PALMisLIFE 討論區

標題: [懸賞一千元] Win2K Domain 發生 security 問題 [列印本頁]

作者: achen 時間: 2005-3-22 14:37
標題: [懸賞一千元] Win2K Domain 發生 security 問題
[懸賞] 只要小弟能在這邊得到幫助而解決問題, 將捐獻台幣一千元"治站基金"給 PIL.

不知為何最近我在公司管理的一個 domain 發生一個很奇怪而且很嚴重的問題..

從我的電腦 (我的帳號當然有 Enterpeise Admin 以及每個 Domain Admin 的權限) 或是從 domain controller ( 登入帳號為 Domain Administrator) 由 computer management 連接到 workstation 時, 無法更改 Local Admin / Power User 的人員名單, 錯誤訊息為權限不夠. 已確認 Domain Admins 是在 Local Admins 群組中, 從未被移除過..

我們的 Win2K Forest 已經建立有超過兩年了, 一直到一兩個禮拜之前才開始出現這個問題, 近五十台 Win2K / XP workstation 無一倖免.. server 端 event log 裡找不到任何線索. 除了這個問題以外, 其他所有 services 包括 Exchange 都運作無誤.

到目前為止我還不知道要從哪邊著手去除錯, 可否請 MCSE 高手指點一二?

[ Last edited by achen on 2005-3-23 at 21:19 ]

作者: achen 時間: 2005-3-23 12:16
標題: Re: [懸賞一千元] Win2K Domain 發生 security 問題
加入懸賞事項, 推一下~

作者: Jonry 時間: 2005-3-23 12:42
標題: Re: [懸賞一千元] Win2K Domain 發生 security 問題
如果懸賞一千元美金會更好!!

其實我是比較傾向於中毒或者木馬, 不然沒事不會發生這種問題...

我把你的問題轉給負責我們公司 MS 的 TAM, 請他看看好了...

作者: Jonry 時間: 2005-3-23 16:05
標題: Re: Win2K Domain 發生 security 問題
好了, 有點進展, 根據微軟的 TAM 推測, 也許是 Client 的 Security Channel 斷掉了(為什麼會斷, 我也不曉得... B) )

先這樣試試看: 從 Active Directory Users & Computers 裡, 選一台有問題的 Client ( Windows 2K 要 SP4, XP 要 SP1 以上), 然後 Reset Account, 把 Client 重新開機, 再看看正不正常...

或者重裝 Service Pack 看看, 也許也會修正一些 Security 的元件。

這種問題真的很罕見, 起碼台灣這裡還沒發生過這種狀況... B)B)

作者: achen 時間: 2005-3-24 12:24
標題: Re: [懸賞一千元] Win2K Domain 發生 security 問題
Jonry,

很遺憾那一招沒有效, reset 之後 workstation 重開機就無法登入 domain 了
我本來還想這是一個好機會, 把 workstation 從 domain remove 之後, 重新加入
雖然登入沒有問題, 但是上面的還是一樣沒有解決.....

作者: 苦力爺 時間: 2005-3-24 13:04
標題: Re: [懸賞一千元] Win2K Domain 發生 security 問題
只是提供幾個除錯的方向

1.dc有重開試過嗎？
2.client的dns指向？
3.client的event log有錯誤訊息嗎？
4.有更改過group policy？

作者: achen 時間: 2005-3-24 13:18
標題: Re: [懸賞一千元] Win2K Domain 發生 security 問題

Originally posted by 苦力爺 at 2005-3-23 09:04 PM:
只是提供幾個除錯的方向

1.dc有重開試過嗎？
2.client的dns指向？
3.client的event log有錯誤訊息嗎？
4.有更改過group policy？

1.
有~

2.
Primary dns -> domain DC
Secondary dns -> forest DC (under another subnet/domain)

3.
一大堆 access denied 的 log, 毫無幫助
(我不認為這個問題是由 workstation 引起或是可以從 workstation 去解決的..)

3.
出問題的這一個 domain, 使用者很少所以並沒有使用 GPO

作者: Jonry 時間: 2005-3-24 17:51
標題: Re: [懸賞一千元] Win2K Domain 發生 security 問題
那真的沒辦法了, 除非這種問題發生在我公司裡, 才可以開正式的 case 請微軟解決,
不然我也只能用私人的關係, 拜託微軟的 TAM 去問問看有沒有什麼類似的解決途徑... B)

沒幫到忙, 沒辦法幫阿輝賺一千元過生日了...

作者: 苦力爺 時間: 2005-3-25 11:34
標題: Re: [懸賞一千元] Win2K Domain 發生 security 問題
achen,如果你到該台client用你的帳號或admin帳號登入也無法新增刪除local account嗎？

作者: sagi 時間: 2005-3-25 11:55
標題: Re: [懸賞一千元] Win2K Domain 發生 security 問題
為何不call Microsoft tech support? 即使沒有maintainence contract應該也不貴阿?

作者: achen 時間: 2005-3-25 15:16
標題: Re: [懸賞一千元] Win2K Domain 發生 security 問題

Originally posted by 苦力爺 at 2005-3-24 07:34 PM:
achen,如果你到該台client用你的帳號或admin帳號登入也無法新增刪除local account嗎？

上面忘了說明, 如果我到 local computer 用有權限的帳號登入
就沒有問題了.

作者: achen 時間: 2005-3-25 15:18
標題: Re: [懸賞一千元] Win2K Domain 發生 security 問題

Originally posted by sagi at 2005-3-24 07:55 PM:
為何不call Microsoft tech support? 即使沒有maintainence contract應該也不貴阿?

雖然這個問題蠻嚴重
但是還不到緊急的時候
所以我想自己先找解決方案

作者: sagi 時間: 2005-3-28 00:17
標題: Re: [懸賞一千元] Win2K Domain 發生 security 問題
http://communities.microsoft.com/newsgroups/default.asp

到這兒試看看

作者: smart 時間: 2005-4-3 00:15
標題: Re: [懸賞一千元] Win2K Domain 發生 security 問題
這個是我問過我們老師的答案，請參考看看是否可以解決。

試試看重設 AD 上的 workstation 電腦帳戶 (按右鍵選重設)。

作者: Jonry 時間: 2005-4-3 11:43
標題: Re: [懸賞一千元] Win2K Domain 發生 security 問題

Originally posted by smart at 2005-4-3 12:15 AM:
這個是我問過我們老師的答案，請參考看看是否可以解決。
試試看重設 AD 上的 workstation 電腦帳戶 (按右鍵選重設)。

這招我前面就有講過了, 沒效.... B)B)

歡迎光臨 PALMisLIFE 討論區 (http://f.pil.tw/)