[Discussion] lỗi về sever-client |
11/06/2009 02:58:41 (+0700) | #1 | 183201 |
chào tất cả các thành viên trong hva, đầu tiên cho mình xin lỗi vì mình không biết nên phải port bài vào phần nào của hệ thống diễn dàn. Mình xin tất cả các thành viên trong diễn dàn ai biết thì giúp đỡ mình trong trường hợp sau:
Hệ thống máy của mình có 1 Server 2003 là DC nghean.local và 30 máy client đã join vào miền nghean.local
Toàn bộ client hoạt động bình thường mình, logon vào miền ngon lành, sau đó mình đóng băng tất cả máy client bằng Deefree.
Sau 1 thời gian không xác định. Cứ khởi động lại máy Client thì đăng nhập miền được với tài khoản administrator (tài khoản này đã dùng để join, và đã đăng nhập thành công sau khi join) nhưng chỉ lần đầu tiên khi đăng nhập thôi, log out ra và đăng nhập lại thì không đăng nhập được nữa. Khởi động lại client thì lại đăng nhập được miền với administrator, logout ra và đăng nhập lại thì lại bị thế. (chỉ đăng nhập 1 lần nếu khởi động lại client), toàn bộ client đều như thế hết cả. Lỗi thông báo là:
"Windows cannot connect to the domain, eithe becouse the domain controller is down or unavailable, or becouse your computer account was not found. please try later. if this message continues to appear, contact your system administrator for assistance"
Mình rejoin lại máy client thì giải quyết được vấn đề ngay trước mắt. nhưng sau 1 thời gian nào đó thì hiện tượng này cũng sẻ lại xuất hiện. mỗi lần đi Rejoin lại máy client như thế này mất thời gian quá. Mà client thì không thể không đóng băng lại đựơc. Nếu client mà không đóng băng thì chẳng bao giờ có hiện tượng trên. nhưng không dóng băng thì làm lại máy cũng mệt lắm.
Có ai khắc phục được tình trạng trên thì chỉ giúp cho mình với.
Xin cảm ơn mọi người nhiều lắm. |
|
|
|
|
[Discussion] lỗi về sever-client |
11/06/2009 06:15:27 (+0700) | #2 | 183211 |
|
tranhuuphuoc
Moderator
|
Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline
|
|
Bro thử join cái PC lỗi đó về Workgroup sau đó thử join vào lại domain nghean xem nó có còn lỗi gì hay không |
|
|
|
|
[Discussion] lỗi về sever-client |
14/06/2009 08:48:57 (+0700) | #3 | 183493 |
No.13
Moderator
|
Joined: 25/08/2003 22:07:38
Messages: 500
Offline
|
|
Bạn check xem computer account của cái PC gặp lỗi có còn trên AD không?
Ngoài ra còn có khả năng là cái trục trặc của bạn có liên quan đến machine account password. Do sử dụng deep freeze nên có thể là password này bị mismatch giữa local computer và domain controller. Bạn tham khảo thêm http://support.microsoft.com/kb/260575 xem. |
|
|
|
|
[Discussion] lỗi về sever-client |
23/06/2009 06:50:21 (+0700) | #4 | 184333 |
cảm ơn các bạn. Mình vẫn chưa có cách nào khắc phục.
Trên server vẫn bình thường, computer account không sao cả. Cái bạn nói có phải là lỗi về chứng thực không?.
thời gian tham chiếu giữa client và server lệch nhau do client đóng băng. và mã chứng thực giữa chúng được sinh ra trong những lần chúng làm việc với nhau. Sau khi client trở lại trạng thái trước, do dáng băng thì mã chứng thực cũng bị sai khác. Vậy các bạn có cách nào để làm tại server không, tình trạng này mà cứ đi re-join lại toàn bộ máy thì vất vả lắm. Cảm on tất cảc các bạn nhiều lắm. |
|
|
|
|
[Discussion] lỗi về sever-client |
23/06/2009 09:17:34 (+0700) | #5 | 184342 |
No.13
Moderator
|
Joined: 25/08/2003 22:07:38
Messages: 500
Offline
|
|
Bạn thử http://technet.microsoft.com/en-us/library/cc785826(WS.10).aspx xem. |
|
|
|
|
[Discussion] lỗi về sever-client |
23/06/2009 09:41:35 (+0700) | #6 | 184346 |
|
Ikut3
Elite Member
|
0 |
|
|
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
|
|
@ Anh No.13 em nghĩ việc Disable password changes không có tác dụng trong việc này vì có thể server và client đã không chứng thực được nhau như bạn kia đã nói.Bạn thử tạm thời giải băng các máy ra và xem tình trạng này có còn xuất hiện không .
Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại các Server trong miền. Trong mô hình Domain của Windows Server 2003 thì các thông tin người dùng được tập trung lại do dịch vụ Active Directory quản lý và được lưu trữ trên máy tính điều khiển vùng (domain controller) với tên tập tin là NTDS.DIT.Do các thông tin người dùng được lưu trữ tập trung nên việc chứng thực người dùng đăng nhập vào mạng cũng tập trung và do máy điều khiển vùng chứng thực.
p/s:Đã thực hiện mô hình Client - Server mà lại còn đóng băng các client làm gì ? Bạn ở server có thể install 1 firewall , có nhiều giải pháp để kiểm soát việc ra vào cho từng máy mà |
|
|
|
|
[Discussion] lỗi về sever-client |
24/06/2009 07:20:20 (+0700) | #7 | 184430 |
Hệ thống của mình là:
AD chứa User là các tài khoản của học sinh, Home folder cũng như Quota cho mỗi học sinh để lưu bài thi và các bài tập. còn một số chính sách khác trong việc thi cử.
Client join domain để su dụng được các chính sách trên. Nếu không đóng băng thì học sinh tắt máy, bật máy... mất điện và có khi còn xóa các file hệ thống nữa (một số file mặc định user nào cũng có thể xóa được, mà cũng không thể phân quyền được vì Hệ thống Client dùng FAT32 cho phân vùng cài đặt Hệ điều hành - thuận tiện cho việc khôi phục hệ thống khi sự cố ví dụ có DOS, Để GHOST ...) Như vậy hệ thống sẻ hỏng suốt ngày, và đi khôi phục lại hệ thống suốt ngày.
Nên việc đóng băng là không thể không sử dụng.
Vấn đề chỉ xảy ra khi client đóng băng thôi, còn client không đóng băng thì trường hợp thỉnh thoảng client không logon vào domain được rất ít xảy ra.
Mình tìm mãi cách giải quyết mà vẫn chưa có ai nói rõ về vấn đề cũng như chưa ai có thể đưa ra cách xử lý cụ thể (Làm như thế nào).
Mong các bạn trên diễn đàn cùng thảo luận và giúp đỡ. Đây vừa là để giải quyết công việc như cũng là để có thêm kiến thức ạ.
Cảm ơn mọi người trên điễn đàn.
BÙI VĂN BÁ
MAIL: buivanba_it@yahoo.com
YM: buivanba_it or nhungnguoiban19852002 |
|
|
|
|
[Discussion] lỗi về sever-client |
24/06/2009 07:42:48 (+0700) | #8 | 184432 |
Luôn tiện chi mình hỏi thêm các mục trong: GP như sau
Đường dẫn vào như sau: trong Group Policy \Computer Configuration\Windows Settings\Security Settings\Account Policys\Kerberos Policy
Enforce user logon restrictions ----------- Enabled
Maximum lifetime for service ticket ----------- 600 minutes
Maximum lifetime for user ticket ----------- 10 hours
Maximum lifetime for user ticket renewal ----------- 7 days
Maximum tolerance for computer clock synchronization ----------- 5 minutes
Mong các bạn cho biết 5 lựa chon trên có ý nghĩa như thế nào. (Mong các bạn cho biết cụ thể của các lựa chọn)
Trên là các tham số mặc định của windows. Các bạn cũng cho biết ý nghĩa các tham số đó nữa.
Đây cũng là 1 bài viết có liên quan tới Kerberos. Nhưng chưa thấy nói rõ về các lựa chọn trên ạ
http://www.nhatnghe.com/FORUM/showthread.php?t=17524
Còn nữa:
trong mục Group Policy \Computer Configuration\Windows Settings\Security Settings\Local Policy\Security Options
Domain member: Disable machine account password changes ----------- Disabled
Domain member: Maximum machine account password age ----------- 30 days
Domain member: Require strong (Windows 2000 or later) session key ----------- Disabled
Mình đang lơ mơ về 3 mục này, Mong các bạn cho biết thêm ý nghĩa của 3 lựa chọn trên nữa.
|
|
|
|
|
[Discussion] lỗi về sever-client |
29/06/2009 01:09:00 (+0700) | #9 | 184859 |
No.13
Moderator
|
Joined: 25/08/2003 22:07:38
Messages: 500
Offline
|
|
@nhungnguoiban19852002: Bạn có thể xem các giải thích http://technet.microsoft.com/en-us/library/cc784780(WS.10).aspx.
Ikut3 wrote:
@ Anh No.13 em nghĩ việc Disable password changes không có tác dụng trong việc này vì có thể server và client đã không chứng thực được nhau như bạn kia đã nói.Bạn thử tạm thời giải băng các máy ra và xem tình trạng này có còn xuất hiện không .
Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại các Server trong miền. Trong mô hình Domain của Windows Server 2003 thì các thông tin người dùng được tập trung lại do dịch vụ Active Directory quản lý và được lưu trữ trên máy tính điều khiển vùng (domain controller) với tên tập tin là NTDS.DIT.Do các thông tin người dùng được lưu trữ tập trung nên việc chứng thực người dùng đăng nhập vào mạng cũng tập trung và do máy điều khiển vùng chứng thực.
Ikut3 có nghĩ điều gì khiến các client không thể logon và domain không?
"Windows cannot connect to the domain, eithe becouse the domain controller is down or unavailable, or becouse your computer account was not found. please try later. if this message continues to appear, contact your system administrator for assistance
Computer accout vẫn tồn tại, có thể do mismatch infor chăng?
DC down? Các máy không đóng băng có logon được không?
Client có connect vào domain được không? |
|
|
|
|
[Discussion] lỗi về sever-client |
29/06/2009 23:51:25 (+0700) | #10 | 184957 |
cảm ơn bạn nhiều lắm!
TRÍCH:
Computer accout vẫn tồn tại, có thể do mismatch infor chăng?
DC down? Các máy không đóng băng có logon được không?
Client có connect vào domain được không?
TRẢ LỜI:
vấn đề là mismatch nhưng mà bây giờ làm sao? để client va server có thể hiểu nhau và làm việc lại với nhau? Tôi không muốn phương pháp là cứ ReJoin lai client, vì làm như thế rất mất thời gian (gần 100 client cơ mà)
mismatch: ở đây là ý nói đến là server và client không đồng bộ cùng 1 phương thức quy định nào đó: như thời gian lệch nhau, thời gian sống của kerberos, chúng thực. Các mã chúng chực được sinh ra tự động để chúng trách việc hacker mạo nhận........?
còn khi tôi down (tắt server hoặc mắt server ra khỏi mạng) thì client không đăng nhập vào domian được ngay cả trên những máy hiện đang login vào domain tốt cũng không login vào được domain khi down server.
Tôi xét giá trị : Number of previous logons to cache=0
|
|
|
|
|
[Discussion] lỗi về sever-client |
30/06/2009 11:15:02 (+0700) | #11 | 185029 |
No.13
Moderator
|
Joined: 25/08/2003 22:07:38
Messages: 500
Offline
|
|
nhungnguoiban19852002 wrote:
cảm ơn bạn nhiều lắm!
TRÍCH:
Computer accout vẫn tồn tại, có thể do mismatch infor chăng?
DC down? Các máy không đóng băng có logon được không?
Client có connect vào domain được không?
TRẢ LỜI:
vấn đề là mismatch nhưng mà bây giờ làm sao? để client va server có thể hiểu nhau và làm việc lại với nhau? Tôi không muốn phương pháp là cứ ReJoin lai client, vì làm như thế rất mất thời gian (gần 100 client cơ mà)
mismatch: ở đây là ý nói đến là server và client không đồng bộ cùng 1 phương thức quy định nào đó: như thời gian lệch nhau, thời gian sống của kerberos, chúng thực. Các mã chúng chực được sinh ra tự động để chúng trách việc hacker mạo nhận........?
Các câu hỏi bắt nguồn từ cái error message trên. Và cái infor bị mismatch có thể là machine account password. AD sẽ chứng thực client dựa vào cái password này. Và cái password này sẽ thay đổi theo thời gian. Sự thay đổi này được thỏa thuận và được ghi nhận giữa DC và client. Bạn nghĩ sao khi client quay trở về trạng thái cũ trong khi DC vẫn giữ những thông tin mới.
nhungnguoiban19852002 wrote:
còn khi tôi down (tắt server hoặc mắt server ra khỏi mạng) thì client không đăng nhập vào domian được ngay cả trên những máy hiện đang login vào domain tốt cũng không login vào được domain khi down server.
Tôi xét giá trị : Number of previous logons to cache=0
Cái này là tất nhiên |
|
|
|
|
[Discussion] lỗi về sever-client |
04/07/2009 02:43:07 (+0700) | #12 | 185274 |
TRÍCH: No.13
"Các câu hỏi bắt nguồn từ cái error message trên. Và cái infor bị mismatch có thể là machine account password. AD sẽ chứng thực client dựa vào cái password này. Và cái password này sẽ thay đổi theo thời gian. Sự thay đổi này được thỏa thuận và được ghi nhận giữa DC và client. Bạn nghĩ sao khi client quay trở về trạng thái cũ trong khi DC vẫn giữ những thông tin mới."
Bạn nói rất đúng, vậy bây giờ "machine account password" mình phải đặt giá trị như thế nào để việc thỏa thuận và ghi nhận này không có hiệu lực nữa. (coi như mình không cần bảo mật nữa) hoặc có thể tăng thời gian mà Server và client sẻ thay đổi cái pass này (ví dụ sau khoảng thời gian là 30 ngày, pass này thay đổi. vậy mình có thể tăng thời gian lên cho nó không, mong bạn chỉ giúp mình tăng ở mục nào? tăng như thế nào nhé. )
Domain member: Disable machine account password changes ----------- Disabled (cái này Enabled là có thể vô hiệu hóa được phải không bạn)
Domain member: Maximum machine account password age ----------- 30 days (còn cái này mình giảm hoặc tăng số ngày phải thay đổi pass phải không bạn )
Cảm ơn bạn đã nhiệt tình giúp đỡ, Nếu có dịp cho tôi mời bạn một ly cafe nhé.
|
|
|
|
|
[Discussion] lỗi về sever-client |
04/07/2009 11:16:01 (+0700) | #13 | 185335 |
No.13
Moderator
|
Joined: 25/08/2003 22:07:38
Messages: 500
Offline
|
|
Cái nào cũng được, tùy theo yêu cầu thôi, bạn cứ thử xem |
|
|
|
|
[Discussion] lỗi về sever-client |
05/07/2009 03:14:38 (+0700) | #14 | 185397 |
chào bạn, mình cũng đã thay đổi các giá trị như mình đã nói. Khi nào có kết quả mình sẻ gủi tới bạn bản báo cáo tình hình nhé.
Còn trong phần Kerberos của GP bạn cho mình biết tác dụng của các mục trên được không?
Trích lại các mục đó là:
Đường dẫn vào như sau: trong Group Policy \Computer Configuration\Windows Settings\Security Settings\Account Policys\Kerberos Policy
Enforce user logon restrictions ----------- Enabled
Maximum lifetime for service ticket ----------- 600 minutes
Maximum lifetime for user ticket ----------- 10 hours
Maximum lifetime for user ticket renewal ----------- 7 days
Maximum tolerance for computer clock synchronization ----------- 5 minutes
Mong các bạn cho biết 5 lựa chon trên có ý nghĩa như thế nào. (Mong các bạn cho biết cụ thể của các lựa chọn)
Trên là các tham số mặc định của windows. Các bạn cũng cho biết ý nghĩa các tham số đó nữa.
Mong các bạn góp ý, cảm ơn nhiều tới các thành viên! |
|
|
|
|
[Discussion] lỗi về sever-client |
24/07/2009 05:57:25 (+0700) | #15 | 187361 |
mình đã làm:
Domain member: Disable machine account password changes ----------- Enabled
Domain member: Maximum machine account password age ----------- 999 days
Và hiện tại chưa gặp lại trường hợp trên, hệ thống của mình đang ngày một khỏe hơn.
Cảm ơn No.13 và các bạn trên diễn đàn.
BÙI VĂN BÁ - 0987441600
|
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|