Патилата на чичо Денчо

Взе да става много шарено:

Log Name: System
Source: NETLOGON
Date: 17.9.2010 г. 07:03:06 ч.
Event ID: 5723
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: Z03-SRV-01.sou-nnxxnn.net
Description:
The session setup from computer ‘Z02-WKS-22’ failed because the security database does not contain a trust account ‘Z02-WKS-22$’ referenced by the specified computer.

USER ACTION
If this is the first occurrence of this event for the specified computer and account, this may be a transient issue that doesn’t require any action at this time. If this is a Read-Only Domain Controller and ‘Z02-WKS-22$’ is a legitimate machine account for the computer ‘Z02-WKS-22’ then ‘Z02-WKS-22’ should be marked cacheable for this location if appropriate or otherwise ensure connectivity to a domain controller capable of servicing the request (for example a writable domain controller). Otherwise, the following steps may be taken to resolve this problem:

If ‘Z02-WKS-22$’ is a legitimate machine account for the computer ‘Z02-WKS-22’, then ‘Z02-WKS-22’ should be rejoined to the domain.

If ‘Z02-WKS-22$’ is a legitimate interdomain trust account, then the trust should be recreated.

Otherwise, assuming that ‘Z02-WKS-22$’ is not a legitimate account, the following action should be taken on ‘Z02-WKS-22’:

If ‘Z02-WKS-22’ is a Domain Controller, then the trust associated with ‘Z02-WKS-22$’ should be deleted.

If ‘Z02-WKS-22’ is not a Domain Controller, it should be disjoined from the domain.
Event Xml:

5723
2
0
0x80000000000000

4906
System
Z03-SRV-01.sou-nnxxnn.net

Z02-WKS-22
Z02-WKS-22$
8B0100C0

Тълкуване:
Ако за първи път се появява такова съобщение, може да не се налага никакво действие. Тоест, очакваме да се оправи достъпността или наличността на свързаност с машината. Надежди.
Щом е за един ден се повтаря няколко пъти такова нещо… май не сме в тази фаза от проблема. Достъпването до машината директно е възможно с мрежовия потребител, но той е и локален администратор, така че… почвам да си сърбам попарата с двусмислените имена и пароли на двама различни по принадлежност потребители.
Защо от 10 еднакви станции, две не са станали като другите???
should be marked cacheable for this location – би трябвало нещо си да се маркира по кеширането, бррр това го пропускам…
Дали това е домейн-контролер само за четене? Иначе да прегледам възможностите, изброени по-долу:
1. да го преприсъединя към домена??? – should be rejoined to the domain.
2. да възвърна доверието на този акаунт? – trust should be recreated.
В противен случай:
1. Ако се приеме, че домейн-кнотролерът не е с легитимен акаунт, да го изтрия. Да му унищожа доверителните права.
2. Ако не е домейн контролер, да го разсъединя. – should be disjoined from the domain.

Още малко съобщения от дневника на сървъра поради същата станция:

Log Name: System
Source: NETLOGON
Date: 17.9.2010 г. 15:18:38 ч.
Event ID: 5805
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: Z03-SRV-01.nnxxnn.net
Description:
The session setup from the computer Z02-WKS-22 failed to authenticate. The following error occurred:
Access is denied.

Event Xml:

5805
2
0
0x80000000000000

4913
System
Z03-SRV-01.sou-nnxxnn.net

Z02-WKS-22
%%5
220000C0

А дали със следващото решение за продължение не режа сама клона, на който стоя?
След „споделяне“ на папка за „всеки“, реших да забраня всякакви други дейности освен четене. Това води до определено бавен процес, да се случи исканото, като се визуализира прехвърляне на правилото върху многото вътрешни за забраната папки и файлове. Картинката в моментен кадър е такава:

А предупреждението преди да започне описаният процес е:
You are setting a deny permissions entry. Deny entries take precedence over allow entries. This means that if a user is a member of two groups, one that is allowed a permission and another that is denied the same permission, the user is denied that permission.

Do you want to continue?
–––––––––
Yes No
–––––––––
Щом забраните за по-силни от разрешенията, ако за everyone задам забрана за писане и промяна, ще може ли някой да прави нещо друго с папката, която опитвам да споделям, освен да чете сложеното дотук в нея???
…Нямам нищо сложено още там, където искам да стане точно така. А там, където го е показала снимката, хич не ми трябва толкова жестока забрана за един конкретен потребител, на когото конкретно разреших да прави всичко в тази пълна папка… Изиграх ли системата с правилата за моя избран привилегирован потребител? 🙂 😦

Advertisements

3 comments

  1. Петър

    Ели, за тази станция трябва да направиш следното:
    1. увери се, че часът и датата съвпадат с тези на сървъра (обърни внимание на времевата зона)
    2. увери се, че DNS-ът на станцията първо към сървъра

    Ако това не помогне – махни я от домейна (disjoin) и я присъедини отново.
    В домейн работните станции са изключително чувствителни към еднаквостта на времето (използва се Kerberos). Ако разликата е повече от +/- 5 минути станцията не може да се автентикира (съобщението е Access Denied). Освен това по подразбиране има срок (30 дни), в който станцията ТРЯБВА да смени паролата на компютърния си акаунт (става автоматично). След този срок паролата става невалидна и компютърът не може да се автентикира (съобщението също е Access Denied) – решението е rejoin.

    Ти трябва да установиш кой от двата проблема е 🙂

  2. Петър

    По т.2 (правата):
    Интерфейсът за задаване на права има две разновидности:
    1) опростен – където избираш обобщени права (read/modify и т.н.). На заден фон това са комбинация от по-гранулярни права. Както може би си видяла ако дадеш deny modify се автоматично се слагат отметки и на останалите права. Т.е. това, което искаш да направиш няма да стане от тук

    2) подробен – тук вече правата се задават гранулярно. За да постигнеш желания ефект сложи Deny на:

  3. Петър

    По т.2 (правата):
    Интерфейсът за задаване на права има две разновидности:
    1) опростен – където избираш обобщени права (read/modify и т.н.). На заден фон това са комбинация от по-гранулярни права. Както може би си видяла ако дадеш deny modify се автоматично се слагат отметки и на останалите права. Т.е. това, което искаш да направиш няма да стане от тук

    2) подробен – тук вече правата се задават гранулярно. За да постигнеш желания ефект сложи Deny на:
    А) Write Attributes
    B) Write Extended Attributes
    C) Delete subfolders and files
    D) Delete
    E) (От съображения за сигурност) – Change Permissions и Take Ownership

Вашият коментар

Попълнете полетата по-долу или кликнете върху икона, за да влезете:

WordPress.com лого

You are commenting using your WordPress.com account. Log Out / Промяна )

Twitter picture

You are commenting using your Twitter account. Log Out / Промяна )

Facebook photo

You are commenting using your Facebook account. Log Out / Промяна )

Google+ photo

You are commenting using your Google+ account. Log Out / Промяна )

Connecting to %s