Security Teams



:::
Страницы: (2) [1] 2  ( Перейти к первому непрочитанному сообщению ) Ответ в темуСоздание новой темыСоздание опроса

> Проблема на серверах AD, Попытка включить Linux в домен Windowsе
logvin
Дата 14.01.2008 - 16:47
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 5
Пользователь №: 5691
Регистрация: 14.01.2008



Рейтинг:
(0%) -----


Есть два сервера server1 - PDC server2 BDC, на них AD и DNS на PDC настроен еще и DHCP
Есть проблема при включении Linux в домен, он ругается на сигнатуры или на время.
Есть подозрения что проблема в винде.
Просканировал оба сервера утилитами dcdiag и netdiag
Хотелось бы услышать мнение о возможных причинах ошибок, конкретно DNS
server1
Код

C:\>dcdiag

Domain Controller Diagnosis

Performing initial setup:
  Done gathering initial info.

Doing initial required tests

  Testing server: Default-First-Site\SERVER1
     Starting test: Connectivity
        ......................... SERVER1 passed test Connectivity

Doing primary tests

  Testing server: Default-First-Site\SERVER1
     Starting test: Replications
        ......................... SERVER1 passed test Replications
     Starting test: NCSecDesc
        ......................... SERVER1 passed test NCSecDesc
     Starting test: NetLogons
        ......................... SERVER1 passed test NetLogons
     Starting test: Advertising
        ......................... SERVER1 passed test Advertising
     Starting test: KnowsOfRoleHolders
        ......................... SERVER1 passed test KnowsOfRoleHolders
     Starting test: RidManager
        ......................... SERVER1 passed test RidManager
     Starting test: MachineAccount
        ......................... SERVER1 passed test MachineAccount
     Starting test: Services
        ......................... SERVER1 passed test Services
     Starting test: ObjectsReplicated
        ......................... SERVER1 passed test ObjectsReplicated
     Starting test: frssysvol
        ......................... SERVER1 passed test frssysvol
     Starting test: kccevent
        ......................... SERVER1 passed test kccevent
     Starting test: systemlog
        An Error Event occured.  EventID: 0x0000165B
           Time Generated: 01/14/2008   15:50:23
           (Event String could not be retrieved)
        ......................... SERVER1 failed test systemlog

  Running enterprise tests on : office_electra.ru
     Starting test: Intersite
        ......................... office_electra.ru passed test Intersite
     Starting test: FsmoCheck
        ......................... office_electra.ru passed test FsmoCheck

C:\>netdiag

..........................................

   Computer Name: SERVER1
   DNS Host Name: server1.office_electra.ru
   System info : Windows 2000 Server (Build 2195)
   Processor : x86 Family 15 Model 4 Stepping 7, GenuineIntel
   List of installed hotfixes :
       Q147222


Netcard queries test . . . . . . . : Passed
   [WARNING] The net card 'VMware Virtual Ethernet Adapter for VMnet8' may not
be working because it has not received any packets.
   [WARNING] The net card 'VMware Virtual Ethernet Adapter for VMnet1' may not
be working because it has not received any packets.
   GetStats failed for '¦Ё ьющ ярЁрыыхы№эvщ яюЁЄ'. [ERROR_NOT_SUPPORTED]
   GetStats failed for '¦шэшяюЁЄ WAN (PPTP)'. [ERROR_GEN_FAILURE]
   [WARNING] The net card '¦шэшяюЁЄ WAN (IP)' may not be working because it has
not received any packets.
   GetStats failed for '¦шэшяюЁЄ WAN (L2TP)'. [ERROR_NOT_SUPPORTED]



Per interface results:

   Adapter : ¦юфъы¦ўхэшх яю ыюъры№эющ ёхЄш

       Netcard queries test . . . : Passed

       Host Name. . . . . . . . . : server1
       IP Address . . . . . . . . : 192.168.11.223
       Subnet Mask. . . . . . . . : 255.255.255.0
       Default Gateway. . . . . . : 192.168.11.224
       Dns Servers. . . . . . . . : 192.168.11.223
                                    192.168.11.225


       AutoConfiguration results. . . . . . : Passed

       Default gateway test . . . : Passed

       NetBT name test. . . . . . : Passed

       WINS service test. . . . . : Skipped
           There are no WINS servers configured for this interface.

   Adapter : VMware Network Adapter VMnet1

       Netcard queries test . . . : Passed

       Host Name. . . . . . . . . : server1
       IP Address . . . . . . . . : 192.168.204.1
       Subnet Mask. . . . . . . . : 255.255.255.0
       Default Gateway. . . . . . :
       Dns Servers. . . . . . . . : 127.0.0.1


       AutoConfiguration results. . . . . . : Passed

       Default gateway test . . . : Skipped
           [WARNING] No gateways defined for this adapter.

       NetBT name test. . . . . . : Passed
           No remote names have been found.

       WINS service test. . . . . : Skipped
           There are no WINS servers configured for this interface.

   Adapter : VMware Network Adapter VMnet8

       Netcard queries test . . . : Passed

       Host Name. . . . . . . . . : server1
       IP Address . . . . . . . . : 192.168.41.1
       Subnet Mask. . . . . . . . : 255.255.255.0
       Default Gateway. . . . . . :
       Dns Servers. . . . . . . . : 127.0.0.1


       AutoConfiguration results. . . . . . : Passed

       Default gateway test . . . : Skipped
           [WARNING] No gateways defined for this adapter.

       NetBT name test. . . . . . : Passed
           No remote names have been found.

       WINS service test. . . . . : Skipped
           There are no WINS servers configured for this interface.


Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
   List of NetBt transports currently configured:
       NetBT_Tcpip_{0D4E7A31-8FE6-466E-8F15-DAA4CE4C135A}
       NetBT_Tcpip_{7AEBE74E-88B1-491B-A5BD-00BF70BEC844}
       NetBT_Tcpip_{344C17E3-B0EE-4CAC-A6EE-BA25F3885CF2}
   3 NetBt transports currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Passed


NetBT name test. . . . . . . . . . : Passed


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Failed
   [WARNING] The DNS host name 'server1.office_electra.ru' valid only on Window
s 2000 DNS Servers. [DNS_ERROR_NON_RFC_NAME]
             [FATAL]: The DNS registration for 'server1.office_electra.ru' is i
ncorrect on all DNS servers.
   PASS - All the DNS entries for DC are registered on DNS server '192.168.11.2
23' and other DCs also have some of the names registered.
   PASS - All the DNS entries for DC are registered on DNS server '192.168.11.2
25' and other DCs also have some of the names registered.
   PASS - All the DNS entries for DC are registered on DNS server '127.0.0.1' a
nd other DCs also have some of the names registered.


Redir and Browser test . . . . . . : Passed
   List of NetBt transports currently bound to the Redir
       NetBT_Tcpip_{0D4E7A31-8FE6-466E-8F15-DAA4CE4C135A}
       NetBT_Tcpip_{7AEBE74E-88B1-491B-A5BD-00BF70BEC844}
       NetBT_Tcpip_{344C17E3-B0EE-4CAC-A6EE-BA25F3885CF2}
   The redir is bound to 3 NetBt transports.

   List of NetBt transports currently bound to the browser
       NetBT_Tcpip_{344C17E3-B0EE-4CAC-A6EE-BA25F3885CF2}
       NetBT_Tcpip_{7AEBE74E-88B1-491B-A5BD-00BF70BEC844}
       NetBT_Tcpip_{0D4E7A31-8FE6-466E-8F15-DAA4CE4C135A}
   The browser is bound to 3 NetBt transports.


DC discovery test. . . . . . . . . : Passed


DC list test . . . . . . . . . . . : Passed


Trust relationship test. . . . . . : Skipped


Kerberos test. . . . . . . . . . . : Passed


LDAP test. . . . . . . . . . . . . : Passed


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
   No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Passed
   IPSec policy service is active, but no policy is assigned.


The command completed successfully


server2

Код

C:\>dcdiag

Domain Controller Diagnosis

Performing initial setup:
  Done gathering initial info.

Doing initial required tests

  Testing server: Default-First-Site\SERVER2
     Starting test: Connectivity
        ......................... SERVER2 passed test Connectivity

Doing primary tests

  Testing server: Default-First-Site\SERVER2
     Starting test: Replications
        ......................... SERVER2 passed test Replications
     Starting test: NCSecDesc
        ......................... SERVER2 passed test NCSecDesc
     Starting test: NetLogons
        ......................... SERVER2 passed test NetLogons
     Starting test: Advertising
        ......................... SERVER2 passed test Advertising
     Starting test: KnowsOfRoleHolders
        ......................... SERVER2 passed test KnowsOfRoleHolders
     Starting test: RidManager
        ......................... SERVER2 passed test RidManager
     Starting test: MachineAccount
        ......................... SERVER2 passed test MachineAccount
     Starting test: Services
        ......................... SERVER2 passed test Services
     Starting test: ObjectsReplicated
        ......................... SERVER2 passed test ObjectsReplicated
     Starting test: frssysvol
        ......................... SERVER2 passed test frssysvol
     Starting test: kccevent
        ......................... SERVER2 passed test kccevent
     Starting test: systemlog
        An Error Event occured.  EventID: 0x0000165B
           Time Generated: 01/14/2008   16:05:23
           (Event String could not be retrieved)
        ......................... SERVER2 failed test systemlog

  Running enterprise tests on : office_electra.ru
     Starting test: Intersite
        ......................... office_electra.ru passed test Intersite
     Starting test: FsmoCheck
        ......................... office_electra.ru passed test FsmoCheck

C:\>netdiag

.......................................

   Computer Name: SERVER2
   DNS Host Name: server2.office_electra.ru
   System info : Windows 2000 Server (Build 2195)
   Processor : x86 Family 6 Model 15 Stepping 6, GenuineIntel
   List of installed hotfixes :
       Q147222


Netcard queries test . . . . . . . : Passed
   GetStats failed for '¦Ё ьющ ярЁрыыхы№эvщ яюЁЄ'. [ERROR_NOT_SUPPORTED]
   GetStats failed for '¦шэшяюЁЄ WAN (PPTP)'. [ERROR_GEN_FAILURE]
   [WARNING] The net card '¦шэшяюЁЄ WAN (IP)' may not be working because it has
not received any packets.
   GetStats failed for '¦шэшяюЁЄ WAN (L2TP)'. [ERROR_NOT_SUPPORTED]



Per interface results:

   Adapter : ¦юфъы¦ўхэшх яю ыюъры№эющ ёхЄш

       Netcard queries test . . . : Passed

       Host Name. . . . . . . . . : server2
       IP Address . . . . . . . . : 192.168.11.225
       Subnet Mask. . . . . . . . : 255.255.255.0
       Default Gateway. . . . . . : 192.168.11.224
       Dns Servers. . . . . . . . : 192.168.11.223
                                    192.168.11.225


       AutoConfiguration results. . . . . . : Passed

       Default gateway test . . . : Passed

       NetBT name test. . . . . . : Passed

       WINS service test. . . . . : Skipped
           There are no WINS servers configured for this interface.


Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
   List of NetBt transports currently configured:
       NetBT_Tcpip_{E13B6857-A690-40E9-BF3E-CF9520747DD7}
   1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Passed


NetBT name test. . . . . . . . . . : Passed


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Passed
   [WARNING] The DNS host name 'server2.office_electra.ru' valid only on Window
s 2000 DNS Servers. [DNS_ERROR_NON_RFC_NAME]
   PASS - All the DNS entries for DC are registered on DNS server '192.168.11.2
23' and other DCs also have some of the names registered.
   PASS - All the DNS entries for DC are registered on DNS server '192.168.11.2
25' and other DCs also have some of the names registered.


Redir and Browser test . . . . . . : Passed
   List of NetBt transports currently bound to the Redir
       NetBT_Tcpip_{E13B6857-A690-40E9-BF3E-CF9520747DD7}
   The redir is bound to 1 NetBt transport.

   List of NetBt transports currently bound to the browser
       NetBT_Tcpip_{E13B6857-A690-40E9-BF3E-CF9520747DD7}
   The browser is bound to 1 NetBt transport.


DC discovery test. . . . . . . . . : Passed


DC list test . . . . . . . . . . . : Passed


Trust relationship test. . . . . . : Passed
   Secure channel for domain 'OFFICE_ELECTRA' is to '\\server1.office_electra.r
u'.


Kerberos test. . . . . . . . . . . : Passed


LDAP test. . . . . . . . . . . . . : Passed


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
   No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Passed
   IPSec policy service is active, but no policy is assigned.


The command completed successfully

C:\>
PMПисьмо на e-mail пользователю
Top
Dimon
Дата 14.01.2008 - 21:07
Цитировать сообщение
Offline



Editors
****

Профиль
Группа: -editors-
Сообщений: 446
Пользователь №: 17
Регистрация: 18.02.2005



Рейтинг:
(60%) XXX--


А что Linux пишет при включении в домен? Каков конфиг самбы? Разбег по времени не превышает заданный интервал? Часовые пояса везде одинаковы?


--------------------
Dmitry Panoff aka Dimon
Registered Linux user N330143
2:465/213.86@Fidonet
I can read OpenOffice.org. documents
PMICQ
Top
marshall
Дата 14.01.2008 - 21:10
Цитировать сообщение
Offline



=Expert=
***

Профиль
Группа: -experts-
Сообщений: 150
Пользователь №: 4433
Регистрация: 5.09.2006



Рейтинг:
(40%) XX---


Первое что бросилось в глаза:
> office_electra.ru
Т. е. символа "_" в имени домена быть не должно.
Мнение M$ в данном случае - не в счет, поскольку они не всегда соблюдают стандарты.
Как вариант:
office-electra.ru
Хотя я вижу домен (ваш?):
electra.ru (66.29.112.34)
Тогда я бы завел зону:
office.electra.ru
И добавил бы туда пользовательские хосты.
Т. е. user1.office.electra.ru <LOCAL_IP_ADDRESS>
PMСайт пользователяICQ
Top
logvin
Дата 15.01.2008 - 12:38
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 5
Пользователь №: 5691
Регистрация: 14.01.2008



Рейтинг:
(0%) -----


Цитата (marshall @ 14.01.2008 - 21:10)
Первое что бросилось в глаза:
> office_electra.ru
Т. е. символа "_" в имени домена быть не должно.
Мнение M$ в данном случае - не в счет, поскольку они не всегда соблюдают стандарты.
Как вариант:
office-electra.ru
Хотя я вижу домен (ваш?):
electra.ru (66.29.112.34)
Тогда я бы завел зону:
office.electra.ru
И добавил бы туда пользовательские хосты.
Т. е. user1.office.electra.ru <LOCAL_IP_ADDRESS>

Нет нет
домен именно OFFICE_ELECTRA
то что вы написали вообще не про нас
доступ в интенет у нас через прокси и IP другой

По поводу линукса
воопервых комманда получить trusted domain list не проходит
а так часто под виндой появляются ошибки в логах что для компьютера "linux" в базе даных защиты не содержится разрешений и в доступе отказано.



В тех логах что я дал ошибки есть?
PMПисьмо на e-mail пользователю
Top
marshall
Дата 15.01.2008 - 15:33
Цитировать сообщение
Offline



=Expert=
***

Профиль
Группа: -experts-
Сообщений: 150
Пользователь №: 4433
Регистрация: 5.09.2006



Рейтинг:
(40%) XX---


> домен именно OFFICE_ELECTRA
Не уверен что "_" - это правильно в разрезе windows/AD/linux.
Как вариант:
https://wiki.oszone.net/index.php/Настройка...Windows_2000_AD
FreeBSD заменить на линукс, и в конфигах поправить пути.
PMСайт пользователяICQ
Top
logvin
Дата 16.01.2008 - 08:57
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 5
Пользователь №: 5691
Регистрация: 14.01.2008



Рейтинг:
(0%) -----


Цитата (marshall @ 15.01.2008 - 15:33)
> домен именно OFFICE_ELECTRA
Не уверен что "_" - это правильно в разрезе windows/AD/linux.
Как вариант:
https://wiki.oszone.net/index.php/Настройка...Windows_2000_AD
FreeBSD заменить на линукс, и в конфигах поправить пути.

Вопервых какие проблемы в "_"
во вторых мне не нужен FREBSD
я настраивал SAMBA под Linux XP, в домен у меня компьютер включился но я не могу авторизоваться под пользователем скажем OFFICE_ELECTRA+Administrator
она пишет что неправильный пароль помоему, не помню сейчас.
Я так предполагаю что проблема в Kerber. Такое ощущение что работает неправильно именно этот протокол.
Потому что я ввел второй доменный контроллер, тоже под win2000 serverSP3,
и у него началась ошибка - через какое то время он не мог никуда зайти по сети и не мог открыть оснастку AD - писал ошибку что его часы не синхронизированы с контроллером домена. НА первом доменном контроллере ошибок небыло. Кроме того такая же ошибка возникала у пользователей при входе, помогала перезагрузка, как и серверу.
Проблему пока решил тем, что установил в политике безопасности домена максимальную разницу во времени 60мин и указал хранить глобальный каталог на обоих серверах.
P.S. про часовые пояса и прочее не говорите. Все синхронизировано было до секунды smile.gif


Вот я и говорю в логах, который я получил программами dcdiag и netdiag есть ошибка на обоих серверах
причем на первом она идет как ошибка, а на втором как предупреждение.

server1
Код

DNS test . . . . . . . . . . . . . : Failed
  [WARNING] The DNS host name 'server1.office_electra.ru' valid only on Window
s 2000 DNS Servers. [DNS_ERROR_NON_RFC_NAME]
            [FATAL]: The DNS registration for 'server1.office_electra.ru' is i
ncorrect on all DNS servers.


server2
Код

DNS test . . . . . . . . . . . . . : Passed
  [WARNING] The DNS host name 'server2.office_electra.ru' valid only on Window
s 2000 DNS Servers. [DNS_ERROR_NON_RFC_NAME]

Что она может значить?
PMПисьмо на e-mail пользователю
Top
nameless
Дата 16.01.2008 - 14:05
Цитировать сообщение
Offline



.:Тень:.
******

Профиль
Группа: -experts-
Сообщений: 1745
Пользователь №: 18
Регистрация: 19.02.2005



Рейтинг:
(90%) XXXXX


Цитата
Что она может значить?

Внимательно читаем пост Маршала и проверяем имена своих доменов



--------------------
Мы расправим крылья
PM
Top
logvin
Дата 16.01.2008 - 14:46
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 5
Пользователь №: 5691
Регистрация: 14.01.2008



Рейтинг:
(0%) -----


Цитата (vxk7m @ 16.01.2008 - 14:05)
Цитата
Что она может значить?

Внимательно читаем пост Маршала и проверяем имена своих доменов

Не понял, что значит проверит имя
[IMG]https://www.security-teams.net/board/uploads/photo-5691.jpg[/IMG]
вообще не понял
скрин шот моего домена
PMПисьмо на e-mail пользователю
Top
marshall
Дата 16.01.2008 - 21:28
Цитировать сообщение
Offline



=Expert=
***

Профиль
Группа: -experts-
Сообщений: 150
Пользователь №: 4433
Регистрация: 5.09.2006



Рейтинг:
(40%) XX---


Вот примерно так:
https://www.opennet.ru/openforum/vsluhforumID1/65515.html
И не забываем про google
https://www.google.com/search?q=%D1%81%D0%B...=UTF-8&oe=UTF-8
PMСайт пользователяICQ
Top
logvin
Дата 17.01.2008 - 14:01
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 5
Пользователь №: 5691
Регистрация: 14.01.2008



Рейтинг:
(0%) -----


Цитата (marshall @ 16.01.2008 - 21:28)
Вот примерно так:
https://www.opennet.ru/openforum/vsluhforumID1/65515.html
И не забываем про google
https://www.google.com/search?q=%D1%81%D0%B...=UTF-8&oe=UTF-8

Ну все же, ошибки которые я писал двумя сообщения выше выдаются под виндой, командой ntdiag. они что вызваны именно тем о чем вы мне написали :?
PMПисьмо на e-mail пользователю
Top

Опции темы Страницы: (2) [1] 2  Ответ в темуСоздание новой темыСоздание опроса