Как починить авторизацию оснасток MMC для управления AD в WinServer 2012R2?
Стоит чистый свежий Windows Server 2012 R2 с ролью контроллера домена. Сразу скажу, делал всё по статьям из интернета.
Проблема в том, что я не могу нормально управлять AD через обычные оснастки MMC: Active Directory - домены и доверие, Active Directory — сайты и службы, Пользователи и компьютеры Active Directory.
При попытке открыть одну из них появляется сообщение с фразой "попытка входа в систему неудачна", затем оснастка открывается, но пустая. Попытка вручную переподключиться к серверу из оснастки вызывает такую же ошибку "имя пользователя или пароль неверны".
Возможно, это как-то связано со сменой пароля юзеров с правами Администратора Домена, таких юзеров у нас 2. От обоих такие же проблемы. Пробовал завести нового - то же самое.
После неудачных попыток войти в оснастки в журнале появляется следующее событие:
Журнал: Система, Источник: LSA (LsaSrv), Код: 6037. "Программе "lsass.exe", которой присвоен идентификатор процесса "628", не удалось выполнить локальную проверку подлинности, используя имя "ldap/your-dns-needs-immediate-attention.office" для конечного объекта. Имя конечного объекта недопустимо. Имя конечного объекта должно указывать на имя одного из локальных компьютеров, например DNS-имя хоста.
Попробуйте ввести другое имя."
При этом через "Центр администрирования Active Directory" всё доступно, всё работает.
Есть мнение, что это всё может быть из-за неправильной настройки DNS-сервера. Да, в настройках TCP/IPv4 в DNS-серверах кроме самого сервера настроены open-DNS'ы, иначе доступа в интернет нет. Серверы пересылки настраивал.
Что не могу понять - есть в другой сети точно такой же сервер с точно такими же ролями и настройками, и пароль от админов менял не один раз, там всё работает нормально.
В общем, буду рад любым советам и посылам, главное по нужному адресу.
В общем, какие действия привели к результату:
1. В настройках DNS-сервера перепроверить, работают ли серверы пересылки.
2. В настройках TCP/IPv4 перепроверить, нет ли ошибок в указании IP-адреса DNS-сервера (была опечатка).
3. В моём случае оставил open-dns'ы в настройках TCP/IPv4, но это ни на что не влияет, теперь всё хорошо и правильно.
Предлагаю в настройках TCP/IP dns сервера указать IP только этого DNS, в настройках DNS настроить Forwarding например на 8.8.8.8 (интернет будет прекрасно работать), на контроллере в настройках TCP/IP указать IP своего DNS.
P.S. Ваш DNS сервер открыт для всех в интернете? Попробуйте пингануть Ваш сервер по полному имени, можно с него же, во что резолвится в данный момент?
Всё это похоже на коллизию имен DNS - www.npsod.ru/blog/market_news/7315.html, https://www.icann.org/resources/pages/name-collisi... icannwiki.com/.office
Нет, в инет он не смотрит, это внутренний домен. Основной шлюз настроен по методу "всех выпускать, никого не впускать", грубо говоря, так что доступ серверу наружу полный.
Коллизия имён DNS это интересно, но что-то крайне сомневаюсь.
Простой
