בעיה ב2000 server

[duke4you]

בעיה ב2000 server

שלום, מדובר על רשת משרדית של כ8 מחשבים עם שרת וינדוס 2000 SERVER החלפתי את אחד המחשבים ברשת ממחשב PC עם ווינדוס 98 למחשב נייד עם ווינדוס XP בכל פעם שאני מנסה לפתוח מסמך ברשת דרך הנייד החדש אני מקבל הודעה שהמסמך נמצא בשימוש ואם אם מנסה להכניס את המחשב הנייד לדומיין אני מקבל הודעה שיש כבר שם משתמש כזה. עשיתי הפעלה מחדש לכל המחשבים ברשת כולל השרת, אך עדיין אני מקבל הודעה שיש כבר יוזר כזה ברשת. כל הרעיון הוא להשבית את הPC ולהחליפו בנייד, אך משהו ברשת עדיין חושב שהPC עדיין קיים. תודה לעוזרים.

 

[icaesar]

נראה לי ש

אם תךף ל Active Directory Users and Computers מתחת ל node של Comuters תוכל לראות את כל המחשבים שסופחו לדומיין. בהנחה שהמחשב הבעייתי שם, הסר אותו מהדומיין וצרף אותו שוב מהנייד עצמו. קרה לי משהו דומה וזה עזר

 

[duke4you]

לא עזר

תחת COMPUTERS לא היה כלום אז הוספתי דרך הנייד (TERMINAL SERVICES) את המחשב הנייד, ולא עזר. רעיון אחר?

 

[antidot]

הסבר קצר

הוספת מחשב דרך AD Users&Computers (להלן יקרא ADUC) יוצרת חשבון חדש בAD. אין זה אומר שהמחשב בעל אותו שם יצורף אוטומטית לAD. על מנת שמחשב יצורף לAD יש צורך בהסכמה הדדית: שרת: הcredentials (אותם user/password) שאתה מזין ברגע צירוף תנה לדומיין הם בעלי הרשאות המספיקות ליצור אובייקט מסוג מחשב בAD לקוח: אתה חייב להיות בעלה הרשאות המאפשרות לך לצרף את המחשב לדומיין (הרשאות לוקליות למחשב). כאשר אתה מצרף את הלקוח לAD (מהתחנה עצמה) קורים כמה דברים: 1) אימות credentials שספקת מול DC 2) יצירת חשבון (במידה ולא קיים) עבור המחשב בAD 3) יצירת secure channel: למעשה לחשבון מחשב יש סיסמא שמנוהלת אוטומטית ומתחדשת ב2000 ומעלה כל 30 יום (באופן שקוף). secure channel הוא למעשה תהליך של קביעת סיסמא של המחשב אותו מצרפים באובייקט מסוג מחשב בAD. מסקנות: יצירת חשבון בלבד בAD לא מגיע לשלב של יצירת secure channel. איפה הבעיה במקרה שלך ? בחלונות (ללא שימוש בrunas), אסור יצור session-ים לאותו משאב עם credentials שונים. ז"א שאני לא יכול למפות server\share1\\ כמשתמש DOMAIN\Anti ואת server\share2\\ כמשתמש DOMAIN\D0t. נסה את התרגיל ותקבל שגיאה בסגנון: Supplied set of credentials conflicts with already provided bla bla bla, yada yada.... אז מה קרה כאן ? המיפוי של כונן לאותו DC היה בטח עם הרשאות של המשתמש ולצרף לAD ניסית עם חשבון אדמיניסטרטיבי. נוצר קונפליקט, כיוון שניסית לפתוח session לDC עם credentials אחרים. אגב: ראיתי את אותה שגיאה במצב שהיה מיפוי עם DOMAIN\AdminUser וניסיתי לצרף תחנה עם אותו חשבון DOMAIN\AdminUser. משום מה הDC לא אוהב כאשר ביצעו מולו אוטנטיקציה טרם צירוף לדומיין. ניחוש פרוע שלי הוא שלא ניתן לעשות impersonalization למשאב מסויים אם כבר עשית impersonalization פעם אחת לאותו משאב ולא משנה מה הם הcredentials.

 

[Admini]

אהה...

עכשיו אני מבין למה קיבלתי את הודעת השגיאה הזו כשניסיתי לגשת למחשב שלי ממחשב אחר בעזרת ש"מ שונה...

 

[antidot]

----->

adfind -s subtree -b dc=mydomain,dc=co,dc=il -f "&(objectcategory=computer)(cn=COMPUTERNAME)"​

יספר לך אם קיים בAD מחשב בשם זה ואם כן, איפה הוא נמצא. שנה את הCOMPUTERNAME לשם המחשב שה-AD טוען שהוא כבר קיים.

 

[duke4you]

אממ

לא כל כך הבנתי את הפקודה מצ"ב צילום מסך של ההודעה

 

[antidot]

טעות קלסית

יש לך מיפוי לDC או שיש לך כבר session פתוח לDC. net use * /DELETE ותנסה שוב.

 

[duke4you]

אתה צודק../images/Emo127.gif

אכן יש מיפוי כונני רשת לDC. מחר בבוקר אני אבדוק שוב, לאחר ניתוק כל כונני הרשת. וזה אמור לפתור גם את הבעיה בפתיחת מסמכי וורד שנמצאים בשרת, נכון? בכל פעם שניסיתי לפתוח מסמך קיבלתי הודעה שהמסמך נמצא בשימוש על ידי, או במילים אחרות, היוזר מנסה לפתוח מסמך וההודעה מציינת שהוא כבר פתוח ע"י אותו יוזר. ושוב תודה.

 

[antidot]

------>

יכול להיות שאני הוזה, אבל אני כמעט בטוח שראיתי שגיאה שאתה מתאר כשלמעשה היה מדובר בגיאה Access Denied. הפעלת auditing על הקבצים יכולה לעזור, אבל תוודא שהשגיאה לא חוזרת אחרי שאתה מצרף את התחנה לAD

 

[duke4you]

תודה, מחר אעדכן בתוצאות

 

[duke4you]

צדקת! זה עובד

לאחר שהסרתי את כל המיפויים לDC הצלחתי להכניס את היוזר לדומיין והבעיה בפתיחת מסמכים נפתרה.

 

[antidot]

לגבי הפקודה

טענה שתשמע בהתחלה מוזר: זגגים אמיתיים עובדים הרבה עם CLI... (אל תגלה את זה ללינוקסאים

) כיוון שניתן לגשת לAD בפרוטוקול LDAP, ניתן לתשאל את AD עבור קיום אובייקט מסויים בAD. הפקודה שנתתי: s subtree- אומרת לחפש החל מענף מסויים ולהמשיך לחפש בתת ענפים. b dc=mydomain,dc=co,dc=il- אומר החל מאיזה ענף להתחיל את החיפוש. לדוגמא, אם הדומיין שלי נקרא antid0t.net אז השורש הוא dc=antid0t,dc=net. באותה דרך OU שנקרא Domain Controllers מיוצג ע"י "OU=Domain Controllers,DC=antid0t,DC=net".

-f "&(objectcategory=computer)(cn=COMPUTERNAME)"​

כאן אנחנו מגדירים פילטר, ז"א אומרים איזה סוג של אובייקטים לחפש (objectcategory=computer) ואת השם של אובייקט (cn=COMPUTERNAME). הסימן & אומר שיש לבצע פעולת AND על שני הפילטרים, ז"א ששני התנאים צריכים להתקיים: 1) האובייקט הוא מסוג מחשב. 2) לאובייקט קוראים COMPUTERNAME (למעשה שם המחשב אותו הגדרת בAD). כאשר יש לך קצת יותר מכמה עשרות משתמשים בAD, הממשק הגרפי לפעמים לא מספיק מהיר וגמיש.

 

[huli2000]

האם את עובד עם AD??

תנסה להעלים ממחיצת המחשבים את המחשב הספציפי שברצונך לנתק. תנסה שוב להחליף שם מחשב לחדש... עוד קצת פרטים על השרת לא יזיקו