Ошибка 40961 (DNS/prisoner.iana.org)
 

Добрый день.

Внутри существующей сети (1 КД на 2003,192.168/16, AD\DNS\DHCP) сделал новую, из двух физических серверов (Hyper-V) с 2008 R2:

Адреса из 10/8.

Первый:

1. Физический - три сетевые карты, две проброшены в виртуалку, последняя - ip 10.0.1.1, шлюз 10.0.1.2, днс 10.0.2.2.
2. Forefront TMA: WAN - статические настройки (192.168/16), как будто это еще одна машина для существующей сети (шлюз и днс - 192.168.9.1 - это существующий рабочий сервер). LAN: ip 10.0.1.2, днс 10.0.2.2.

Второй:
1. Физический - две сетевые карты, одна проброшена в виртуалку, последняя - ip 10.0.2.1, шлюз 10.0.1.2, днс 10.0.2.2.
2. КД - поднят AD (2008 R2), DNS, DHCP, WINS - ip 10.0.2.2, шлюз 10.0.1.2, c днс так - если указать 127.0.0.1, то у этой виртуальной машины не будет интернета (у всех остальных - будет), а если 10.0.2.2 то и эта виртуалка можеть ходить наружу.

Проблема:
С виртуалок и физ. серверов можно выходить в интернет.
Взял ноутбук, поставил XP SP3 RTM VLK (этот же образ успешно работает на половине компьютеров офиса). DHCP работает. Подцепил домен, интернет работает, сетевое окружение->Microsoft Windows Network->Domain, щелкаю на него и получаю ошибку. В логах:

Тип события: Предупреждение
Источник события: LSASRV
Категория события: SPNEGO (согласователь)
Код события: 40961
Дата: 14.09.2012
Время: 15:55:15
Пользователь: Н/Д
Компьютер: TESTWS1
Описание:
Системе безопасности не удалось установить безопасное подключение к серверу DNS/prisoner.iana.org. Отсутствуют доступные протоколы проверки подлинности.

Гуглил, пробовал создавать зону обратного просмотра "10.in-addr.arpa", не помогло.

Еще заметил, что при открытии "Microsoft Windows Network" домен ищется секунд 5, хотя и ноутбук и сервер современные.

Nslookup на ноутбуке показывает 10.0.2.2

C DNS я разобрался, а вот проблема не исчезла на XP.

Если на клиентской машине поставить семерку, то все работает, содержимое сети видно.
Если на семерке зайти под юзером ХХХ и следом за ним (не разлогиниваясь на семерке) войти под тем же логином на XP, то, опять же, все работает.

В адресной строке можно вписать имя КД или общего ресурса на нем и он цепляется.
Сетевой диск, созданный таким же образом, успешно монтируется.

fotonboxx, У меня такая же проблема, была только домен на 2008 Server. Мне сказали что это из-за того что Server 2008 поддерживает XP только в натив мод, т.е. конектится может но работает не всё... XP так же не хотел принимать некоторые групповые политики, видимо из-за того что в его схемах, таких пунктов просто нет... решилось только переходом на Windows 7. Могу предположить что частично это ещё связанно с IPv6 которыя у себя не настраивал, но при попытке его отключить на серевере SBS2008, у меня переставал запускаться Exchange 2007, не знаю почему... но вероятно что DNS возвращает сначала IPv6, а поскольку XP его не поддерживает, то делает повторный запрос для IPv4, что собственно и вызывает задержку при входе... (правда это всего лишь догадка) Либо возможно это из-за разных версий Kerbiros... всего лишь очередная догадка, тыкою пальцем в небо краснея

Ударьте их чем-нибудь посильнеее )))

А потом включите службу "Браузер компьютеров" на всех серверах, которые должны быть видны юзерам.