SRQ: Не работает авторизация пользователей из доверенного леса (пока кратко)

  • Article

Удивленный пользователь AD В Красноярске столкнулись с забавной проблемой: пользователи из доверенного домена не могут работать в основном, при этом, обратная авторизация работает. Поиск проблемы:

  1. Проверяем доверительные отношения на DC, validate trust проходит успешно в обе стороны.
  2. Рассинхронизация времени (5 минут) – некритично.
  3. Делаем ping domain.name – записи домена есть, пинг идет.
  4. С помощью утилиты portqry проверяем доступность основных портов для доверенного КД. Все ок.
  5. Смотрим сами DNS зоны на серверах, куда ссылается наша рабочая станиция, и обнаруживаем, что зона дублирована(!), т.е. существует “авторизованная” копия зоны DNS доверенного домена и при этом, естественно, отсутсвует их синхронизация, т.к. зона включена как primary(?).

Это распространенная проблема, когда администраторов беспокоит что ping domain.name выдает всегда разные адреса, при этом, часть КД недоступна по сети, т.е. времанами мы видим ping timeout. Чтобы решить эту проблему, люди часто делают копию зоны доверенного домена. Сначала эта зона secondary, потом, чтобы “немного ее исправить”, зону переводят в режим Primary, и удаляют адреса серверов КД, которые недоступны по сети из данного конкретного места. Через некоторое время все об этом забывают, а развиитие инфраструктуры идет, таким образом, в определенный момент времени мы начинаем получать устаревшую информацию из DNS… и вход в доверенный домен, естественно, пропадает.

Краткий вывод -  никогда не делайте несинхронизируемых “авторизованных”(primary) копий зон домена AD! PING не определяет ближайший контроллер домена, а просто показывает любой из серевров, которые указаны в  Name Server’s TAB для соответствующе зоны DNS. Используя MS DNS, обычно не имеет смыслать делать ручных исправлений для зон Active Directory – динамическое обновление и правильно настроенная “сборка мусора” (scavenging), как правило, решают все проблемы за Вас. :)

Также, в Красноярске обнаружили 3 отнюдь немаленькие компании, которые не знали о возможности автоматически строить карты Active Directory. Кстати, если у вас есть инфраструктура SMS или SCCM – знайте, существует способ сгенерировать топологию вашей инфраструктруы в VISIO. Это так же просто как и для AD: скачивайте SMSMAP и наслаждайтесь картинками вашей управляемой “вселенной”.