Задать вопрос
@whitest
Развивающийся сисадмин

Как починить авторизацию оснасток MMC для управления AD в WinServer 2012R2?

Стоит чистый свежий Windows Server 2012 R2 с ролью контроллера домена. Сразу скажу, делал всё по статьям из интернета.
Проблема в том, что я не могу нормально управлять AD через обычные оснастки MMC: Active Directory - домены и доверие, Active Directory — сайты и службы, Пользователи и компьютеры Active Directory.
При попытке открыть одну из них появляется сообщение с фразой "попытка входа в систему неудачна", затем оснастка открывается, но пустая. Попытка вручную переподключиться к серверу из оснастки вызывает такую же ошибку "имя пользователя или пароль неверны".
Возможно, это как-то связано со сменой пароля юзеров с правами Администратора Домена, таких юзеров у нас 2. От обоих такие же проблемы. Пробовал завести нового - то же самое.
После неудачных попыток войти в оснастки в журнале появляется следующее событие:

Журнал: Система, Источник: LSA (LsaSrv), Код: 6037.
"Программе "lsass.exe", которой присвоен идентификатор процесса "628", не удалось выполнить локальную проверку подлинности, используя имя "ldap/your-dns-needs-immediate-attention.office" для конечного объекта. Имя конечного объекта недопустимо. Имя конечного объекта должно указывать на имя одного из локальных компьютеров, например DNS-имя хоста.

Попробуйте ввести другое имя."


При этом через "Центр администрирования Active Directory" всё доступно, всё работает.

Есть мнение, что это всё может быть из-за неправильной настройки DNS-сервера. Да, в настройках TCP/IPv4 в DNS-серверах кроме самого сервера настроены open-DNS'ы, иначе доступа в интернет нет. Серверы пересылки настраивал.
Что не могу понять - есть в другой сети точно такой же сервер с точно такими же ролями и настройками, и пароль от админов менял не один раз, там всё работает нормально.

В общем, буду рад любым советам и посылам, главное по нужному адресу.
  • Вопрос задан
  • 1038 просмотров
Подписаться 3 Оценить 5 комментариев
Решения вопроса 1
@whitest Автор вопроса
Развивающийся сисадмин
В общем, какие действия привели к результату:
1. В настройках DNS-сервера перепроверить, работают ли серверы пересылки.
2. В настройках TCP/IPv4 перепроверить, нет ли ошибок в указании IP-адреса DNS-сервера (была опечатка).
3. В моём случае оставил open-dns'ы в настройках TCP/IPv4, но это ни на что не влияет, теперь всё хорошо и правильно.

Спасибо всем :)
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
@Amigo83
IT-шник
Предлагаю в настройках TCP/IP dns сервера указать IP только этого DNS, в настройках DNS настроить Forwarding например на 8.8.8.8 (интернет будет прекрасно работать), на контроллере в настройках TCP/IP указать IP своего DNS.
P.S. Ваш DNS сервер открыт для всех в интернете? Попробуйте пингануть Ваш сервер по полному имени, можно с него же, во что резолвится в данный момент?
Всё это похоже на коллизию имен DNS - www.npsod.ru/blog/market_news/7315.html, https://www.icann.org/resources/pages/name-collisi...
icannwiki.com/.office
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы