Почему не подключаются сетевые диски через групповую политику?
Есть два контроллера домена на Windows Server 2019. Настроены групповые политики на подключение сетевых дисков, права на расшаренные папки выданы группе безопастности AD, диски подключались и все работало. В последнее время у двух людей с Windows 7 и Windows 10 диски перестали подключаться, в логах ошибка: Элемент предпочтения пользователь "I:" в объекте групповой политики "IRIS ПЗТГ {00A4062B-30AC-410B-BCC9-6581A9B34516}" не применен по причине ошибки с кодом "0x8007052e Вход в систему не произведен: имя пользователя или пароль не опознаны." Эта ошибка была отключена. Иногда бывает ошибка 0x80070056 Сетевой пароль указан неверно. У других пользователей в сети диски подключаются независимо от ОС.
igrek91, может какие-то политики не обновились, попробуйте принудительно обновить на клиентах Gpupdate /force
Ps ещё может база повреждена проверте целостность файловой системы на всех контроллерах домена и клиентах(хотя в ad там бы ошибки синхронизации поидее сыпались бы)
Zerg89, принудительно политики обновлял, проблемные пк в домен перезаводил, пароли на учетках пользователей менял, ничего не помогло. Сейчас на контроллерах домена обнаружил такие ошибки в логах: При установке сеанса с компьютера PAZOGT3 не получено подтверждение имен. В базе данных безопасности содержатся ссылки на учетные записи PAZOGT3$. Ошибка:
Отказано в доступе - это клиентская машина. И точно такая же ошибка на другом контроллере домена, но уже с именем файлового сервера.
igrek91, Проверьте синхронизацию времени и не пересекаются ли ip и мак
После вывода из домена удалить выведенные пк(и/или пк с такими же ip в случае пересечения адресов много глюков вылезает и поэтому либо статика либо dhcp на сервере ad) из ad в подразделе computers и завести снова
Zerg89, Синхронизация времени идет с контроллером домена, время везде одно и тоже. Маки и айпи пересекаться не могут, это три физических компа, айпишники раздаются по DHCP. По поводу вывода и ввода в домен и удаление учетки компьюетера, я так и делал, это не помогло
Возможно есть смысл понять проблема с компьютерами или пользователями. У вас же политики мапинга сетевых дисков применяются к пользователям? Если да, то под проблемным пользователем залогиньтесь на другом компьютере (на котором хорошо все) и посмотрите будут ли нужные диски.
Сейчас появилась другая проблема. После перезагрузки файлового сервера такая ошибка стала у всех. На КД в логах ошибка: При установке сеанса с компьютера SZP22 не получено подтверждение имен. В базе данных безопасности содержатся ссылки на учетные записи SZP22$. Ошибка:
Отказано в доступе. szp22 имя файлового сервера. Также КД стал блокировать админские учетные записи. Попробовал вывести и завести файловый сервер в домен, учетная запись компьютера не создается. Пробовал создать запись вручную, редактировал атрибут servicePrincipalName записав туда нужные атрибуты, ничего не помогло. Иногда бывают ошибки: Не удалось выполнить проверку подлинности для сеанса компьютера SZP22. Произошла следующая ошибка: Отказано в доступе. Или такая: Не удалось установить сеанс с компьютера "SZP22", так как указанная компьютером учетная запись доверия "SZP22$" отсутствует в базе данных безопасности. Все ошибки от службы NETLOGON. Забыл сказать файловый сервер NAS на линуксовой оболочке.
Есть ощущение, что возникли ошибки аутентификации Kerberos
Это более чем вероятно, т.к. Microsoft в последнее время сделала ее более строгой, а на вашем NAS соответствующие могли быть изменения не внедрены.
Есть такое руководство по поиску ошибок аутентификации Kerberos, попробуйте воспользоваться им.
И вообще, посмотрите, что пишется в журналах событий Безопасность и Служба каталога.
PS В частности, проблема с вводом в домен могла быть вызвана вот этим обновлением
Другое известное изменение, ужесточившее доступ - вот это
mvv-rus, Посмотрел в журнале обновлений, таких обновлений я не ставил, но на всякий случай удалил майские обновления на КД, сделал sfc /scannow, проблем не обнаружено. Прочитал руководство, ошибок не было. В журнале безопасности по прежнему при попытке ввода в домен NAS:
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 3
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: admin2
Домен учетной записи:
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xC000006D
Подсостояние: 0xC000006A
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -
Сведения о сети:
Имя рабочей станции: SZP22
Сетевой адрес источника: 10.10.0.14
Порт источника: 58431
И такая же ошибка для учетной записи szp22$.
mvv-rus, В том то и проблема что учетной записи szp22 нет в AD. При вводе она не создавалась, но я разобрался уже. Проблема была в моей невнимательности, в настройках NAS есть еще один пункт, куда прописывается учетная запись для присоединения к домену и там как раз была прописана admin2, у которой банально не было прав на ввод в домен, перебил учетную запись и все заработало. решилась ли изначальная проблема с пользователями пока нет возможности проверить, так как перенесли все данные на другой файловый сервер, как перенесу обратно напишу о результатах. Спасибо за ответ.
Появилась другая проблема. NAS сервер szp22 вводится в домен под учетной записью dadmin2, спустя какое то время учетная запись компьютера удаляется из AD. В логах ошибка:
Удалена учетная запись компьютера.
Конечный компьютер:
Идентификатор безопасности: S-1-5-21-1125616309-358861532-3264316055-2901
Имя учетной записи: szp22$
Домен учетной записи: PNZPZTP
Из за чего, соответственно теряется доступ к NAS