Почему слетают разрешения на папки после перезагрузки сервера?
Добрый день! Есть windows server 2012, выполняющий роли файлообменника и сервера терминалов, не является контроллером домена. Несколько месяцев на нем крутится сервер SQL2014 с 1сными базами. Замечено, что после перезагрузки сервера (аварийно или контролируемо при проведении работ) он "забывает" права пользователей на папки. Проявляется это так: при удаленном подключении (RDP) не срабатывает политика перенаправления папок, рабочий стол пользователя пуст. Дальнейшие попытки войти в папки и диски заканчиваются отбойником "отказано в доступе".
Сначала решили, что сервер выпал из домена, но ошибок про "доверительные отношения" (netdom verify serverB говорит, что безопасный канал был проверен и соединение с DC установлено) нет, сервер пингует контроллер, пингуется из сети, на него можно зайти по РДП. Лечится принудительным выводом из домена и вводом обратно. Но при это перестает работать вообще все (так как меняется SID), к тому же это желательно находиться с ним рядом.
На DC есть сообщение в логах "Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера serverB$. Использовалось конечное имя cifs/ServerB.contoso.com. Это означает, что конечному серверу не удалось расшифровать билет, предоставленный клиентом." Гугл советует перерегистрировать проблемный сервер в DNS, но это тоже не приносит результата. Что бы сделать, чтобы заработало без вывода в группу?
Уважаемые, ситуация повторилась и я получил новую информацию от начальника. Была попытка настроить репликацию и поднять второй DC. Попытка провалилась, второй контроллер теперь физически отсутствует, но скорее всего про него остались какие-то записи на первом DC.
dcdiag /n:local /e /v /f:c:\adtest.log среди прочего выдает следующее:
spoiler
Запуск проверки: DFSREvent
The DFS Replication Event Log.
За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
Возникла ошибка. Код события (EventID): 0xC0001390
Службе репликации DFS не удалось установить подключение к партнеру DC2 по группе репликации Domain System Volume. Причиной этой ошибки может быть недоступный узел или незапущенная служба репликации DFS на сервере.
DNS-адрес партнера: DC2
можно как-то сделать так, чтобы DC вообще забыл и никогда не вспоминал о неудачном DC2 в любых проявлениях?
после перезагрузки сервера (аварийно или контролируемо при проведении работ) он "забывает" права пользователей на папки.
Вот такие вещи на нормальном сервере происходить не должны. Ищите в автозапуске ПО, которое правит ACL на диске с каталогами пользователей - весьма вероятно, это какой-нибудь вирус или забытый скрипт по сбросу чего-то-там.
Как вариант - в сервере села батарейка RTC, в результате он запускается с некорректным локальным временем, оттого и керберос не работает.
Недоступность Kerberos'а не может влиять на права ntfs. Даже если невозможно разрешить sid в имя - отображаются сами sid, т.к. права именно за ними закрепляются.
Константин Антонов, ну да, но из текста вопроса не совсем понятно, портятся ACL или нет. Я писал ответ, поняв ситуацию как потерю самих ACL, потом в голову пришла другая мысль, про расхождение времени и керберос.
Средний
