Serviciu RPC pe DC 2003sp1

Am adaugat la DC existent (SBS 2000) un additional DC windows 2003 server r2 sp1.

Pana la promovarea ca dc totul merge ok. Dupa promovare intervine o eroare la ipsec si nu mai permite deloc accesul la retea.
pe adresa
http://www.bensinger...t...D=10&CATE=0
am gasit o solutie si am aplicat-o partial: am schimbat contul de pornire a serviciului rps in localsystem (din network). Pe win2000, rpc-ul porneste sub localsystem, modificarea am inteles ca s-a facut incepand cu 2003 sp1.

Acum este permis accesul la retea (l-am folosit 3 saptamani asa fara probleme la filesharing), dar am incercat sa instalez si sqlexpress 2005 (pt wsus) si atunci am primit eroarea ca nu se poate accesa wmi-ul.

In wmimgmt.msc apare:

failed to initialize all required WMI classes
win32_processor: wmi: access denied
win32_wmisettings:succesfull
security information:succesfull
win32_operatingsystem:wmi:access denied

am rulat diverse scripturi pt refacerea serviciului wmi de pe net, dar fara nici un rezultat

Probabil ca nu numai serviciul wmi este afectat, de rpc depind o gramada de alte servicii.

daca scot dc-ul 2003 din domain  controllers (active directory users and computers) pot sa rulez serviciul rpcsub network account, insa nu stiu cum afecteaza asta replicarea intre dc si functionarea AD.

daca trec alt calc 2003 sp1 (non-dc) in domain  controllers, ipsec-ul va bloca accesul la acel calculator.

Probabil ca problema e undeva in gpo pt domain  controllers, dar nu-mi dau seama de unde. Singurl lucru pe care l-am modificat manual la gpo a fost adaugarea unei grup policy pt windows update.

In articolul specificat mai exista o modificare pe care n-am facut-o pt ca nu stiu ce inseamna:

Open Domain Controller Security Policy >
Local Policy>User Rights Assignments>Impersonate a client after authentication
add ASPNET, Administrators, SERVICE all are assigned these rights
Pot sa apara probleme daca o folosesc?

Daca scot dc 2003 din domain controllers apar probleme la replicarea intre dc?


mersi

Verifica in Default Domain Controlers Policy la sectiunea Comp Conf-Win Settings-Security Settings-User Rights Assignment daca este configurat Log on as a service si daca (,) contul  Network Service este adaugat. Daca asta e problema poti sa modifici DDCP sau sa creezi inca un GPO cu validare numai pe serverul de W2k3 in care sa specifici optiunea.

Daca tot ai probleme posteaza mesajul de eroare de la IPSec si eventual un screenshot din DDCP de la sectiunea User Rights Assignment.

spor

Contul sub care rula rpc inainte era "NT Authority\NetworkService", banuiesc ca e predefinit. In lista de utilizatori ai domeniului nu apare. "Network" simplu e acelasi lucru?

Nu stiu daca WMI-ul are legatura cu asta, dar sunt mari sanse.

Asta era eroarea dupa ce promovam 2003 srv ca DC.

Source:IPSEC
Event:4292

The IPSec driver has entered Block mode. IPSec will discard all inbound and outbound TCP/IP network traffic that is not permitted by boot-time IPSec Policy exemptions. User Action: To restore full unsecured TCP/IP connectivity, disable the IPSec services, and then restart the computer.  For detailed troubleshooting information, review the events in the Security event log.

For more information, see Help and Support Center at http://go.microsoft....link/events.asp.

Source:SAM
Event:12291

SAM failed to start the TCP/IP or SPX/IPX listening thread

For more information, see Help and Support Center at http://go.microsoft....link/events.asp.

Source:LSASRV
Event:32777

The LSA was unable to register its RPC interface over the TCP/IP interface. Please make sure that the protocol is properly installed.

For more information, see Help and Support Center at http://go.microsoft....link/events.asp.
Cred ca erau mai multe, dar astea sunt primele.




A doua GPO vad ca pe 2003 apare cu semnul exclamarii, o sa incerc sa o sterg sa vedem ce se intampla.
dar asta doar la sfarsit de saptamana se poate face :(