» Общие вопросы про AD (Active Directory)

Цитата:

greenfox

Цитата:

В случае если домен один количество GC роли не играет.

Т.е. наличие GC на втором контролере мне ничем не поможет, если отключится первый DC? (

slayer12
GC - это частичная реплика со всех доменов в лесу. Контроллер обслуживает свой домен и если клиенту нужна инфа от контроллера в другом домене, то что бы не обращаться к нему он запрашивает её на GC сврего DC. Тк домен у тя один то и других контекстов в лесу нет => клиенты прекрасно будут работать с контроллером и GC им как бы и не нужен в данном варианте.

ps хотя тут могут быть нюансы того как сам софт аля эксчендж и т.д. работает с АД - может ему именно GC и нужен...

greenfox

Вот такие сообщения валятся на Exchange сервере, когда отваливается сетевуха на сервер1

Event Type:    Error
Event Source:    MSExchangeDSAccess
Event Category:    Topology
Event ID:    2103
Date:        14.11.2005
Time:        13:21:42
User:        N/A
Computer:    EXCHANGE
Description:
Process MAD.EXE (PID=300). All Global Catalog Servers in use are not responding:
server1.drug


Event Type:    Error
Event Source:    MSExchangeDSAccess
Event Category:    LDAP
Event ID:    2061
Date:        14.11.2005
Time:        13:18:33
User:        N/A
Computer:    EXCHANGE
Description:
Process STORE.EXE (PID=1436). An LDAP search call failed - Server=server2.drug
Error code=8004090a. Base DN=<GUID=A72D4A06-FCB4-46E6-B03D-31F03C9F267A>, Filter=(objectclass=*), Scope=0.

Судя по всему, exchange нужен именно GC

slayer12
судя по логам да, судя по статьям на мс-е типа http://support.microsoft.com/default.aspx?scid=kb;en-us;322801 тоже да
Если есть вопросы по чугунку задавай их в соот теме http://forum.ru-board.com/topic.cgi?forum=8&topic=10083&start=240#lt + поиск на мс

ps соотв логично будет поставить 2 GC в твоём варианте ибо что 2 что 1 глобальный каталог в лесу с однмм доменом значения не имеет, даже если GC распологается на хранителе ролей...

greenfox

Цитата:

Если память не изменяет то:
1. M$ рекомендует в случае 2-х DC на одном делать все роли а на другом GC. В случае если домен один количество GC роли не играет.

Изменяет. Сильно. Здесь про GC, достаточно подробно:
» AD: GC, PDC and etc... как работает?

Про распределение ролей.
Цитата:

Как правило, хозяин инфраструктуры всегда размещается на сервере неглобального каталога, который имеет прямой объект подключения к одному из глобальных каталогов в лесу, лучше всего на том же узле Active Directory. Сервер глобального каталога хранит частичные реплики всех объектов в лесу. Поэтому хозяин инфраструктуры, размещенный на сервере глобального каталога, выполнять обновления не будет, так как он не содержит ссылок на объекты, которых не хранит. В этом правиле есть два исключения. • Лес с одним доменом

В лесу, который содержит только один домен Active Directory, отсутствуют фантомы, а значит хозяин инфраструктуры бездействует. В этом случае его можно разместить на любом контроллере домена.
• Лес с несколькими доменами, при условии, что каждый контроллер домена хранит глобальный каталог

Если на каждом контроллере домена хранится глобальный каталог, то фантомы отсутствуют и хозяин инфраструктуры бездействует. В этом случае его также можно разместить на любом контроллере домена.

• На уровне леса роли хозяина схемы и хозяина именования домена необходимо расположить на одном контроллере домена (они редко используются и должны жестко контролироваться). Кроме того, контроллер, которому присвоена роль хозяина именования, должен одновременно являться сервером глобального каталога.
(KB223346)

slayer12

Цитата:

Вот такие сообщения валятся на Exchange

Глобальная адресная книга Exchange хранится в GC.

Цитата:

Сильно ли увеличится трафик репликации при таком включении?

У тебя они разделены медленным каналом ? Если они в локалке, то не беспокойся.

G14
где именно вы нашли что мне изменяет память? Домен в лесу один - можно ГК распологать где угодно... или я что-то не понял!?


Цитата:

Изменяет. Сильно. Здесь про GC, достаточно подробно:
» AD: GC, PDC and etc... как работает?

это оттуда
Цитата:

G14 - если в лесу один домен, то каждый контроллер понимает UPN имя как обычное имя. Не идет обращений к каталогу

от kibkalo Других существенных вариантов на тему как распределять ГК между 2-мя контроллерами в одном домене (и сайте) нет вроде...



Цитата:

На уровне леса роли хозяина схемы и хозяина именования домена необходимо расположить на одном контроллере домена (они редко используются и должны жестко контролироваться). Кроме того, контроллер, которому присвоена роль хозяина именования, должен одновременно являться сервером глобального каталога.
(KB223346)

если вы имеете ввиду эту статейку http://support.microsoft.com/default.aspx?scid=kb;en-us;223346 то так так и говориться
Цитата:

• Single domain forest:

In a forest that contains a single Active Directory domain, there are no phantoms, and so the infrastructure master has no work to do. The infrastructure master may be placed on any domain controller in the domain, regardless of whether that domain controller hosts the global catalog or not.

Соотв то что там расказывается про "на уровне леса" имеется ввиду мультидоменный вариант насколько я понимаю...

Цитата:

где именно вы нашли что мне изменяет память?

Цитата:

M$ рекомендует в случае 2-х DC на одном делать все роли а на другом GC

Я про это. Это ты откуда взял ? Не говорил МС такого

Цитата:

Тк домен у тя один то и других контекстов в лесу нет => клиенты прекрасно будут работать с контроллером и GC им как бы и не нужен в данном варианте

Поиск, адресная книга эксченжда.



Добавлено:

Цитата:

если вы имеете ввиду эту статейку

Цитата:

Соотв то что там расказывается про "на уровне леса" имеется ввиду мультидоменный вариант насколько я понимаю

лол. То что я процитировал это та же статья, только на русском сайте МС... Так что претензии по переводу - к ним

G14

Цитата:

Я про это. Это ты откуда взял ? Не говорил МС такого

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/edeba401-7f51-4717-91bd-ddb1dca8a327.mspx Только там не совсем понятно - вроде речь идёт о root домене - но в вышеописанном случае 2 dc и есть и рут домен как таковой
Цитата:

Поиск, адресная книга эксченжда

это надо не клиентам как таковым (под коими понимается виндовый клиент), а определённой софтине- в данном случае эксченджу... Тут мы просто о разном говорили...
Цитата:

лол. То что я процитировал это та же статья, только на русском сайте МС... Так что претензии по переводу - к ним

"шутку понял, смешно"(G) Вы меня, уважаемый, что за дурака дежржите?! Ясень пень что это просто перевод - но мы же с вами оба знаем что является хорошим тоном читать текст в оригенала...
По поводу статьи - там и говориться - форест рут домен - в вышеописанном варианте 2 dc держат всего лишь один домен - он же и форест рут (т.е. нет выделенных дочерних доменов) - а в сингл домене -> см.выше
Всё AFAIK.

Цитата:

Только там не совсем понятно - вроде речь идёт о root домене

Цитата:

мультидоменный вариант насколько я понимаю...

Цитата:

M$ рекомендует в случае 2-х DC на одном делать все роли а на другом GC

прочитал. понял что тебя смутило:

Цитата:

move all the operations master roles to the second domain controller deployed in the forest root domain and ensure that this domain controller is never configured as a global catalog server

В варианте с несколькими доменами в лесу важно чтобы контроллер, выполняющий роль инфраструктурного мастера не был и сервером глобального каталога одновременно. Причем не только в корневом домене, а во всех. Потому что при такой схеме инфраструктурный мастер не узнает об изменениях в своем домене, и не сможет оповестить об этих изменениях соседей. (Дальше они пишут:

Цитата:

This is because the first domain controller is always a global catalog server and the infrastructure master should not be placed on a domain controller that is also a global catalog server unless all domain controllers are global catalog servers.

)
Только вот я не согласен с такой формулировкой. Тут они поторопились. Да, в многодоменном варианте, нужно развести GC и инфраструктурного мастера по разным контроллерам, но если мы перевезем ВСЕ роли, то получится что мастер именования доменов не на одном контроллере с GC, что не есть хорошо.

Если домен в лесу один, то инфраструктурному мастеру просто нет работы, поэтому действительно нет разницы где разместить сервера GC.


Цитата:

Соотв то что там расказывается про "на уровне леса" имеется ввиду мультидоменный вариант насколько я понимаю...

Не совсем. Просто в твоей английской цитате речь про инфраструктурного мастера, а в моей русской- про мастера схемы и именования доменов. Инфраструктурный мастер есть в каждом домене в лесу, тогда как мастер схемы и мастер именования домена - только в корневом. И поэтому схема мастера и мастера именования рекомендуют свести на одном контроллере, который потом надо типа беречь как знамя полка.


Цитата:

но мы же с вами оба знаем что является хорошим тоном читать текст в оригенала...

ну мы то знаем но последнее время я как то привык здесь, что на ссылку на англ. ресурс, начинается крик "я не панимаю па кетайски ничего. хачу на русском"

G14
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/edeba401-7f51-4717-91bd-ddb1dca8a327.mspx
Цитата:

Operations Master Placement for Single Domain Forest
In addition to hosting the operations master roles, the first domain controller created in a forest also hosts the global catalog. In a single domain forest, the database of a global catalog server is identical to that of a domain controller. Therefore, configure all domain controllers as global catalog servers because it does not cause any additional workload for the domain controllers. In a single domain forest where all domain controllers are configured as global catalog servers, leave all operation master roles on the first domain controller that is created in the forest and use the second domain controller as a standby operations master.

типа перекиньте\оставте все роли на одном DC (первом по умолчанию), а второй пусть будет резервным хранителем ролей (наск я понимаю) + ГК на всех DC (или где душе угодно - тут только для балансировки нагрузки их можно тусовать и не более)
Цитата:

Не совсем. Просто в твоей английской цитате речь про инфраструктурного мастера, а в моей русской- про мастера схемы и именования доменов. Инфраструктурный мастер есть в каждом домене в лесу, тогда как мастер схемы и мастер именования домена - только в корневом. И поэтому схема мастера и мастера именования рекомендуют свести на одном контроллере, который потом надо типа беречь как знамя полка.

и что!? Если у камрада выше 2 DC ты предлагаешь перекинуть на первый 2 "лесные" роли (схемы и именов домена), а на другом оставить 3 "доменных" роли!? В этом нет смысла - такая схема будет эффективна только в варианте когда есть дочернии домены - в мультидоменном варианте (afaik). Даётся это m$ в качестве рекомендации... В вышеописанном варианте домен один, смысл разносить хозяев операций только в балансировки нагрузки (pdc отдельно например - наиболее прожорлив и т.д.) или бэкапа (как например советует мс - все роли на одном DC второй соотв как запасной мастер) - других критереев в таком варианте имхо нет...

ps я кстати так до конца и не врубился - это запасной хозяин операций надо как то с консоли "назначать"!?

pps да и пож-та не выдерай мои фразы из контекста, они там шли не в той окраске которую ты им потом придаёшь, цитируя их подряд пачками и приписывая внизу небольшой коментарий - мне потом непонятно на что отвечать\спрашивать...

Цитата:

я кстати так до конца и не врубился - это запасной хозяин операций надо как то с консоли "назначать"!?

нет. Designating a standby operations master


Цитата:

Если у камрада выше 2 DC ты предлагаешь перекинуть на первый 2 "лесные" роли (схемы и именов домена), а на другом оставить 3 "доменных" роли!?

Нет. Я говорил об общем случае. В случае камрада выше ему нужно сделать оба контроллера серверами GC и все. Перемещать роли смысла пока не видно.

Цитата:

В вышеописанном варианте домен один, смысл разносить хозяев операций только в балансировки нагрузки (pdc отдельно например - наиболее прожорлив и т.д.) или бэкапа (как например советует мс - все роли на одном DC второй соотв как запасной мастер) - других критереев в таком варианте имхо нет...

согласен.

G14

Цитата:

нет. Designating a standby operations master

так там только и говориться, что бы создать прямую связь репликации между 2-мя этими DC, что тем же repadmin -ом из консоли можно сделать... + вода какая то на тему
Цитата:

Before transferring a role from the current role holder to the standby operations master, ensure that replication between the two computers is functioning properly. Because they are replication partners, the new operations master is as updated as the original operations master, thus reducing the time required for the transfer operation.

ибо непонятно как будет тогда работать эта схема с запасным хранителем ролей, если праймари вообще в даун уйдёт!? Или статья про это случай просто умалчивает (маркетинговый шаг чтоли) косвенно ссылаясь на вариант "принудительного захвата ролей"!?

greenfox


Цитата:

ибо непонятно как будет тогда работать эта схема с запасным хранителем ролей, если праймари вообще в даун уйдёт!?

Вот-вот об этом поподробнее госпада. Он у меня и уходит в даун сейчас из-за сетевухи, а поскольку на втором dc есть днс, и включена репликация, все пашет окромя чугунка, а он непашет из-за отсутствия доступа к gc. А насчет разброса переброса ролей
мне все это не надо. Кстати gc на второй контроллер сразу копирнется, или будет ждать первую репликацию?

slayer12

Цитата:

Кстати gc на второй контроллер сразу копирнется, или будет ждать первую репликацию?

Если контроллеры в одном сайте сидят, то сразу. Помониторь Event Log. там должно выскочить сообщение типа "Теперь этот контроллер является GC".

slayer12

Цитата:

Вот-вот об этом поподробнее госпада.

вам это не к чему - эти роли (FSMO) ваш вариант не затрагивают - вам нужен только ГК и галка
Цитата:

Кстати gc на второй контроллер сразу копирнется, или будет ждать первую репликацию?

afaik в 2000 DC кажись 5-й интервал выдерживает контроллер перед оповещением внутри сайта (2003 15 сек) - примерно через минут 15 он станет ГК таким образом. (это не затрагивает срочные обновления)

greenfox

Цитата:

ибо непонятно как будет тогда работать эта схема с запасным хранителем ролей, если праймари вообще в даун уйдёт!?

Короче этот запасной контроллер ничего не будет делать сам. Он просто типа "лучший партнер по репликации" для хранителя роли, что по идее минимизирует потери информации в каталоге при крэше хранителя роли и последующем захвате роли. Ну или при выводе хранителя роли из сети и передачи роли "по хорошему". Это просто запасной аэродром для fsmo-роли. Это мера предосторожности такая.

Цитата:

Кстати gc на второй контроллер сразу копирнется, или будет ждать первую репликацию?

Начнет создаваться сразу. Грубо говоря, GC это индекс для каталога(AD). Как только ты поставишь галку, начнется индексация каталога. GC может создастся даже если нет связи с другими контроллерами. (afaik).
slayer12

Цитата:

Он у меня и уходит в даун сейчас из-за сетевухи

Батенька, вам бы сетевуху то заменить....или полечить...некошерно так с контроллером то поступать...

G14


Цитата:

Батенька, вам бы сетевуху то заменить....или полечить...некошерно так с контроллером то поступать...

Да боюсь не тока или не стока в сетевухе дело (она кстати 3com 3c905btx).
Она конешно бяка - меня в другой конторе 3 таких на серверах крякнуло где-то
за год-полтора, заменил интеловскими гигабитками - нет проблем. Эта уже года 2 пашет.
Но весь сервак тож стал ненадежен - сгорел винт в raid0, сам котролер hpt-370 глючил упарился восстанавливать раид. теперь вот сетевуха. Буду менять весь, а пока фиников нету, борюсь с энтим серваком.
Как лечить сетевуху - не знаю - в логах все чисто, тока на других серваках пишут
мол gc такой-то лег и все, да exchange ругается.

slayer12

Цитата:

Как лечить сетевуху - не знаю

а чего с ней бороться то!? Они сейчас стоят 5 баксов в базарный день! У меня вон коробка их юзаных валяется хоть гуматирную помощь рассылай

slayer12

Цитата:

Но весь сервак тож стал ненадежен

В таком случае я забираю свои слова:

Цитата:

Перемещать роли смысла пока не видно.

Я бы трансфер всех ролей на нормально работающий DC сделал как можно быстрее. ИБО ((с)ЛеликВ) не ровен час этот контроллер сдохнет совсем. А захват роли это все таки крайний вариант.

G14
greenfox
Спасиб за заботу так и сделал. Сейчас чугунка хоть не отваливается.
Кстати gc перенесся через 5 минут. Теперь собираю новый сервак : корпус есть, осталось чуток (мамка, проц, сетевуха гигабитка транк, и т.д. ) как привезут заменю сервак.

Прошу помощи....в евенте на КД выдает постоянно ошибку:

Выполнено распространение политики безопасности с предупреждением.
0x5 : Отказано в доступе.
Дополнительные сведения содержатся в разделе "Устранение неполадок" справки по безопасности.

Не получаеться по этому вопросу ни чего найти...

AlexisADMIN
Скорее всего на какой-то объект, который система пытается изменить согласно политике нет прав у пользователя SYSTEM. Это может быть раздел реестра, служба, файл и т.д.
Вспоминай, на что урезал права перед тем, как стало появляться это сообщение.

У меня как-то что-то похожее было, когда я политиками отключал службы и забыл на них дать права пользователю SYSTEM.

Alan Mon
Спасибо за подсказку все так и есть .
В политике была запрещена служба факс и др., а прав на запуск у SYSTEM не было...

Кстати, не в курсе есть ли средства для сбора статистики в АД, кто когда и куда работал, а то через эвент это мониторить как то не очень удобно и отчет не получишь.

AlexisADMIN

Цитата:

Кстати, не в курсе есть ли средства для сбора статистики в АД, кто когда и куда работал

Посмотри здесь: http://forum.ru-board.com/topic.cgi?forum=35&topic=16173#1,
Quest Software InTrust for Active Directory ("родной" сайт http://www.quest.com).

Cermit
А что нить более бесплатного нету? а то у меня вот тоже такая проблема встала по аудиту домена, и что-то не особо нашел пока..

FreemanRU
Других реальных прог для администрирования домена, тем более бесплатных,
кроме Quest'овских InTrust for Active Directory и Spotlight on Active Directory
к сожалению не знаю.

Добавлено:
Хотя вспомнил, что есть ещё GFI LANguard Security Event Log Monitor
и GFI Network Server Monitor, тоже вроде ничего прожки (сайт http://www.gfi.com), по крайней мере под них кейгены проще найти чем для Quest'овских.

Cermit
Понял, придеться парсить. Эх, как я это не люблю.

FreemanRU
типа везде всё лицензионное!?

У кого-нить включен аудит доступа к AD? Какие события генеряться? и какиv ID и какой источник? А то сейчас лаборатории нету, так что не хочеться захламлять журналы реальных серверов.

greenfox
Типа того. Устал я уже от этого

FreemanRU
и в какую деньгу это вылилось (по части АД) если не секрет!?