Сегодня на повестке дня задачка для продвинутых виндовых администраторов

[dil]

Абсолютно невыдуманная история:
маленькая локальная сеточка на пару десятков компьютеров с XP и одним доменным контроллером под Windows SBS 2008.

В один прекрасный момент ровно на одной клиентской машине (XP SP3), вероятно, после автоматически установившегося очередного апдейта начались странные глюки. Залогиниться на машину под доменным эккаунтом стало невозможно, только под локальным. Сетевое окружение с неё видно, DC видно, но ни к каким разделяемым ресурсам доступа нет. Explorer при попытке подключения к ресурсам на DC спрашивает логин и пароль, но на доменный логин и пароль утверждает, что они не подходят.  net use из консоли с тем же доменным эккаунтом срабатывает,  но внутри подключенного ресурса ни директорий, ни файлов не видно. При попытке создать новый файл – Access denied. С других машин под тем же доменным пользователем всё работает, как задумано, а с этой – никак.

Предположив, что что-то не в порядке с доменным эккаунтом самой машины, её вывели из домена и попытались ввести обратно. Но не тут-то было. Обратно она вводиться упорно не хотела со странным сообщением "The RPC protocol sequence is not supported". С применением кувалды и какой-то матери это сделать в конце концов удалось.

На машину стало возможно залогиниться под доменным эккаунтом, но глюки с доступом к сетевым ресурсам никуда не исчезли. Ресурсы видно, подключиться можно, а внутри – фиг. Хотя некоторые ресурсы типа NETLOGON и принтеров на том же DC были доступны. Со стороны сервера было нормально видно установленные сессии под доменным эккаунтом, в логах сервера никаких ошибок.

netdiag в процессе тестирования успешно нашёл сеть, нашёл доменный контроллер, но в некоторых местах ругался странными словами типа "Login unsuccessfull, a domain controller cannot be found to verify that user name", "The RPC protocol sequence is not supported" и т.п. Те же ошибки встречаются в логах клиентской машины, но совершенно ничего не проясняют.

А теперь, дорогие продвинутые администраторы, попробуйте по этим симптомам определить, чтО сломалось, и как его лечить.

Ответы писать сюда.

FAQ:

Q: DNS?
A: DNS живёт на DC, нормально работает, доступен с этой машины, успешно ресолвит для неё все имена.

Q: Роутер/файрвол/сетевые глюки?
A: Роутера нет, всё включено в один коммутатор. Файрволы отключали, не помогает. Никаких глюков в сети не обнаружено.

Q: А это, часом, не вирус? Очень уж похоже.
A: Часа вирусов не найдено, проблема была устранена без их участия.

Q: Тогда, может, антивирус?
A: Отключали, никакого эффекта.

Q: Время рассинхронизировано?
A: Не, эту шутку мы знаем. Время совпадает.

Оригинал этой записи. Комментировать можно тут или там.

Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме

Comments

[kaa.livejournal.com]

а это не эффект от внезапно включенного DNSSEC? :)

[dil.livejournal.com]

Нет, на сервере ничего не меняли. И потом, оно б тогда у всех клиентов случилось, а тут только у одного.

[olexandr bilyk (from livejournal.com)]

(а) TCP/IP (Winsock) съехал? - обновил бы драйвера на сетевую и сделал бы reset стеку через netsh

(б) проверил бы уровень проверки подлинности LanManager

(в) пошел бы гулять в диагностику чего деется в Kerberos - включил бы диагностику в реестре и далее по факту

[dil.livejournal.com]

а) netsh reset делали, не помогло. полностью переставлять winsock не пробовали, но подозреваю, что это бы тоже не помогло.

б) net use работал, из чего следует, что клиент с сервером общий уровень нашли.

в) в логе ничего про kerberos не было. Как для него включается повышенный уровень диагностики?

[olexandr bilyk (from livejournal.com)]

http://support.microsoft.com/kb/262177

[dil.livejournal.com]

Спасибо, надо будет попробовать

[pash7ka.livejournal.com]

Я, конечно, ничуть не виндовый администратор, но пока гугл меня не забанил спешу высказать свой подход к решению проблшемы.
Очевидно "The RPC protocol sequence is not supported" - ключ к пониманию проблемы, т.к. неработающее RPC явно может приводить к остальным глюкам. А диагностика и решение проблем с RPC описаны в kb 177446 (http://support.microsoft.com/kb/177446/en-us) и 325930 (http://support.microsoft.com/kb/325930/en-us). И самым вероятным представляется попорченная ветка реестра.

[boza-revenge.livejournal.com]

+1 наверное. Мне при чтении вводной тоже про RPC не понравилось

[dil.livejournal.com]

Вполне логично, но сам по себе RPC оказался ни при чём. Указанные ветки реестра были проверены, ничего там не испортилось.

[danfe.livejournal.com]

Может это из-за конфликта имен пользователей/машин?

[dil.livejournal.com]

Нет, не оно.

[olexandr bilyk (from livejournal.com)]

ветку проверил бы HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

[dil.livejournal.com]

На предмет чего? Там дофига всяких значений и подветок

[olexandr bilyk (from livejournal.com)]

что userinit.exe & msgina.dll никто не подменил. да и вообще полностью сличить ветки 2 PC много времени не нужно - так будет уверенность что winlogon отрабатывает правильно.

[bromi.livejournal.com]

Честно, ничего не скажу без гугления всяких кб по тем ошибкам, которые есть в логах.
Заковыка, тем не менее, в том, что при достаточно уверенности в причине происходящего (апдейт) ответ продвинутого виндового администратора - откатить на точку ощутимо пораньше и не ебать мозг :)

[dil.livejournal.com]

Откатили. Не помогло.

[bromi.livejournal.com]

Хм. А почистить AD ручками? Я помню, когда у меня DC из долгого оффлайна виртуального плохо вернулся, я по KB вычищал все упоминания о нём - а то он тоже как-то весьма наполовину работатъ.

[dil.livejournal.com]

Что чистить-то? DC никуда не пропадал, работает себе и работает, у остальных клиентов всё нормально.

[bromi.livejournal.com]

Записи об этой машине?
Я, в общем-то, первым постом имел ввиду, что при мс-идеологически построенной архитектуре дешевле по трудочасам при сложной проблеме тупо всё снести и жмакнуть кнопочку "подготовить вон ту машину для вон того юзера".
Хотя меня это самого угнетает, ибо отупление.

[dil.livejournal.com]

Доменный эккаунт машины снесли совсем и пересоздали заново. Не помогло. А саму машину переставлять не хотелось, там у юзера было понаставлено много кастомных программ.

[bromi.livejournal.com]

Ну, подожду ответа ) Так я его, как уже сказал, не знаю, а диагностикой удаленной заниматься не прикольно.

[evgalt.livejournal.com]

Какая знакомая история, у нас что-то подобное же было, правда там с уверенностью сказать, что на пользовательской машине ничего не менялось нельзя - тот еще экспериментатор сидел ;)

Лечили полной вычисткой упоминаний о клиенте с сервера, и наоборот, иногда с первого раза не прокатывало. Помню тоже очень радовало, что в логах - все чисто, а найденные по ключевым симптомам workaround'ы сводились к "подключен ли компьютер к сети? если да, то покамлайте с бубном".

[dil.livejournal.com]

Здесь тоже никто не говорил, что на пользовательской машине ничего не менялось. Вроде бы какие-то апдейты поставились, но пользователь такие вещи не запоминает, естественно.

[evgalt.livejournal.com]

Даты установки апдейтов можно вычислить... но AFAIK на доменные дела патчей в последнее время не выходило...

[bromi.livejournal.com]

И где ответ?

[olexandr bilyk (from livejournal.com)]

зашел спросить тоже самое

[dil.livejournal.com]

Щас..