← All posts tagged mskb

How to configure an authoritative time server in Windows Server — support.microsoft.com

Раздел Configuring the Windows Time service to use an external time source — настройка PDC-эмулятора корневого домена леса на синхронизацию времени с внешним NTP-сервером (как источник точного времени в доменной иерархии).

Наступили на грабли c монтированием по SMB шар 2008R2 файловер-файл-кластера в эти наши линуксы.

Шары с нод монтируются нормально, кластерные — фиквам:
mount error 6 = No such device or address
Виндовс — такой виндавс и линукс- такой линакс и вместе им не жить никогда : )

Будем попросить некий загадочный патч от мс, который что-то там типа фиксит:
support.microsoft.com

Столкнулся с интересным глюком, про который неоднократно предупреждали, но в живую увидел в первый раз: У нескольких юзеров перестала отрабатываться пользовательская групповая политика. Беда, что уж : )

В апп-евентлоге Event 1053 c невнятной руганью, что нельзя определить имя пользователя или компутера и совершенно не хватает памяти для завершения операции : ) В систем логе — более интересный Event 6 с источником kerberos и руганью на то, что размер токена как-то более чем хочется : )

Что оказалось: если пользователь входит в большое количество групп (через вложенные универсальные или там богатая история SID-history) размер токена, включающий в себя сиды всех групп безопасности, становится более заданного максимального значения. В итоге имеем трудноуловимые траблы с доступами и политиками.

Лечится ключом реестра и выставлением максимального размера токена (учетка может входить в 900 групп безопасности после этой правки):

support.microsoft.com
support.microsoft.com

microsoft.com