Потом задумался, как облегчить работу группы админов.
Нейросеть помогла с графическим скриптом. Скрипт при запуске показывает всех заблокированных.
Ну и всякое, типа "у кого скоро истекает пароль", "кто давно не заходил", "кто чаще всех ошибался со вводом пароля". Ну и ещё по мелочи.
Потом задумался, как облегчить работу группы админов.
Нейросеть помогла с графическим скриптом. Скрипт при запуске показывает всех заблокированных.
Ну и всякое, типа "у кого скоро истекает пароль", "кто давно не заходил", "кто чаще всех ошибался со вводом пароля". Ну и ещё по мелочи.
Теперь есть неплохой инструмент для анализа проблем с учетками и паролями.
Alexey Dmitriev, буду расстраиваться и попытаюсь решить пробему!
Перекинул на тестовую среду текущие контроллеры (WS2008).
В тестовой мигрировал с 2008 до 2022, лесная схема 2016. В целом успешно.
Теперь есть контроллеры на WS2022.
Проблема пока остается.
Повторно буду тестировать группу "операторы учетных записей".
Подозреваю, что нужно посмотреть запрошенные админом права и причину отказа, но пока не знаю где?
Подскажете?
Dieman666, Кстати реальный случай в нашей реальности. Ровно 2 месяца (и 118 часов) назад. Уборщица мыла полы, увидела выпавший кабель, решила вернуть "всё как было", воткнула в коммутатор.
Судя по началу поста, вы подрабатываете учителем информатики в школе и пытаетесь решить проблему исходя из своих знаний? Я верно предположил?
Кстати, на №10 и №11 есть включен DHCP?
Суть: Сеть полностью падает раз в 3-4 дня. Пропадает интернет и связь во всей локальной сети.
Главный симптом: В момент аварии на неуправляемых свитчах (коммутаторах) все индикаторы начинают синхронно мигать. Это классический признак широковещательного шторма (broadcast storm).
История: Проблема появилась в конце января, до этого полгода работало стабильно.
2. Топология сети и расположение оборудования
Вход (Технический шкаф/Щитовая):
Оптический терминал (ZTE/Huawei): Установлен в месте ввода кабеля провайдера. Сигнал есть, LOS не горит. Работает штатно.
Первичное разделение (Технический шкаф/Щитовая):
От терминала провайдера физически отходят два кабеля:
Кабель А: Идет на Модем 12. Этот модем работает автономно на какую-то другую задачу (не относится к основной проблемной сети).
Кабель Б (Магистраль до узла директора): Идет в кабинет директора.
Узел директора (Кабинет директора, ниша с батареей отопления):
Здесь установлен Хаб TP-Link (центральный узел). Он находится в нише, где раньше стояла батарея (сейчас батареи нет, но трубы отопления проходят рядом). Часть слаботочной проводки (бухта кабеля) также проложена в непосредственной близости от этих труб.
К данному хабу подключены:
ПК директора (находится тут же, в кабинете).
Wi-Fi роутер №10 (стоящий где-то в этом же кабинете или смежном помещении, воткнут в LAN-порт).
Wi-Fi роутер №11 (аналогично, воткнут в LAN-порт, работает как точка доступа).
Магистральный кабель (длинная линия): Уходит из кабинета директора в компьютерный класс.
Компьютерный класс (Учебная аудитория):
Магистраль из кабинета директора приходит сюда и заходит в каскад из двух хабов Tenda. Они, предположительно, стоят где-то в углу класса или в учительской зоне.
От хабов Tenda провода расходятся к ПК класса (учебные машины).
3. Условия эксплуатации (Проблемные зоны монтажа)
Узел директора (Хаб TP-Link): Оборудование находится в нише с батареей. Это потенциальная зона перегрева, особенно в пик отопительного сезона.
Кабельная трасса: Часть провода в узле директора была уложена бухтой прямо возле батареи. Часть бухты убрали, но полностью исключить нагрев оставшихся участков нельзя.
4. Предпринятые действия
Физические на узле директора: Перетыкали кабели в другие порты того же хаба TP-Link, убрали лишние патч-корды ("хвосты"), частично отодвинули бухту кабеля от батареи.
Наблюдения: После перетыкания "входящего" кабеля (кабель Б от оптического терминала) в другой порт хаба TP-Link, сеть оживает ровно на 3-4 дня, после чего история повторяется.
Проверка: На роутерах №10 и №11 убедились, что они не создают петлю (кабели воткнуты в LAN-порты, WAN не задействован).
5. Вопросы
Может ли перегрев именно хаба TP-Link (стоящего у батареи) или его блока питания вызывать цикличный сбой с периодичностью в несколько дней (нагрелся за 3-4 дня — "поплыл", остыл после перетыкания — заработал)?
Похоже ли это на конфликт DHCP, учитывая, что роутеры №10 и №11 (которые могут быть и маршрутизаторами) подключены к одному сегменту сети, или время аренды адресов просто совпадает с циклом падений?
Какие еще факторы, кроме физической петли в проводах, могут вызвать широковещательный шторм именно в такой конфигурации (каскад хабов Tenda в классе + хаб TP-Link у директора)?
Стоит ли копать в сторону замены БП хаба TP-Link или установки активного охлаждения (вентилятора) в нишу с батареей?
Судя по началу поста, человек работает учителем информатики в школе и пытается решить проблему исходя из своих скромных знаний.
Ваше предложение "меняй всё" не подходит к бюджету школы.
Если у вас есть парочка коммутаторов L2 на выброс, то сообщите где и когда будете выбрасывать.
В оснастке управления GP, есть мастер моделирования политик.
Начни с него. Пусть пофантазирует.
На клиенте можешь посмотреть:
Просмотр событий
Журналы приложений и служб
Microsoft
Windows
GroupPolicy
+см журнал
В итоге заработало! Админ из группы "HelpDesk-UnlockAdmins" смог в разблокировку и смену пароля.
Без раздачи лишних прав.
1. Сначала чистим всё
dsacls "OU=OU,DC=mydc,DC=local" /R "HelpDesk-UnlockAdmins"
2. Сброс пароля
dsacls "OU=OU,DC=mydc,DC=local" /I:S /G "HelpDesk-UnlockAdmins:CA;Reset Password;user"
3. Разблокировка
dsacls "OU=OU,DC=mydc,DC=local" /I:S /G "HelpDesk-UnlockAdmins:WP;lockoutTime;user"
4. Требовать смену пароля
dsacls "OU=OU,DC=mydc,DC=local" /I:S /G "HelpDesk-UnlockAdmins:WP;pwdLastSet;user"
Потом задумался, как облегчить работу группы админов.
Нейросеть помогла с графическим скриптом. Скрипт при запуске показывает всех заблокированных.
Ну и всякое, типа "у кого скоро истекает пароль", "кто давно не заходил", "кто чаще всех ошибался со вводом пароля". Ну и ещё по мелочи.