» Общие вопросы про AD (Active Directory)

awsswaawsswa
Try this:
Modify the Gpttmpl.inf file to confirm that the appropriate users have the Access this computer from the network user right on the domain controller. To do this, follow these steps:

1. Modify the Gpttmpl.inf file for the Default Domain Controllers Policy. By default, the Default Domain Controllers Policy is where user rights are defined for a domain controller. By default, the Gpttmpl.inf file for the Default Domain Controllers Policy is located in the following folder.

Note Sysvol may be in a different location, but the path for the Gpttmpl.inf file will be the same.

For Windows Server 2003 domain controllers:

C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

For Windows 2000 Server domain controllers:

C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

2. To the right of the SeNetworkLogonRight entry, add the security identifiers for Administrators, for Authenticated Users, and for Everyone. See the following examples.

For Windows Server 2003 domain controllers:

SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

For Windows 2000 Server domain controllers:

SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

Note Administrators (S-1-5-32-544), Authenticated Users (S-1-5-11), Everyone (S-1-1-0), and Enterprise Controllers (S-1-5-9) use well-known security identifiers that are the same in every domain.

3. Remove any entries to the right of the SeDenyNetworkLogonRight entry (Deny access to this computer from the network) to match the following example.

SeDenyNetworkLogonRight =

Note The example is the same for Windows 2000 Server and for Windows Server 2003.

By default , Windows 2000 Server has no entries in the SeDenyNetworkLogonRight entry. By default, Windows Server 2003 has only the Support_random string account in the SeDenyNetworkLogonRight entry. (The Support_random string account is used by Remote Assistance.) Because the Support_random string account uses a different security identifier (SID) in every domain, the account is not easily distinguishable from a typical user account just by looking at the SID. You may want to copy the SID to another text file, and then remove the SID from the SeDenyNetworkLogonRight entry. That way, you can put it back when you are finished troubleshooting the problem.

SeNetworkLogonRight and SeDenyNetworkLogonRight can be defined in any policy. If the previous steps do not resolve the issue, check the Gpttmpl.inf file in other policies in Sysvol to confirm that the user rights are not also being defined there. If a Gpttmpl.inf file contains no reference to SeNetworkLogonRight or to SeDenyNetworkLogonRight, those settings are not defined in the policy and that policy is not causing this issue. If those entries do exist, make sure that they match the settings listed earlier for the Default Domain Controller policy.

awsswaawsswa
adprep /forestprep, adprep /domainprep делал?
Common Mistakes When Upgrading a Windows 2000 Domain To a Windows 2003 Domain

Alan Mon

это делал
adprep /forestprep, adprep /domainprep
по статье

http://www.networkdoc.ru/files/insop/win2000/read.html?325379.html
все прошло без ошибок
проверил что Объект
CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=доменное_имя_обновляемого_домена

существует.

Greedy

Проблема, вот эта вещь у меня почемуто лежит не тут где надо

C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

у меня она почему-то в тут

C:\WINNT\Sysvol\Sysvol\<Domainname>\NtFrs_PreExisting___See_EventLog\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

можно ли просто перебросить ручками куда надо или это делается по другому?

awsswaawsswa

DFS (распределённая файловая система) не корректно работает.

Смотри логи и вперёд на http://eventid.net )

angelweb
а что почитать по этому поводу?
и на какие ошибки обратить внимание?

awsswaawsswa

Цитата:

C:\WINNT\Sysvol\Sysvol\<Domainname>\NtFrs_PreExisting___See_EventLog\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

Это на каком контроллере, на 2000 или 2003? Существование NtFrs_PreExisting означает, что в момент включения репликации DFS в папке-приемнике уже что-то существовало. В этом случае DFS создает папку с таким именем и сбрасывает туда это содержимое. Как правило, ее можно смело удалять.

Упал контроллер домена (полетел винт, возможности востановить контроллер нету). Как удалить все связанные с этим контроллером записи в АД? ФСМО роли перенесены.

zvonarev
В шапке ведь есть ссылка: Удаление из AD информации об уже несуществующем DC

Земляне, а как узнать, с какой машины логинился в домен юзер перед тем, как он залочился?

2angelweb
Спасибо, но у меня таких прав в домене нет, какой-нибудь скрипт-прога существует на эту тему?

Подскажите, можно ли как-нить оптимизировать работу (ускорить) AD на слабой машине или нужно подобрать более мощную?

Greedy
спасибо помогло
все сделал по оригинальной статье
http://support.microsoft.com/kb/267553
удалил GptTmpl.inf , поставил новую из статьи microsoft и все пошло

3 сайта, 1 домен (дерево лес тоже одни) 2000 native: в центральном 2000-2003 DC, GC, FSMO; в сайтах по одному DC 2000 версии. Риплика идёт только с\на центр сайт, и тут вдруг в одном из дочерн сайтов DC пытается залезть и взять реплику с другого дочер сайта хотя с ним нет ни объектов связи сваянных KCC\руками ни мостов! (галка на IntaerSite Transport -> ip "bridge all networks" снята! (бридж-сервера в сайтах руками выделены). В эвентере ошибки:
Цитата:

Event Type:    Warning
Event Source:    NTDS KCC
Event Category:    Knowledge Consistency Checker
Event ID:    1566
Date:        29.09.2005
Time:        15:18:15
User:        N/A
Computer:    DC45
Description:
All servers in site CN=Site2,CN=Sites,CN=Configuration,DC=mydomen,DC=com that can replicate partition CN=Configuration,DC=mydomen,DC=com over transport CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=mydomen,DC=com are currently unavailable.

не могу понять куда копать!? dcdiag и netdiag с этого контроллера всё выдают вроде чистенько за исключением
"Failed to query SPN registration on DC45 "
"Could not open IISADMIN Service on [DC45]:failed with 1060: Win32 Error 1060"
"Error: No record of File Replication System, SYSVOL started."
реплика меж центр и этим сайтом нормально проходит...

greenfox
А вот здесь смотрел ?

angelweb
смотрел, но у меня там ни прописки ни паспортов тамошних...
http://support.microsoft.com/default.aspx?scid=kb;en-us;268109 - патчик может помет, только вот искать придёться...

greenfox
А зачем прописка ?
Копируешь номера и травишь ими гугл

к примеру там есть линк "M268109" , значит искать надо 268109+microsoft

Удачи.

angelweb
это понятно, линк как видишь выше я то нашёл - просто что бы доп.инфу там найти "прописка" нужна... + на мс патч доступен только "избранным"

greenfox


Цитата:

http://support.microsoft.com/default.aspx?scid=kb;en-us;268109

Если мне память не изменяет, это вошло еще в SP2.
Из приведенной тобой статьи:

Цитата:

The English version of this fix should have the following file attributes or later:
07/20/2000 04:00p 5.0.2195.2103 77,584 Ntdskcc.dll

После SP4 она 5.0.2195.6666........

G14
ага, я тож обратил на это внимание, только непонятно почему ниже:
Цитата:

APPLIES TO
• Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Professional Edition

без указания SP!?

greenfox

Цитата:

почему ниже:

ну не было тада этих SP еще
У меня с 2000 контроллерами было что-то похожее...
На проблемном DC проверь в реестре в
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
параметры NVdomain, domain, hostname, NVhostname
Во всех должны быть значения(имена домена и хоста)...
Названия ключей писал по памяти, мог ошибиться....Если параметры отсутствуют - добавь и перегрузи.

На всякий еще это почитай:
A missing service principal name may prevent domain controllers from replicating
(и глянь в APPLIES TO )

G14

Цитата:

ну не было тада этих SP еще

было было
Цитата:

параметры NVdomain, domain, hostname, NVhostname

да всё на месте вроде...
Цитата:

На всякий еще это почитай:
A missing service principal name may prevent domain controllers from replicating

так у меня репликация то идёт - NTDS KCC что то не то мутит только с топологией...

setspn -L DC45
что дает ?

Leonid_Z
greenfox

Цитата:

вопрос такой: кто-н "рисует" план AD (сайты, реплики, связи физич-логические, ip etc) какой-н программой!? Если да то чем!?

Есть такая прога - Frendly Pinger. Всё не всё - а многое сделает сама, опознает компы, инвентаризацию проведёт и т.д. А потом в ней же сам и дорисуешь, и притом будешь видеть не статичную схему, а живую. Наш человек делал!

G14

Код: F:\WINNT\system32>setspn -L dc45
Registered ServicePrincipalNames for CN=dc45,OU=Domain Controllers,DC=mydomen,DC=com:
DNS/dc45.mydomen.com
HOST/dc45.mydomen.com/mydomen.com
GC/dc45.mydomen.com/mydomen.com
HOST/dc45.mydomen.com/DOM
LDAP/3f242ab1-77ce-47b9-678a-59d624324b9c._msdcs.mydomen.com
LDAP/dc45.mydomen.com/DOM
LDAP/dc45
LDAP/dc45.mydomen.com/mydomen.com
LDAP/dc45.mydomen.com
E4484235-4B36-21D1-AB04-00C02FC2DCD2/3f242ab1-77ce-47b9-678a-59d624324b9c/mydomen.com
NtFrs-89f5d2bd-b646-32d2-a6d3-00c04fc3b232/dc45.mydomen.com
SMTPSVC/dc45
SMTPSVC/dc45.mydomen.com
HOST/dc45
HOST/dc45.mydomen.com

greenfox
Вроде все нормально....Ну тады начнем непосредственно репликацию ковырять:
repadmin /siteoptions [DC] [/site:SiteName]
не лишне посмотреть и на другие результаты диагностики этим инструментом. (только не надо постить здесь все, а то нас Великий Наставник Молодежи ногами пинать будет ).

G14

Цитата:

repadmin /siteoptions [DC] [/site:SiteName]

конкретно на эту команду вылазит везде стандарно:
Код: C:\>repadmin /siteoptions dc45 /site:Site2
Site2
Current Site Options: (none)

greenfox

Цитата:

У меня вот ещё вопрос

Select a query policy

G14

Цитата:

Select a query policy

как её поставить технически понятно Вопрос был на кой она нужна и что она значит!? Там написано конечно
Цитата:

A query policy prevents specific Lightweight Directory Access Protocol (LDAP) operations from adversely impacting the performance of the domain controller and also makes the domain controller more resilient to denial-of-service attacks.

но как то туманно это... И должна ли она быть одинакова на всех контроллерах домена!?

greenfox

Цитата:

но как то туманно это...

LDAP политики это правила работы с каталогом для клиентов. Сейчас у тебя все по умолчанию. В некоторых случаях можно изменить параметры для работы клиентов с LDAP, например в целях повышения устойчивости работы и гарантированного предоставления контроллером своих услуг. Делай это только если точно на 100% понимаешь, что делаешь. Вот подробности про политики запросов:
Managing Lightweight Directory Access Protocol Policies
How to view and set LDAP policy in Active Directory by using Ntdsutil.exe

Цитата:

И должна ли она быть одинакова на всех контроллерах домена!?

В твоем случае (если это дефолт полиси) - да, причем насколько я помню, нет разницы между пустым полем и с "defailt query policy".

G14

Цитата:

Managing Lightweight Directory Access Protocol Policies

понял, спасибо. В целом понятно на кой это надо... Про пустую строку там сказано, что если полиси не установлена то применяется установленое для сайта значение (только где его то ставить? только через аля ldp\Ntdsutil!?), и вот если и оно не установлено - тогда берётся дефолтовое... Понятно вобщем, к моей ошибке походу это отношение не имеет... Бум искать дальше...