Діагностика проблем входу в систему

Перш ніж я почну, просто хочу коротко згадати, що для того, щоб надати якомога більше корисної інформації, я не буду розповідати про самих очевидні проблеми входу в систему. У цій статті передбачається, що перш ніж ви почнете процес діагностування, ви переконалися в тому, що користувач вводить правильний пароль, термін дії пароля не закінчився, і що немає проблем у базовому з`єднанні між робочою станцією і контролером домену.

Системний годинник

Може здатися дивним, але системний годинник робочої станції можуть насправді служити причиною виникнення проблем входу. Якщо час на годиннику робочої станції на п`ять хвилин відрізняється від часу на контролері домену, то при вході в систему буде збій.

На випадок, якщо вам цікаво, причина цього криється в протоколі аутентифікації Kerberos. На початку процесу аутентифікації користувач вводить пароль і ім`я користувача. Потім робоча станція відправляє запит аутентифікації сервера Kerberos Authentication Server Request на сервер розподілу ключів (Key Distribution Server). Цей запит аутентифікації сервера Kerberos Authentication Server Request містить кілька різних фрагментів інформації, включаючи:

• Ідентифікацію користувача;
• Ім`я служби, яку запитує користувач (в цьому випадку це буде служба отримання квитка (Ticket Getting Service));
• Аутентифікатор, який зашифрований універсальним ключем користувача. Універсальний ключ користувача (master key) проводитися шифруванням пароля користувача, використовуючи односпрямовану функцію.

Коли сервер розподілу ключів отримує запит, він переглядає призначену для користувача обліковий запис в Active Directory. Потім він вираховує універсальний ключ користувача і використовує його для розшифровки аутентифікатора (також відомого, як дані попередньої аутентифікації - pre authentication data).

Коли робоча станція користувача створила аутентифікатор, вона помістила тимчасову позначку в зашифрований файл. Як тільки сервер розподілу ключів розшифровує цей файл, він порівнює тимчасову позначку з поточним часом на своєму годиннику. Якщо тимчасова відмітка і поточний час мають різницю не більше п`яти хвилин, то запит аутентифікації сервера Kerberos вважається дійсним, і процес аутентифікації триває. Якщо тимчасова відмітка і поточний час має різницю в більш ніж п`ять хвилин, то Kerberos вважає запит повторним програванням попередньо отриманого пакета, в результаті чого відкидає запит входу. Коли це відбувається, і з`явиться повідомлення:

Система не може впустити вас через таку помилку: наявність різниці в часі між клієнтом і сервером. Будь ласка, спробуйте ще раз або зверніться за допомогою до свого системного адміністратора.

Вирішення цієї проблеми досить простое- просто встановіть час робочої станції, щоб воно відповідало часу на годиннику контролера домену.

Збої сервера глобальних каталогів

Ще однією головною причиною проблем входу в систему є збої сервера глобального каталогу. Сервер глобальних каталогів - це контролер домену, який було налаштований на роботу в якості сервера глобальних каталогів. Сервер глобальних каталогів містить пошукові образи (searchable representation) кожного об`єкта в кожному домені всього сімейства.

Коли сімейство доменів (forest) спочатку створюється, перший контролер домену, який ви запускаєте в режим онлайн, автоматично налаштовується на роботу в якості сервера глобальних каталогів. Проблема полягає в тому, що цей сервер може стати єдиною точкою збою, так як Windows не призначить автоматично інших контролерів домену серверами глобальних каталогів. Якщо сервер глобальних каталогів дає збій, то тільки адміністратори домену зможуть увійти в Active Directory.

З огляду на важливість сервера глобальних каталогів, вам слід працювати над запобіганням збоїв цих серверів. На щастя, ви можете призначити будь-який або всі контролери домену серверами глобальних каталогів. Однак слід пам`ятати, що потрібно налаштовувати все контролери домену на роботу в якості серверів глобальних каталогів тільки в тому випадку, якщо ваше сімейство складається з одного домену. Наявність декількох серверів глобальних каталогів в сімействі з декількома доменами теж може бути непоганою ідеєю, однак з`ясування того, які контролери домену повинні працювати в якості серверів глобальних каталогів, є чимось на зразок форми мистецтва.

Якщо ваш сервер глобальних каталогів вже дав збій, і ніхто не може увійти, краще, що ви можете зробити, це працювати над поверненням сервера в робочий стан. Існує спосіб вирішення користувачам входити в систему, навіть якщо сервер глобальних рейтингів не працює, але з цим способом пов`язаний певний ризик безпеки.

Якщо Active Directory працює у власному режимі (native mode), то сервер глобальних каталогів відповідає за перевірку приналежності користувача до універсальної групі. Якщо ви вирішили дозволити користувачам вхід під час збою, то перевірка приналежності користувачів до універсальної групі здійснюватися не буде. Якщо ви призначили експліцитні відмови членам певних універсальних груп, то ці відмови не будуть діяти, поки сервер глобальних рейтингів не буде приведений назад в режим онлайн.

Якщо ви вирішили, що повинні дозволити користувачам входити в систему, то вам потрібно буде змінити системний реєстр на всіх контролерах домену. Пам`ятайте, що зміна системного реєстру небезпечно, і що допущені помилки можуть знищити Windows. Тому я рекомендую зробити повну резервну копію системи, перш ніж продовжувати.

З огляду на сказане, відкрийте редактор реєстру (Registry Editor) і перейдіть по древу реєстру до HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Lsa. Тепер створіть DWORD значення з назвою IgnoreGCFailures і задайте значення 1. Вам доведеться перезавантажити контролери домену після внесення цих змін.

Збої сервера DNS

Якщо ви раптово виявили, що жоден з ваших користувачів не може увійти в мережу, а ваші контролери домену та сервери глобальних каталогів, здається, працюють нормально, то, можливо, виникла проблема з DNS сервером. Active Directory повністю залежить від служби DNS.

DNS сервер містить записи хостів для кожного комп`ютера у вашій мережі. Комп`ютери у вашій мережі використовують ці записи хостів для дозволу комп`ютерних імен на IP адреси. Якщо виникає збій на DNS сервері, то дозвіл імен хостів також не працюватиме, що в свою чергу вплине на процес входу.

Існує два моменти, які вам необхідно знати щодо збоїв DNS, пов`язаних з проблемами входу. Перше, проблеми входу можуть і не виникнути негайно. ОС Windows містить DNS кеш, який включає результати попередніх DNS запитів. Цей кеш не дозволяє робочим станціям переповнювати DNS сервери запитами дозволу імен для одних і тих же об`єктів знову і знову.

У багатьох випадках робочі станції будуть мати в кеші IP адреси контролерів домену та серверів глобальних каталогів. Але навіть в цьому випадку елементи в DNS кеші згодом застарівають і потребують оновлення. Швидше за все, ви почнете помічати проблеми входу, коли термін дії записів хоста в кеші почне спливати.

Друге, що вам потрібно знати про збої DNS сервера, це те, що найчастіше при їх наявності існує безліч інших симптомів крім проблем входу. Якщо тільки машини у вашій мережі не налаштовані на використання вторинної DNS сервера в разі збою основного DNS сервера, все середовище Active Directory з часом прийде до повної зупинки. Хоча є винятки, відсутність DNS сервера в мережі Active Directory зазвичай веде до тотального збою взаємодії.

висновок

Хоча я обговорив деякі з основних причин, що викликають проблеми входу в мережах Active Directory, важливою частиною процесу діагностування є облік того, наскільки широко поширена проблема. Наприклад, якщо тільки один вузол у великій мережі має проблеми входу, то ви, ймовірно, виключаєте відмови DNS або глобальних каталогів. Якби відмови DNS або глобальних каталогів були причиною, то проблема, швидше за все, носила б більш широко поширений характер. Якщо проблема торкнулася тільки одну машину, то вона, швидше за все, пов`язана з налаштуванням цієї машини, її подключаемості або користувальницької обліковим записом.