Диагностициране на проблеми при влизане

Преди да започна, просто искам накратко да спомена, че за да осигуря възможно най-много полезна информация, няма да покривам най-очевидните проблеми при влизане. Тази статия предполага, че преди да започнете процеса на отстраняване на неизправности, сте проверили дали потребителят въвежда правилната парола, че паролата не е изтекла и че няма проблеми с основната връзка между работната станция и домейн контролера.

Системен часовник

Може да изглежда странно, но системният часовник на работната станция всъщност може да бъде причина за проблеми при влизане. Ако времето на часовника на работната станция се различава с пет минути от времето на домейн контролера, влизането ще бъде неуспешно.

В случай, че се чудите, причината за това е протоколът за удостоверяване Kerberos. В началото на процеса на удостоверяване потребителят въвежда парола и потребителско име. След това работната станция изпраща заявка за сървър за удостоверяване на Kerberos до сървъра за разпространение на ключове. Тази заявка за сървър за удостоверяване на Kerberos съдържа няколко различни части от информация, включително:

  • Идентификация на потребителя;
  • Името на услугата, която потребителят иска (в този случай това ще бъде услугата за получаване на билети);
  • Удостоверител, който е шифрован с предварително споделения ключ на потребителя. Главният ключ на потребителя се генерира чрез криптиране на паролата на потребителя с помощта на еднопосочна функция.

Когато сървърът за разпространение на ключове получи заявка, той търси потребителския акаунт в Active Directory. След това изчислява универсалния ключ на потребителя иизползва го за дешифриране на удостоверителя (известен също като данни за предварително удостоверяване).

Когато работната станция на потребителя създаде автентификатора, той постави клеймо за време в шифрования файл. След като сървърът за разпространение на ключове декриптира този файл, той сравнява клеймото за време с текущия час на часовника си. Ако клеймото за време и текущият час са на разстояние не повече от пет минути, тогава заявката за удостоверяване на Kerberos сървър се счита за валидна и процесът на удостоверяване продължава. Ако клеймото и текущото време са на повече от пет минути, тогава Kerberos третира заявката като повторение на получен преди това пакет и в резултат на това отхвърля заявката за влизане. Когато това се случи, се показва следното съобщение:

Системата не може да ви пусне поради следната грешка: има часова разлика между клиента и сървъра. Моля, опитайте отново или се свържете с вашия системен администратор за съдействие.

Решението на този проблем е доста просто; просто настройте времето на работната станция да съответства на часа на часовника на домейн контролера.

Откази на сървъра на глобалния каталог

Друга основна причина за проблеми при влизане са повреди на сървъра на глобалния каталог. Сървърът за глобален каталог е домейн контролер, който е конфигуриран да действа като сървър за глобален каталог. Сървърът на глобалния каталог съдържа представяния с възможност за търсене на всеки обект във всеки домейн на цялото семейство.

Когато първоначално се създаде колекция от домейни (гора), първият домейн контролер, който поставите онлайн, автоматично се конфигурира да действа като глобален сървър.директории. Проблемът е, че този сървър може да се превърне в единична точка на повреда, тъй като Windows не определя автоматично други домейн контролери като сървъри за глобален каталог. Ако сървърът на глобалния каталог се повреди, само администраторите на домейни ще могат да влязат в Active Directory.

Като се има предвид важността на сървъра на глобалния каталог, трябва да работите за предотвратяване на повреди на тези сървъри. За щастие можете да посочите всеки или всички домейн контролери като сървъри за глобален каталог. Имайте предвид обаче, че трябва да конфигурирате всички домейн контролери да действат като сървъри за глобален каталог, ако вашето семейство се състои от един домейн. Наличието на множество сървъри за глобален каталог в семейство с множество домейни също може да бъде добра идея, но да разберете кои домейн контролери трябва да действат като сървъри за глобален каталог е нещо като форма на изкуство.

Ако вашият сървър за глобален каталог вече се е сринал и никой не може да влезе, най-доброто, което можете да направите, е да работите по възстановяването на сървъра. Има начин да позволите на потребителите да влизат дори ако сървърът на глобалния каталог не работи, но има риск за сигурността, свързан с този начин.

Ако Active Directory работи в собствен режим, тогава сървърът на глобалния каталог е отговорен за проверката дали даден потребител принадлежи към универсална група. Ако изберете да позволите на потребителите да влизат по време на срив, тогава членството на потребителите в универсална група няма да бъде проверено. Ако сте присвоили изрични откази на членове на определени универсални групи, тогава тези откази няма да влязат в сила, докато глобалният директориен сървър не бъде въведенобратно към онлайн режим.

Ако решите, че трябва да позволите на потребителите да влизат, тогава ще трябва да промените системния регистър на всички домейн контролери. Не забравяйте, че модифицирането на системния регистър е опасно и че направените грешки могат да унищожат Windows. Затова препоръчвам да направите пълно архивиране на системата, преди да продължите.

Повреди на DNS сървъра

Ако внезапно установите, че никой от вашите потребители не може да влезе в мрежата и изглежда, че вашите домейн контролери и сървъри за глобален каталог работят добре, тогава може да има проблем с DNS сървъра. Active Directory е напълно зависим от DNS услугата.

Има две неща, които трябва да знаете за грешките на DNS, свързани с проблеми с влизането. Първо, проблемите с влизането може да не възникнат веднага. Windows OS съдържа DNS кеш, който включва резултатите от предишни DNS заявки. Този кеш не позволява на работните станции да наводняват DNS сървърите със заявки за разрешаване на имена за едни и същи обекти отново и отново.

Второто нещо, което трябва да знаете за отказите на DNS сървъра, е, че често има много други симптоми, когато се появят освен проблеми с влизането. Освен ако машините във вашата мрежа не са конфигурирани да използват вторичен DNS сървър в случай, че основният DNS сървър се повреди, цялата среда на Active Directory в крайна сметка ще спре напълно. Въпреки че има изключения, липсата на DNS сървър в мрежата на Active Directory обикновено води до пълен провал на комуникацията.

Заключение

Въпреки че обсъдих някои от основните причини за проблеми при влизане в мрежите на Active Directory, важна част от процеса на диагностика е да се прецени колко широко разпространен е проблемът. Например, ако има само един възел в голяма мрежаима проблеми с влизането, вероятно изключвате грешки в DNS или глобален каталог. Ако причината бяха грешки в DNS или глобален каталог, проблемът вероятно щеше да е по-широко разпространен. Ако проблемът засяга само една машина, най-вероятно е свързан с конфигурацията, свързаността или потребителския акаунт на тази машина.