primeiro, mesmo que haja um DC local onde a conta esteja habilitada.

Eu suspeito que há mais ocorrendo aqui do que está sendo observado.

Aqui estão algumas coisas que você pode fazer para coletar mais informações:

-Ativar o log de depuração do Netlogon na estação de trabalho: 

   Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
    "DBFlag"=dword:24401F04
    "MaximumLogFileSize"=dword:3200000

Isso cria um log muito detalhado em C: \ Windows \ debug \ netlogon.log com a maioria das atividades e decisões que ocorrem durante a autenticação e o processo de localização do site / DC.

- Realize o teste em uma estação de trabalho onde o sintoma possa ser reproduzido, logo após a reinicialização da estação de trabalho.

-Configure uma captura de pacote NetMon para ser executada no computador quando a estação de trabalho for iniciada, usando uma tarefa agendada. Configure a tarefa para executar como SYSTEM com privilégios mais altos. Os comandos seriam algo como: 

cd /d "C:\Program Files\Microsoft Network Monitor 3"
nmcap /network * /capture /DisableConversations /file c:\temp\test.cap:20M /StopWhen /TimeAfter 5 min /MinDiskQuota 100M

Aguarde até que a captura termine normalmente ao fim de cinco minutos antes de tentar usá-la. O teste de logon precisaria ser concluído dentro de cinco minutos após o reinício.

Isso deve permitir que você confirme que o DC local não está sendo contatado. Se houver uma referência para o DC remoto, pode haver informações adicionais para determinar o motivo.

Se o processo de autenticação for bem-sucedido em uma estação de trabalho que foi reiniciada recentemente, mas falha em uma estação de trabalho em que a autenticação falhou recentemente, isso seria uma informação útil.

    
por 02.03.2013 / 19:50

Tags

Virtual Host mostrando “Index of /” em vez de exibir meu site [closed] Como você * marca * uma partição como ext4?