[løst] Brukere mister av og til tilgang til hjemme-share ved pålogging

[enden]

Jeg har en 2003 R2 std server som er DC, DNS og GC sammen med en annen server. Den er i tillegg filserver og printserver. Loginscriptene er standard batchscript som mapper opp stasjoner med net use. Disse ligger i 4 ulike policyer, der en er felles for alle brukere og de tre andre er spesialiserte for brukergrupper. Felles og hjemmeområde mappes av det første scriptet. Loginscriptene kobler ikke ned noe før oppkobling.

 

Hjemmeområdet er et felles share med individuelel udelte brukermapper under. Alle har tilgang til sharet og system + admins har NTFS-tilgang til mappa. Hver bruker har NTFS-tilgang til egne undermapper.

 

Brukerne rapporterer tilbake at de av og til få remappet hjemmeområdet (H:) til det overordnede sharet. De ser alle brukermappene, men får naturligvis ikke tilgang til noen. Det som er merkelig er at de heller ikke får tilgang til sitt egen. Jeg gjetter med til at den manglende tilgangen til egen mappe er grunnen til at de plutselig får mappet opp den overordnede mappen, men en bekreftelse på dette hadde vært fint.

 

Videre har jeg sjekket logger på både filserver og klient, men det logges ikke noe relatert til hendelsen samme dag. Jeg har ikke fått noe presist klokkeslett, så jeg kan sjekke nøyaktig hva som logges når feilen inntreffer, men loggene er generelt rene og pene. Feilen inntreffer tilsynelatende tilfeldig både når det gjelder bruker og intervall. En restart løser problemet. Dette er brukere som ikke gidder å ringe når feilen inntreffer, så nærmere feilsøking med ploicy refresh og slikt har ikke vært mulig hittil.

 

Er det noen som kan peke meg i riktig retning når det gjelder feilsøking og løsning av problemet?

Endret 19. mai 2009 av enden

[kakkle]

Hei

 

Dette skjer når net use H: /home brukes (H som eksempel), og dersom mapping av hjemmeområde fra ad feiler av en eller annen grunn.

 

Test det selv;

net use H: /D /Y
net use H: /home

 

Dersom hjemmemappen er sharet direkte, fungerer det som ventet

Dersom hjemmekatalogene ligger f.eks slik:

\\fileserver\homeshare\<username> så vil net use /home mappe opp home$ sharet.

 

Miljøvaribelen HOMEDRIVE vil bli H:, og HOMEPATH vil bli H:\<username>

på net use vil du se at H er koblet mot rot sharet

 

Dersom alle brukere har hjemmområde under samme share, så går det an å bruke :

net use H: \\filserver\homeshare\%username%

 

Dersom brukerene ikke har samme share, så anbefaler jeg deg å lage et lite vbscript som henter Homedrive og HomeDirectory fra ad, og mappe opp den veien.

 

Jeg har brukt vbscript til dette.

 

Har også hørt at noen har brukt net use H: %homeshare% med hell, men dette har jeg ikke testet

 

Microsoft sin kb om dette:

http://support.microsoft.com/kb/98706

 

EDIT:

net use H: \\fileserver\homeshare\%username% forutsetter selvfølgelig at du bruker brukernavnet som navn på hjemmemappen. Det er slett ikke sikkert det er alle som gjør dette, selv om jeg tror det er veeeldig vanlig.

 

Dersom man benytter noe annet enn brukernavnet, så vil jeg anbefale å bruke et vbscript som henter både homeDrive og homeDirectory fra AD.

Endret 6. april 2009 av kakkle

[enden]

Takk for innspill!

 

Jeg ser jeg har beskrevet dette litt upresist. Hjemmeområdet mappes ikke opp via AD-variabelen, bare gode gamle net use H: \\server\share\%username% slik som du beskriver som alternativ.

[kakkle]

Hehe...

 

Ja da ble jo alt det jeg skrev helt unødvendig :-)

 

Men da høres det nesten ut som et rettighets problem, men det har du jo sjekket, så da har jeg dessverre ikke flere tips.

Men det kan jo høres ut som at det kan skje dersom automatisk mapping fra ad feiler, da...

 

Det beste du kan gjøre, er å alliere deg med en bruker som kan ringe deg med det samme problemet oppstår, slik at du kan feilsøke litt på klienten. Sjekke rsop, sjekke miljøvariabler (%homePath%, %username%), prøve å kjøre scriptet direkte fra klienten (må vel da fjerne den aktive mappingen først, da)

[enden]

Ja, er redd jeg må overtale en bruker til å ringe meg, og håpe jeg er tilgjengelig når det skjer. Jeg har sjekket, dobbeltsjekket og sjekket en gang til. Så vidt jeg kan se er alle tenkelige og utenkelige detaljer korrekt

[kakkle]

Om du har muligheten til å logge det som skjer, så er jo det også en måte å feilsøke på.

Sjekke om \\server\homeshare\%USERNAME% finnes, og skrive resultatet av det til en loggfil. Eks:

 

set logfile="%logonserver%\NETLOGON\logs\%username%_%computername%.txt"
set homefolder=\\fileserver\homeshare\%username%
echo ----------------------------- >> %logfile%
date /t >> %logfile%
time /t >> %logfile%
echo. >> %logfile%
If exist %homefolder% (
  echo "Share %homefolder% exists" >> %logfile%
  echo "homefolder: %homefolder%" >> %logfile%
  echo "logonserver: %logonserver%" >> %logfile%

  net use \\fileserver\homeshare\%username% >> %logfile%
)
else
(
  echo the folder %homefolder% does not exist >> %logfile%
  echo logonserver: %logonserver% >> %logfile%
)
echo. >> %logfile%
echo ----------------------------- >> %logfile%

Brukere må ha skrivetilgang til %logonserver%\netlogon\logs katalogen.

Legges til på slutten av loggen ved hver pålogging. Derfor dato og litt skille linjer...

 

EDIT:

Evt så kan du sjekke om en mappe eller fil som du vet skal finnes på alle hjemmeområder finnes. Da vil den sjekken feile, dersom bruker ikke har tilgang til mappen. Logg så logonserver og slikt...

Endret 6. april 2009 av kakkle

[enden]

\\server\share\%username% finnes. Brukerne rapporterer tilbake at de ser alle brukeres kataloger, sin egen inkludert. Problemet er at de ikke får tilgang til den.

 

Jeg ble egentlig brått litt usikker - skal de egentlig kunne se noe som helst dersom NTFS-rettighetene kun er satt for system og administrators? Sharet er jo pip åpent, men får man list av den grunn?

Endret 6. april 2009 av enden

[kakkle]

Hmmm

 

De får vel listet det, så lenge de har list rettighet på sharet. Men grunnen til de ikke får åpnet sin egen mappe, kan nok være at de ikke har ntfs tilganger på den delte katalogen.

 

Anbefalt på den delte mappen er vel:

share: everone - full (brukere trenger vel egentlig read & list)

ntfs: domain users - read & list

adminstrators - full

system - full

 

Også gir du tilganger til brukere på sine mapper.

 

 

PS: skjønte at mappen finnes, men det var for å debuge om %username% varibalen av en eller annen grunn ble feil, og samtidig logge hvem logonserver de treffer. Siden dette bare skjer av og til, kan det jo kanskje være relatert til hvem logonserver de treffer under pålogging ?

 

Dersom %username% av en eller annen grunn er tom, så vil vel sharet over bli mappet.

[enden]

Da har jeg endelig fått tilgang til en feilende PC. Feilen oppstod etter at jeg rettet opp share-rettighetene på den delte mappa, så da var det ikke der problemet lå.

 

Maskinen med feil har ingen loggføringer utenom det vanlige. Det samme gjelder serverne. Logons rundt samme tid er jevnt fordelt på de to logon-serverene, og det er i dag kun èn bruker med problemet, men en rekke logons i samme tidsrom. Scriptet viser at variablene username og homefolder eksisterer. I dette tilfellet hadde brukeren faktisk tilgang til sin personlige mappe selv om H var mappet feil.

 

Jeg har lånt maskinen en stund og lekt litt med en debug-bruker. Uten å bli noe klokere har jeg valgt å fjerne mapping av hjemmeområde fra scriptet og heller la AD gjøre jobben. Vi får se om det endrer noe på situasjonen. For morro skyld fjernet jeg debug-brukerens tilgang til personlig mappe og fikk verifisert at dette medfører mapping av sharet og ikke undermappa.

[enden]

Og der feilet det igjen for AD. Da er hele home-variablen fjernet fra AD, og scriptet gjør jobben selv.

[enden]

Da har vi kjørt siden forige oppdatering uten feil, så jeg satser på at problemet er løst. Takk for hjelpen