Обмен информацией между доменами

Затруднения, возникающие при установке связи с доменом

Система Windows XP Professional включает в себя ряд инструментов, полезных при решении проблем, возникающих при установке связи с доменом.

NLtest.exe

В Windows XP Professional имеется инструмент, с помощью которого вы можете проверить свое логическое соединение с контроллером домена. NLTEST.EXE является инструментом командной строки, который входит в комплект инструментов Windows Support Tools из диска Windows XP Professional. Этот инструмент можно использовать в NT- или 2000-сетях.

Примечание. Инструмент NLTEST.EXE находится в файле support.cab в папке tools\support на диске Windows XP Professional.

Воспользовавшись инструментом NLTEST.EXE, вы выясните, может ли контроллер домена аутентифицировать клиента. NLTEST.EXE позволяет определить, какой именно домен выполнял аутентификацию, и может сгенерировать список доверенных доменов.

Безопасный канал (secure channel) - это логическое соединение между Windows XP Professional-клиентом и контроллером домена. Безопасный канал используется для аутентификации учетных записей компьютеров, работающих в системах Windows XP Professional, Windows 2000, Windows .NET и Windows NT. Кроме того, безопасный канал используется, если удаленный пользователь подключается к сетевым ресурсам. Инструмент NLTEST.EXE можно использовать для тестирования безопасных каналов и их перенастройки в случае необходимости.

Допустим, имеется домен Windows 2000 (с названием Domain). Имя вашей учетной записи User1 на Windows XP Professional-компьютере с именем Client1. Синтаксически эта команда записывается так:

Nltest [/OPTIONS]

Для идентификации контроллеров домена из домена domain1.com введите следующее:

Nltest /dclist:domain1

Вы сможете определить, будет ли контроллер домена (который можно найти с помощью NLTEST.EXE, если вы не знаете его имени) идентифицировать пользователя. Для этого в окне команд введите следующее:

Nltest /whowill:domain1 User1

Вы можете проверить, имеет ли Client1 безопасное соединение с контроллером домена, введя команду:

Nltest / server:Client1 / sc_query:domain1

Для получения полного списка команд NLTEST.EXE введите в строку команд следующее:

Nltest /?

Невозможно подключиться к домену

Если вы пытаетесь установить связь между Windows XP Professional-клиентом и Windows 2000 или Windows NT-доменом, то можете получить следующее сообщение:

Unable to connect to the domain controller for this domain (Невозможно установить связь с контроллером для этого домена).

Either the user name or password entered is incorrect (Введенное имя пользователя или пароль неверны).

При подключении Windows XP Professional-клиента к Windows NT или 2000 домену имя учетной записи должно быть частью имени группы администраторов домена. Кроме того, у пользователя должно быть разрешение на добавление клиентов к домену.

Невозможно найти контроллер домена

Если вы пытаетесь установить связь между Windows XP Professional-клиентом и Windows 2000 или Windows NT-доменом, то вы можете получить следующее сообщение:

The specified domain does not exist or could not be contacted. (Указанный домен не существует или контакт с ним невозможен)

В таком случае выполните следующие действия.

1. Первым делом следует проверить правильность имен, введенных в поля Workgroup (Рабочая группа) и Domain (Домен) вкладки Computer Name (Имя компьютера) в диалоговом окне свойств.
2. Затем надо проверить протокол TCP/IP, который мог быть неправильно сконфигурирован. Для проверки конфигурации TCP/IP войдите в систему под административной учетной записью и проделайте следующее.
   • Воспользуйтесь программой PING для проверки контроллера домена, употребив его NetBIOS-имя или полное имя DNS- домена. Если это не поможет, то сделайте то же самое, но применив IP-адрес контроллера домена.

     Примечание. Если вы не знакомы с командой PING, то мы поговорим о ней более подробно в гл. 8.
   • Если ping-попытки не принесли результата, а домен использует DNS или WINS, то еще раз проверьте IP-адреса этих серверов. Попробуйте применить команду PING к контроллеру домена еще раз.
   • Если вам опять не повезло, и Windows XP Professional-клиент расположен в одной подсети с контроллером домена, то проверьте IP-адрес клиента, чтобы убедиться в его правильности.
   • Если Windows XP Professional-клиент находится в другой подсети, то убедитесь, что адрес шлюза по умолчанию правилен.
3. Если контроллер домена работает в соответствии с политикой протокола IPSec, установленного на сервере безопасности, то IP-пакеты не отсылаются клиентам, если в них также не задействован протокол IPSec. Самым лучшим будет обратиться к администратору домена и поговорить с ним о пересмотре IPSec-политики. (Более полную информацию о IPSec можно найти в "Безопасность при работе в сети" .)
4. Если домен использует маршрутизаторы, работающие в соответствии с протоколом RIP (Routing Information Protocol), то установите поддержку RIP.

Невозможно переименовать компьютер

У вас могут возникнуть проблемы, если вы попытаетесь дать компьютеру новое имя, похожее на имя контроллера домена. В этом случае вы получите следующее сообщение:

The new computer name may not be the same as the Workgroup (Domain) name. (Новое имя компьютера не должно быть таким, как имя рабочей группы [домена])

Даже если имя компьютера только похоже на имя контроллера домена, вы все равно можете получить такое сообщение. Например, если имя домена crazyearlsstereoshop.com, а имя клиента - crazyearlsstereomanager, то вы получите вышеназванное сообщение. Почему? Если NetBIOS работает на всех клиентах и серверах, то первые 15 знаков в имени Windows XP Professional-клиента (в данном случае crazyearlsstere) не могут быть такими же, как у контроллера домена, сервера, клиента и любого другого устройства.

Невозможно зарегистрироваться в домене

Если вы не можете зарегистрироваться в домене, то, возможно, увидите следующее сообщение:

The system cannot log you on due to the following error: There is a time difference between the Client and Server. Please try again or consult your system administrator.

(Система не может зарегистрировать вас по следующей причине:

существует разница во времени между клиентом и сервером. Пожалуйста, попробуйте еще раз или проконсультируйтесь у администратора системы.)

Эта ошибка возникает из-за того, что протокол безопасности Kerberos проверяет отметку времени на запросе об аутентификации клиента. Если разница во времени между клиентом и сервером составляет больше 5 минут, то аутентификация отменяется. Это можно исправить путем сравнения с коллегой, зарегистрированном на этом домене, и убедившись в том, что часы вашего компьютера показывают правильное время. Также хорошо бы проверить свою временную зону и убедиться, что она настроена соответствующим образом. Дело в том, что для полного совпадения Kerberos переводит все временные метки во время по Гринвичу.

Другие ошибки регистрации, которые мешают клиентам подключиться к домену, включают в себя следующее:

• некорректный ввод имени пользователя;
• некорректный ввод пароля;
• включена функция CAPS LOCK во время ввода имени пользователя и пароля;
• протоколы клиента и контроллера домена не совпадают.

В случае проблемы с протоколами контроллера домена и клиента обратите внимание на следующие детали, которые могут вызывать несовместимость:

• неверно заданный IP-адрес или маска подсети;
• применение протокола DHCP при отсутствии DHCP-сервера;
• некорректные адреса DNS- и WINS-серверов.