Указанное пространство имен не является допустимым пространством имен на локальном компьютере
У меня есть решение под названием Tools, в котором есть три проекта; Инструменты, PerecentageBar, MessageBox. Каждый из этих проектов является частью сборки Tools. [На странице свойств каждого из них я установил для AssemblyName значение MyCompany.Tools.Controls].
У меня в Tools Project:
И в проекте MessageBox.
И в проекте PercentageBar
Это решение построено, и создается MyCompany.Tools.Controls.dll.
В другом решении у меня есть проект MapperTool.
В этом проекте я добавляю ссылку на приведенную выше dll И добавляю оператор using следующим образом:
Однако пока все хорошо. В этом проекте я могу только «видеть» и использовать MyPictureBox с указанным выше оператором using. Другие типы MyMessageBox и PercentageBar недоступны.
РЕДАКТИРОВАТЬ: Исследование показывает, что другие типы присутствуют и находятся в пространстве имен MyCompany.Tools.Controls. Однако в представлении класса они не указаны в сборке MyCompany.Tools.Controls. Вместо этого они организованы следующим образом:
Итак, я предполагаю, что следующий вопрос: если я указал имя сборки как MyCompany.Tools.Controls в каждом проекте, почему вторые два проекта были построены как сборка с другим именем? [DLL в выходном каталоге, однако, имеет наем MyCompany.Tools.Controls.dll]
Кроме того, я хочу создать все свои элементы управления в пространстве имен MyCompany.Tools.Controls и встроить их в единую сборку MyCompany.Tools.Controls, чтобы я мог добавить только эту ссылку в любой другой проект, который должен их использовать.
Из того, что происходит выше, может показаться, что каждый отдельный проект инструментов в моем решении MyCompany.Tools.Controls должен быть встроен в уникальную сборку, и на каждый из них нужно будет ссылаться индивидуально .
Проблема заключалась в моем понимании проектов и сборок. Казалось бы, невозможно объединить 3 проекта в одну сборку. Каждый должен построить свою собственную сборку - тогда мне придется использовать инструмент слияния, чтобы объединить их в одну сборку.
Элемент управления WMI является оснасткой консоли MMC, расположенной на панели управления , и используется для установки безопасности пространства имен WMI вручную на локальном компьютере. Можно также задать пространство имен по умолчанию для сценариев.
В следующей процедуре описывается, как разместить элемент управления WMI.
Определение местоположения элемента управления WMI
- На панели управления дважды щелкните Администрирование.
- В окне Администрирование дважды щелкните Управление компьютером.
- В окне Управление компьютером разверните дерево службы и приложения и дважды щелкните элемент управления WMI.
- Щелкните правой кнопкой мыши значок элемента управления WMI и выберите пункт свойства.
В следующей процедуре описывается использование элемента управления WMI для настройки безопасности пространства имен в качестве шаблона, а затем программное получение параметров безопасности для настройки безопасности других пространств имен.
Настройка безопасности пространства имен с помощью элемента управления WMI
- Создайте новое пространство имен с помощью кода MOF-файл (MOF).
- Запустите элемент управления WMI, чтобы настроить безопасность для нового пространства имен. В меню Пуск выберите пункт выполнить и введите wmimgmt. msc или см. раздел Поиск элемента управления WMI.
- На панели управления WMI щелкните правой кнопкой мыши элемент Управление WMI, выберите пункт Свойства, а затем перейдите на вкладку Безопасность .
- Перейдите к новому пространству имен, щелкните Безопасность, а затем настройте группы и разрешения для пространства имен.
для настройки безопасности пространства имен можно также использовать инструментарий управления Windows (WMI) Command-Line (WMIC). Дополнительные сведения см. в разделе WMIC.
Параметры доступа к пространству имен
Вы можете просмотреть права доступа к пространству имен для различных учетных записей в элементе управления WMI. Эти константы описаны в статье константы прав доступа к пространству имен. Доступ к пространству имен WMI можно изменить с помощью элемента управления WMI или программно. Дополнительные сведения см. в разделе Изменение параметров безопасности доступа к защищаемым объектам.
WMI выполняет аудит изменений во всех разрешениях на доступ, перечисленных в следующем списке, за исключением разрешения на удаленную включение. Изменения регистрируются при успешном аудите или сбое, соответствующем разрешению на изменение безопасности.
Разрешает пользователю выполнять методы, определенные в классах WMI. Соответствует константе разрешения на _ _ выполнение метода WBEM .
Разрешает полный доступ для чтения, записи и удаления к классам и экземплярам классов WMI, как статическим, так и динамическим. Соответствует константе разрешения на доступ _ _ _ представителя полной записи .
Разрешает доступ на запись к статическим экземплярам классов WMI. Соответствует константе разрешения на доступ для _ частичной _ записи _ для WBEM .
Разрешает доступ на запись к динамическим экземплярам классов WMI. Соответствует константе разрешения доступа к _ _ поставщику записи WBEM .
Включить учетную запись
Разрешает доступ на чтение к экземплярам класса WMI. Соответствует константе WBEM _ для разрешения доступа.
Разрешает доступ к пространству имен с удаленных компьютеров. Соответствует константе разрешения на доступ для _ удаленного _ доступа WBEM .
Разрешает доступ только для чтения к параметрам DACL. Соответствует константе разрешения на _ Управление доступом на чтение.
Разрешает доступ на запись к параметрам DACL. Соответствует константе разрешения на доступ для записи _ DAC .
Ответы
Предположим, что на неисправном КД еще и роль ДНС
1) Клиент обращается к первому ДНС, указанному в настройках сети (неисправный КД). Тот не отвечает, таймаут.
2) Клиент обращается ко второму ДНС-серверу и получает адрес-имя неисправного КД, обращается к нему. Тот не отвечает, большой таймаут, т.к. тут таймаут по дефолту больше.
3) Клиент обращается ко второму ДНС-серверу и СНОВА получает адрес-имя неисправного КД, обращается к нему. Тот не отвечает, большой таймаут.
n) Клиент обращается ко второму ДНС-серверу и получает адрес-имя исправного КД, обращается к нему. Тот отвечает, и, наконец, все заработало.
после н-го запроса еще может идти обращение к дохлому КД как к корню ДФС. Таймаут.
Не игнорируйте встроенную справку, читайте ее и большинство вопросов будет решено гораздо быстрее.
WMI фильтры
Windows Management Instrumentation (WMI) — один из наиболее мощных инструментов для управления операционной системой Windows. WMI содержит огромное количество классов, с помощью которых можно описать практически любые параметры пользователя и компьютера. Посмотреть все имеющиеся классы WMI в виде списка можно с помощью PowerShell, выполнив команду:
Для примера возьмем класс Win32_OperatingSystem, который отвечает за свойства операционной системы. Предположим, что требуется отфильтровать все операционные системы кроме Windows 10. Заходим на компьютер с установленной Window 10, открываем консоль PowerShell и выводим имя, версию и тип операционной системы с помощью команды:
Get-WmiObject -Class Win32_OperatingSystem | fl Name, Version, ProductType
Для фильтра используем версию и тип ОС. Версия одинакова для клиентских и серверных ОС и определяется так:
• Window Server 2016\Windows 10 — 10.0
• Window Server 2012 R2\Windows 8.1 — 6.3
• Window Server 2012\Windows 8 — 6.2
• Window Server 2008 R2\Windows 7 — 6.1
• Window Server 2008\Windows Vista — 6.0
Тип продукта отвечает за назначение компьютера и может иметь 3 значения:
• 1 — рабочая станция;
• 2 — контроллер домена;
• 3 — сервер.
Теперь переходим непосредственно к созданию фильтра. Для этого открываем оснастку «Group Policy Management» и переходим к разделу «WMI Filters». Кликаем на нем правой клавишей мыши и в контекстном меню выбираем пункт «New».
В открывшемся окне даем фильтру имя и описание. Затем жмем кнопку «Add» и поле «Query» вводим WQL запрос, который и является основой WMI фильтра. Нам необходимо отобрать ОС версии 10.0 с типом 1, соответственно запрос будет выглядеть так:
SELECT * FROM Win32_OperatingSystem WHERE Version LIKE ″10.0%″ AND ProductType = ″1″
Примечание. Windows Query Language (WQL) — язык запросов WMI. Подробнее о нем можно узнать на MSDN.
Сохраняем получившийся фильтр.
Теперь осталось только назначить WMI фильтр на объект групповой политики, например на GPO3. Переходим к свойствам GPO, открываем вкладку «Scope» и в поле «WMI Filtering» выбираем из списка нужный фильтр.
Задание пространства имен по умолчанию для скриптов
Если скрипт не подключается явно к пространству имен при подключении к WMI, WMI использует пространство имен по умолчанию, заданное в этом элементе управления. Значение по умолчанию также находится в записи реестра следующим образом:
Поскольку пространство имен по умолчанию легко изменить с помощью этого элемента управления или программным путем, вызывая методы стдрегпров, укажите пространство имен при соединении с WMI с помощью моникера или вызовов SWbemLocator. коннектсервер. Дополнительные сведения см. в разделе Создание скрипта WMI .
WMI использует стандартный дескриптор безопасности Windows для управления доступом к пространствам имен WMI. При подключении к WMI с помощью моникера WMI "винмгмтс" или вызова ивбемлокатор:: коннектсервер или SWbemLocator. коннектсервервы подключаетесь к определенному пространству имен.
В этом разделе рассматриваются следующие сведения:
Разрешения по умолчанию для пространств имен WMI
Группы безопасности по умолчанию:
- Прошедшие проверку пользователи
- LOCAL SERVICE
- СЕТЕВАЯ СЛУЖБА
- Администраторы (на локальном компьютере)
Разрешения на доступ по умолчанию для пользователей, прошедших проверку подлинности, ЛОКАЛЬную службу и СЕТЕВую службу:
- Выполнение методов
- Полная запись
- Включить учетную запись
Учетные записи в группе "Администраторы" имеют все доступные права, включая изменение дескрипторов безопасности. Однако из-за контроля учетных записей (UAC) элемент управления WMI или скрипт должен работать с повышенной безопасностью. Дополнительные сведения см. в разделе Управление учетными записями пользователей и инструментарий WMI.
Иногда скрипт или приложение должны включать права администратора, например SeSecurityPrivilege, для выполнения операции. Например, сценарий может выполнить метод жетсекуритидескриптор класса _ принтера Win32 без SeSecurityPrivilege и получить сведения о безопасности в списке управления доступом на уровне пользователей (DACL) дескриптора безопасностиобъекта принтера. Однако сведения о SACL не возвращаются в скрипт, если только привилегии SeSecurityPrivilege недоступны и не включены для учетной записи. Если у учетной записи нет доступных привилегий, ее нельзя включить. Дополнительные сведения см. в разделе выполнение привилегированных операций.
Обычно объекты групповой политики назначаются на контейнер (домен, сайт или OU) и применяются ко всем объектам в этом контейнере. При грамотно организованной структуре домена этого вполне достаточно, однако иногда требуется дополнительно ограничить применение политик определенной группой объектов. Для этого можно использовать два типа фильтров.
Фильтры безопасности
Фильтры безопасности позволяют ограничить применение политик определенной группой безопасности. Для примера возьмем GPO2, с помощью которого производится централизованная настройка меню Пуск на рабочих станциях с Windows 8.1\Windows 10. GPO2 назначен на OU Employees и применяется ко всем без исключения пользователям.
Теперь перейдем на вкладку «Scope», где в разделе «Security Filtering» указаны группы, к которым может быть применен данный GPO. По умолчанию здесь указывается группа Authenticated Users. Это означает, что политика может быть применена к любому пользователю или компьютеру, успешно прошедшему аутентификацию в домене.
На самом деле каждый GPO имеет свой список доступа, который можно увидеть на вкладке «Delegation».
Для применения политики объект должен иметь права на ее чтение (Read) и применение (Apply group policy), которые и есть у группы Authenticated Users. Соответственно для того, чтобы политика применялась не ко всем, а только к определенной группе, необходимо удалить из списка Authenticated Users, затем добавить нужную группу и выдать ей соответствующие права.
Так в нашем примере политика может применяться только к группе Accounting.
Аудит пространства имен WMI
Инструментарий WMI использует системные списки управления доступом (SACL) пространства имен для аудита действий пространства имен. Чтобы включить аудит пространств имен WMI, используйте вкладку Безопасность в элементе управления WMI , чтобы изменить параметры аудита для пространства имен.
Аудит не включен во время установки операционной системы. Чтобы включить аудит, перейдите на вкладку Аудит в окне Стандартная Безопасность . Затем можно добавить запись аудита.
Групповая политика для локального компьютера должно быть настроено для разрешения аудита. аудит можно включить, запустив оснастку MMC Gpedit. msc и настроив доступ к объектам аудита в разделе конфигурация компьютера > Windows Параметры > безопасность Параметры > локальные политики > аудит политики.
Запись аудита изменяет список SACL пространства имен. При добавлении записи аудита это может быть пользователь, группа, компьютер или встроенный субъект безопасности. После добавления записи можно задать операции доступа, которые приводят к событиям журнала безопасности. Например, для пользователей, прошедших проверку подлинности группы, можно нажать кнопку выполнить методы. Этот параметр приводит к возникновению событий журнала безопасности каждый раз, когда член группы «Пользователи, прошедшие проверку подлинности» выполняет метод в этом пространстве имен. Идентификатор события для событий WMI — 4662.
Чтобы изменить параметры аудита, ваша учетная запись должна быть в группе администраторов и запущена с повышенными привилегиями. Встроенная учетная запись администратора также может изменить безопасность или аудит пространства имен. Дополнительные сведения о работе в режиме с повышенными правами см. в разделе Управление учетными записями пользователей и инструментарий WMI.
Аудит WMI создает события успешных или неудачных попыток доступа к пространствам имен WMI. Служба не выполняет аудит успешных или неудачных операций поставщика. Например, при подключении сценария к WMI и пространству имен может произойти сбой, так как учетная запись, под которой выполняется сценарий, не имеет доступа к этому пространству имен или может пытаться выполнить операцию, например изменение списка DACL, которое не предоставлено.
Если вы используете учетную запись в группе "Администраторы", то можете просмотреть события аудита пространства имен в Просмотр событий пользовательском интерфейсе.
Типы событий пространства имен
Инструментарий WMI отслеживает в журнале событий безопасности следующие типы событий:
Аудит выполнен успешно
Операция должна успешно завершить два шага для успешного выполнения аудита. Во первых, WMI предоставляет доступ к клиентскому приложению или скрипту на основе идентификатора безопасности клиента и DACL пространства имен. Во вторых, запрошенная операция соответствует правам доступа в списке SACL пространства имен для этого пользователя или группы.
Инструментарий WMI запрещает доступ к пространству имен, но запрошенная операция соответствует правам доступа в списке SACL пространства имен для этого пользователя или группы.
Анализ применения групповых политик
При таком количестве способов фильтрации GPO необходимо иметь возможность диагностики и анализа их применения. Проще всего проверить действие групповых политик на компьютере можно с помощью утилиты командной строки gpresult.
Для примера зайдем на компьютер wks2, на котором установлена ОС Windows 7, и проверим, сработал ли WMI фильтр. Для этого открываем консоль cmd с правами администратора и выполняем команду gpresult /r, которая выводит суммарную информацию о групповых политиках, примененных к пользователю и компьютеру.
Примечание. Утилита gpresult имеет множество настроек, посмотреть которые можно командой gpresult /?.
Как видно из полученных данных, к компьютеру не применилась политика GPO3, поскольку она была отфильтрована с помощью фильтра WMI.
Также проверить действие GPO можно из оснастки «Group Policy Management», с помощью специального мастера. Для запуска мастера кликаем правой клавишей мыши на разделе «Group Policy Results» и в открывшемся меню выбираем пункт «Group Policy Results Wizard».
Указываем имя компьютера, для которого будет составлен отчет. Если требуется просмотреть только пользовательские настройки групповой политики, то настройки для компьютера можно не собирать. Для этого необходимо поставить галочку снизу (display user policy settings only).
Затем выбираем имя пользователя, для которого будут собираться данные, либо можно указать не включать в отчет настройки групповой политики для пользователя (display computer policy settings only).
Проверяем выбранные настройки, жмем «Next» и ждем, пока собираются данные и генерируется отчет.
Отчет содержит исчерпывающие данные об объектах групповых политик, примененных (или не примененных) к пользователю и компьютеру, а также об используемых фильтрах.
Для примера составим отчеты для двух разных пользователей и сравним их. Первым откроем отчет для пользователя Kirill и перейдем в раздел настроек пользователя. Как видите, к этому пользователю не применилась политика GPO2, поскольку у него нет прав на ее применение (Reason Denied — Inaсcessible).
А теперь откроем отчет для пользователя Oleg. Этот пользователь является членом группы Accounting, поэтому к нему политика была успешно применена. Это означает, что фильтр безопасности успешно отработал.
На этом, пожалуй, я закончу ″увлекательное″ повествование о применении групповых политик. Надеюсь эта информация будет полезной и поможет вам в нелегком деле системного администрирования 🙂
в домене win2003 развернуто пространство имен DFS. корень DFS - доменный. домен построен на двух КД win2003 R2. оба сервера - глобальный коталог.
при просмотре ресурсов DFS первая ссылка указывает на основной КД. вторая - на дополнительный.
основоной КД недавно приказал долго жить. доступ к корню DFS и ресурсам впринципе есть, но ооочень медленно.
хотел переписать все ссылки на второй КД, но из консоли управления DFS когда нажимаю на пространство имен - выдает ошибку "Указанный домен не существует или к нему невозможно подключится"
Еще на КД логе сегодня было такое:
Тип события: Ошибка
Источник события: NETLOGON
Категория события: Отсутствует
Код события: 5719
Дата: 26.11.2010
Время: 8:24:04
Пользователь: Н/Д
Компьютер: S2
Описание:
Компьютер не может установить безопасный сеанс связи с контроллером домена CAPAROL-MALINO по следующей причине:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.
Дополнительные сведения
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.
Все ответы
нет, не передал. не хотелось бы, т.к. через пару дней привезут запчасть и работа основного будет восстановлена без потери данных.
хотелось бы чтобы дополнительный КД выполнял нормально свою роль - поддерживал нормальную работу клиентов пока отсутствует основной.
нет, не передал. не хотелось бы, т.к. через пару дней привезут запчасть и работа основного будет восстановлена без потери данных.
хотелось бы чтобы дополнительный КД выполнял нормально свою роль - поддерживал нормальную работу клиентов пока отсутствует основной.
Димтрий, имхо, передать роль не получится, если хозяин роли недоступен, или я ошибаюсь? А seize-ить роль можно только, если возвращать старый не планируется.
Согласен, роли перетягивать при каждом отключении основного КД - это так не должно быть помоему. в чем тогда смысл дополнительно КД, если без основного домен валится и нужно роли захватывать!?
Подозреваю что Сержио ищет новую работу ;)
До возврата КД с ролями FSMO или же перехвата ролей ничего нормально работать не будет.
А все могло быть и лучше.
Подозреваю что Сержио ищет новую работу ;)
До возврата КД с ролями FSMO или же перехвата ролей ничего нормально работать не будет.
А все могло быть и лучше.
Виталий, ну зачем же так? И работать все будет. Ошибки в логах будут, конечно. Главное, не добавляйте новых объектов в АД.
Сержио, проверьте работу ДНС-сервера на рабочем КД, Дмитрий Пономарев на это намекает. Проверьте, как клиенты резолвят имена при помощи него. Это первое.
А второе удалил, т.к. невнимательно прочитал первый пост.
Не игнорируйте встроенную справку, читайте ее и большинство вопросов будет решено гораздо быстрее.
Mih Miheev не стоит лукавить, без владельца ролей FSMO "нормально " работать не будет.
Что какое то время это можно пережить вопрос другой, и слишком много НО при этом возникает и как я уже говорил что бы это избежать необходимо вернуть КД с ролями FSMO (насколько помню и там есть временное ограничение) или же самый оптимальный вариант в таком случае - перехватить роли. Ничто не мешает потом все переустановить на отремонтированном сервере.
А все могло быть и лучше.
Mih Miheev не стоит лукавить, без владельца ролей FSMO "нормально " работать не будет.
Что какое то время это можно пережить вопрос другой, и слишком много НО при этом возникает и как я уже говорил что бы это избежать необходимо вернуть КД с ролями FSMO (насколько помню и там есть временное ограничение) или же самый оптимальный вариант в таком случае - перехватить роли. Ничто не мешает потом все переустановить на отремонтированном сервере.
А все могло быть и лучше.
Так ведь, Сержио так и пишет "пару дней". А пару (и больше) дней все будет работать. Только больших изменений не сделаешь в АД. И политики менять я бы не рискнул. Т.е. сидеть и не рыпаться. И надеяться, что второй КД следом за первым не уйдет. И отыскать все свои бэкапы АД. И сделать новый, пока второй КД жив. И снова надеяться.
А переставить. Да, легко, если кроме АД на серваке нет. А если принтеры, шаринги и прочие сертификат-сервисы?
Не игнорируйте встроенную справку, читайте ее и большинство вопросов будет решено гораздо быстрее.
Виталий, ну зачем же так? И работать все будет. Ошибки в логах будут, конечно. Главное, не добавляйте новых объектов в АД.
Сержио, проверьте работу ДНС-сервера на рабочем КД, Дмитрий Пономарев на это намекает. Проверьте, как клиенты резолвят имена при помощи него. Это первое.
На клиентах все имена отлично резолвятся. и внутринние и внешние. особенно после того как я на DHCP повысил приоритет живого DNS. до этого тоже резолвились, но дольше.
Виталий, я еще всё работаю и пытаюсь решить проблему ;)
Не понимаю почему работать НЕ ДОЛЖНО! Ограничение по времени там 60 дней, и причем насколько помню на устаревание записей в АД, т.е. при включении основного сервера позже этого срока. ммм. вообщим лучше не ключать )
Mih Miheev, бекапы в сейфе лежат, все нормально. System State бекапиться каждый день. И - да, переставить КД из-за трехдневного отсутствия основого - ну как то не професионально чтоли. Я считаю, лучше добиться нормальной работы дополнительного КД, чтобы впредь не возникало таких ситуаций.
Что касается "нормальной" работы - клиенты в сеть замечательно входят, профили и шары подтягивают быстро, тормозят только при досупе к DFS-шарам.
В логах КД есть предупреждение:
Event Type: Warning
Event Source: SRMSVC
Event Category: None
Event ID: 12317
Date: 29.11.2010
Time: 1:11:36
User: N/A
Computer: Srv2
Description:
Диспетчеру ресурсов файлового сервера не удалось перечислить общие пути доступа или пути DFS. Сопоставления локальных путей путям к общим ресурсам и путям DFS могут быть незавершенными или временно недоступными. Диспетчер ресурсов файлового сервера повторит операцию позже.
Подробные сведения об ошибке:
Ошибка: (0x8007054b) Указанный домен не существует или к нему невозможно подключиться.
Ошибка: (0x8007054b) Указанный домен не существует или к нему невозможно подключиться.
Ошибка: (0x8007054b) Указанный домен не существует или к нему невозможно подключиться.
Ошибка: (0x8007054b) Указанный домен не существует или к нему невозможно подключиться.
Ошибка: (0x8007054b) Указанный домен не существует или к нему невозможно подключиться.
Ошибка: (0x8007054b) Указанный домен не существует или к нему невозможно подключиться.
Ошибка: (0x8007054b) Указанный домен не существует или к нему невозможно подключиться.
Ошибка: (0x8007054b) Указанный домен не существует или к нему невозможно подключиться. и таких записей в тексте предупреждения намного больше чем я привел
В каждой шутке есть доля шутки :)
Если Вы понимаете значение ролей FSMO то понимаете что будет не работать . (На всякий случай )
Касательно DFS скажу следующее:
Возможно в списке серверов обслуживающих корень DFS был и сервер который сломался:
Откройте оснастку Distributed File System, выберете корень (например \\mydomain\Public) и в правом окне увидите сервера обслуживающие его. Если там есть "сломанный" сервер удалите его и все будет быстро открываться :)
Если там остался|останется 1 сервер не поленитесь опубликовать еще на 1 сервере :)
А все могло быть и лучше.
спасибо за ссылку. представленный материал меня еще раз убедил что домен так тормозить не должен - все роли выполняют операции в лесе.
Если контроллеры в отдельном домене хранят и глобальный каталог, все контроллеры домена будут содержать свежую информацию, и не важно, какой из контроллеров домена является держателем роли мастера инфраструктуры.
А при открытии оснастки я вижу только пространство имен типа \\mydomain.local но при попытке его раскрыть получаю туже ошибку - Не возможно перечислить пространства имен на \\mydomain.local. Указанный домен не существует или к нему невозможно подключиться.
Если бы я мог, я бы переписал ссылки на ресурсы как: доп КД - первый в очереди на просмотр.
Да и сами клиенты видимо постоянно пытаются найти основной КД - время от времени зависают секунд на 20. у них в логах:
Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1054
Date: 29.11.2010
Time: 7:59:24
User: SYSTEM
Computer: W-08
Description:
Не удалось получить имя контроллера домена в этой сети. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.
Event Type: Error
Event Source: AutoEnrollment
Event Category: None
Event ID: 15
Date: 29.11.2010
Time: 7:59:26
User: N/A
Computer: W-08
Description:
Автоматическая подача заявки на сертификат Локальная система: не удалось связаться с каталогом Active Directory (0x8007054b). Указанный домен не существует или к нему невозможно подключиться.
Подача заявки выполнена не будет.
Event Type: Error
Event Source: NETLOGON
Event Category: None
Event ID: 5719
Date: 29.11.2010
Time: 8:58:40
User: N/A
Computer: W-08
Description:
Для домена DOMAIN нет доступного контроллера домена. Ошибка:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Убедитесь в том, что компьютер подключен к сети и повторите попытку. Если ошибка повторяется, обратитесь к сетевому администратору.
Безопасность пространства имен WMI
WMI обеспечивает безопасность пространства имен, сравнивая маркер доступа пользователя, подключающегося к пространству имен, с дескриптором безопасности пространства имен. дополнительные сведения о Windows безопасности см. в разделе доступ к защищаемым объектам WMI.
Доступ к пространствам имен WMI также влияет на подключение к удаленному компьютеру. дополнительные сведения см. в статьях подключение к wmi на удаленном компьютере, защита удаленного wmi-подключенияи подключение через брандмауэр Windows.
Чтобы определить, должен ли клиентский скрипт или приложение принимать данные, поставщики должны использовать параметр олицетворения. Дополнительные сведения о скриптах и клиентских приложениях см. в разделе Установка параметров безопасности процессов для клиентских приложений. Дополнительные сведения об олицетворении поставщика см. в разделе Разработка поставщика WMI.
Читайте также: