Всех приветстсвую!
Некоторое время назад столкнулся с проблемой: блокируется моя (преумущественно) учетка в AD. После разблокировки есть примерно минута, затем учетка опять блочится. Проходит часов восемь, и все нормализуется
Конфигурация:
Моя станция под Windows виртуализирована, т.к. есть пара прог, которые на лине не поднять (настройка ATC, Veeam B&R Console, Veeam ONE Console), на хосте стоит debian. Подключаюсь к винде из-под Rdesktop или Remmina. Полгода все было нормально, потом началось.
На AD (Win 2008R2) завязан Exchange 2013. Учеток больше 1500. Контроллеров домена было четыре: два обычные и два RODC. Из-за проблем с репликацией (пока не разобрались, в чем причина) RODC отключены на данный момент.
В логах блокировки имя компьютера пишется или rdesktop или FreeRDP, причем блочить может не только меня с таким же именем компа, хотя я единственный админ, который использует линь на рабочей станции. Еще замечено, что даже если %logonserver% равен второму контроллеру, то все равно блочит первый.
В другой фирме, которая у меня на обслуживании, такой проблемы нет. Там нет Exchange и используется связка AD 2008R2 как носителся FSMO и Samba 4 в составе Debian 8 как второго контроллера AD. Оффтоп: жаба задушила в фирме на 15 сотрудников тратить 50000р на еще одну лицензию для Windows Server
Кто-нибудь знает, что могло случиться?
Блокировка учеток в AD
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- Dominator
- мл. сержант
- Сообщения: 123
- Зарегистрирован: 2009-06-06 15:43:01
- Откуда: Новосибирск/Кобург
- Контактная информация:
Блокировка учеток в AD
Windows must die!
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- подполковник
- Сообщения: 3927
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Блокировка учеток в AD
Я думаю вам надо разобраться с репликацией, даже точнее с dns'ом и временем в сети. Кстати а как виртуалка идет в сеть, из под ната или моста?
- Dominator
- мл. сержант
- Сообщения: 123
- Зарегистрирован: 2009-06-06 15:43:01
- Откуда: Новосибирск/Кобург
- Контактная информация:
Блокировка учеток в AD
Соединение мостовое, и виртулка введена в AD.snorlov писал(а):Я думаю вам надо разобраться с репликацией, даже точнее с dns'ом и временем в сети. Кстати а как виртуалка идет в сеть, из под ната или моста?
Есть какие-нибудь доки, где подробно разжевано? Был бы очень признателенsnorlov писал(а):Я думаю вам надо разобраться с репликацией
Мы (4 админа) не смогли найти вменяемой инструкции/документации, где бы было более-менее подробно расписано как это диагностить (не просто, что проблема есть, а куда копать в принципе и описание параметров LDAP, которые за это отвечают).
P.S. Оффтоп. Досталось наследство, называется
Windows must die!
-
- подполковник
- Сообщения: 3927
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Блокировка учеток в AD
Ну что делать, наследство есть наследство, прогоните тесты на контроллерах АД, в первую очередь dcdiag и netdiag... и про время не забудьте. У вас точно блокировка учетки или же просто не пускает...
-
- прапорщик
- Сообщения: 496
- Зарегистрирован: 2015-05-25 14:36:32
Блокировка учеток в AD
Попробуйте посмотреть с простого - нет-ли кешированного пароля на виртуалке или еще где-то от этого пользователя.
Была как-то история:
Код: Выделить всё
Были два разных домена соединены в трастед-моде.
Сотрудник ездил с ноутбуком вне домена, то туда, то сюда,
диски из обоих доменов цеплялись скриптом,
логины и пароли одинаковые в обоих доменах.
В некий момент времени стал оставлять ноут на второй площадке.
Как-то раз обращается "моя учетка заблокирована".
Снимаю лок.
Через минуту, опять заблокирована.
Опять снимаю блокироваку, опять лочится...
Минут через пять, до меня дошло, что что-то совсем не так...
Спрашиваю, а пароль не менял?
"Менял".
"Давно?".
"В пятницу".
"А на ноуте поменял?"
"??? А зачем?"
Звоню на вторую площадку "ребята, посмотрите, ноут включен? Да. Выключите на хер..."
Потом посмотрел, на ноуте остался старый закешированный пароль...
Он-то и портил всю малину...