» Общие вопросы про AD (Active Directory)

FreemanRU

Цитата:

у нас DC определяется неверно, выбирается DC не принажлежащий сайту клиента.

Вопросы:

1)как ты настраивал сайты ? (сам или по мануалу)
2)Сопостовление (сетей-сайтам) верно настроил ?
3)bridgehead по каким протоколам работают ?
4)Расписание репликаций по умолчанию ?

у меня работает без проблем (2 сайта 10 подсетей)

кинь скриншот сайтов

angelweb
Не, мне надо где описан именно процесс того, как ДОЛЖНО происходить.
1. мышкой в остнастке А есть много способов как настроить сайт? Я знаю только один - создаем сайт, "вносим" в него сервер, указываем Query Policy.
2. Естественно. Проверено не раз уже.
3. IP только.
4. Нет. но когда-то было по умолчанию, работало также. Сейчас 5 сайтов, 5 Inter-Site Link. Организованно по принципу звезды. Не все сети напрямую между собой маршрутизируются. Из-за этого и изменены линки.

Самое скверное - у меня в одном из сайтов есть mutihomed DC. Один интерйеяс смотрит в одну сеть (сайт), другой - в другую сеть (и другйо сайт)

Для примера. Подключаюсь по VPN. Сеть для VPN-клиентов 10.7.0.0. Указана для сайта SITE1 (имя вымышленное) сеть 10.7.0.0. В нем DC - 10,4,0,555 (IP вымешленный )
Есть сайт SITE2, связан с SITE1 итерлинком с весом 100, в нем DC 10,1,1,555, есть сайт SITE3 связан интерлинком с SITE1 с весом 50, в нем DC 10,6,0,555

Так вот после соедиенения при domain.local разрешается как 10,1,1,555 (ping-ом смотрю).
Делаю ipconfig /flushdns
domain.local разрешается как 10,6,0,555
Делаю ipconfig /flushdns
domain.local разрешается как 10,4,0,555
Делаю ipconfig /flushdns
domain.local разрешается как 10,1,1,555
и далее по кругу.

И блин как это понять?

FreemanRU

Цитата:

Делаю ipconfig /flushdns
domain.local разрешается как 10,6,0,555
Делаю ipconfig /flushdns
domain.local разрешается как 10,4,0,555
Делаю ipconfig /flushdns
domain.local разрешается как 10,1,1,555
и далее по кругу.

И блин как это понять?

Где-то видел статью по поводу обращеий к dns (там был описан пример обращений при логоне ... к примеру есть два DNS сервера, клиент обращается то к одному то к другому в не зависимости от расположения сайтов)

А dns на клиентах вручную прописан ?

DFS у тебя есть ? к каким сервакам клиент подключается ?

angelweb
DNS через DHCP, каждый DC - DNS-сервер. Зона интегрированна.
DFS нету.


Цитата:

Где-то видел статью по поводу обращеий к dns

вот-вот, что-то подобное нужно....

FreemanRU

а почему не хочешь руками прописать dns (или логон скриптом) ?

можно же использовать связку dhcp ip+static dns.

angelweb
А смысл? я не сказал, что у нас в каждой сети свой DHCP, и соотвественно раздается "нужный" dns-сервер для каждой сети.

FreemanRU

Может ты уже видел...но всё равно...почитай

И тут
тоже много написано.

angelweb
Много о ДНС написано не там где ты указал, а вот DNS Technical Reference->How DNS Works
НО. Берем твою ссылку, открываем Служба DNS > Основные понятия о службе DNS > Общее представление о DNS->Интеграция с Active Directory

Цитата:

Служба DNS требуется для обнаружения контроллеров доменов Windows Server 2003.
Служба сетевого входа в систему использует новые средства поддержки DNS-серверов для обеспечения регистрации контроллеров доменов в пространстве доменных имен DNS.

отлично. А КАК, блин, она её использует????? Как работает ДНС я знаю, как отвечает сервер при обычном запросе от клиента я тоже знаю, но как отвечает сервер на запросы сервисов AD - хоть убей, а найти не могу.

FreemanRU

Цитата:

отлично. А КАК, блин, она её использует?????

кого как использует? Как днс используется для поиска контроллеов? - запись типа SRV с указанием типа сервиса (GC, kerberos, ldap), именем соотв контроллера и его ip. При загрузке тачка получает ip днс и обращается к нему с просьбой ip записи скажем _kerberos (сокращённо) на что днс отвечает ip контроллера и т.д. Вот с мс-а
Цитата:

Question
How does Windows 2000 locate the Key Distribution Centers (KDCs)?
Back to the top    Back to the top
Answer
Windows 2000 clients use Domain Name System (DNS) SRV records to locate domain controllers in a domain, and they attempt to resolve the _ldap._tcp.dc._msdcs SRV records. Windows 2000 domain controllers also publish SRV records for _kerberos and _kpasswd services. The list of published SRV records can be found on a domain controller in the following file:

http://support.microsoft.com/kb/q266080/
Про сайты там же написано... на мс-е

Блин, нашел кое-что... не зря мы $750 платим....
из TechNet:

Цитата:

ProcessGPOs: DSGetDCName failed with %d."
DsGetDCName is a public API that performs Domain Controller discovery. Troubleshooting this most of the time will involve name resolution. You can simulate this call by using the utility nltest.exe. Use the command ipconfig /flushdns before using nltest when you are taking a network monitor trace. Windows has a client-side cache, and you want to capture the DNS data in the trace. The syntax for nltest is:

nltest /DSGETDC: DomainName

Отличный инструмент, как оказалось .

FreemanRU

Цитата:

И блин как это понять?

Как round robin

Вот несколько статей, в которых описан процесс:
How DNS Support for Active Directory Works
How to optimize the location of a domain controller or global catalog that resides outside of a client's site
и KB247811

Цитата:

А где почитать по troubleshoting KDC?

Ну собсно там же на офсайте. Набери в поиске troubleshoting kerberos и получишь море инфы.

IceFusion

Цитата:

никаких ивентов на серваке связанных с ээтой проблемой нет

А на проблемном клиенте? Ошибки , ворнинги? Сложно сказать по твоему описанию, но похоже что кончается срок действия TGT и он не может обновиться сам. У тебя в керберос полиси какое максимальное время выставлено для жизни тикета и для его обновления ?

Все что стояло по умолчанию, так и стоит!

G14

Цитата:

Как round robin

Хм.. вот тебе и здравствуйте.... как-то я забыл об этой фиче.... спасибо.
Век живи - век учись. Или вспоминай, что забыл.
Но ведь она по умолчанию выключена, а на наших серверах, при этом на некоторых, почему-то включена... в общем бардак...

Добавлено:
Для всех - статья что есть round robbin.
http://info.nic.ru/st/8/out_263.shtml

ЗЫ В Windows-сетях лучше выключить.

FreemanRU

Цитата:

Но ведь она по умолчанию выключена

Нет. На 2003 по умолчанию включена.

Не знаю к кому обратится с перенаправлением папок через GPO, я все сдела, а вернуть как было не могу, может поможете, создал тему специально:
http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=15179#1

И так, продолжим... всё равное ничего не работает.
Имеем:
Сети
10.1.0.0/24 - SITE_FAR
10.1.1.0/24 - SITE_FAR
Сеть маршрутизируются между собой.
Сеть
10.4.0.0/23 (именно 23, это не опечатка) - SITE_NEAR
Не маршрутизируется с двумя предыдущими.

Имеем два сервера.
Контроллер домена имя - DC1, c адресом 10.4.0.1
Контроллер домена имя - DC3, c адресами 10.4.0.2 и 10.1.1.2, является DC в SITE_FAR
Сервер файловый, имя - SERV1, с адресами 10.4.0.3 и 10.1.1.3

Что имеем.
Из сети 10.4.0.0 все определяется верно, т.е. DC3 разрешается как 10.4.0.2, SERV1 как 10.4.0.3.
Из сети 10.1.0.0 тоже всё верно - DC3 разрешается как 10.1.1.2, SERV1 как 10.1.1.3

А вот из сети 10.1.1.0 - бардак.
Поиск DC правильный, nltest возвращает DC3. Только вот разрешается DC3 как 10.4.0.2, и SERV1 как 10.4.0.3. Есть ли пути как это поправить?
DNS сервер для сетей 10.1.1.0 и 10.1.0.0 - 10.1.1.2

Сегодня втыкал в "How DNS Works", но ничего на этот счет не нашел. Знаю, что multihomed не есть гуд, но пока можно только так.

FreemanRU

а если попробовать

ipconfig /flushdns
ipconfig /registerdns ?

angelweb
Round Robin я отключил, с ним вообще бардак. Так что на клиенте ipconfig /flushdns ни к чему не приводит.
А от ipconfig /registerdns смысл? ну зарегестрирует клиент своё DNS-имя, и что? Оно и так зарегестрированно.


Цитата:

Я вот смотрю в сторону "Connection-specific names". В статье описано что это и зачем надо. Тока вот с сервером всё понятно, а вот как это прикрутить к DC - не очень. Была мысль оставить на интерфейсе 10.1.1.2 всё как есть, а на 10.4.0.2 сделать что-то типа DC3-SEC.domain.local (с учетом что у меня домен это domain.local), но блин страшно. А сейчас лаборатория "закрыта на переучет"

Не, так не получится... это нужна еще одна зона...

FreemanRU

Цитата:

Только вот разрешается DC3 как 10.4.0.2, и SERV1 как 10.4.0.3. Есть ли пути как это поправить?
DNS сервер для сетей 10.1.1.0 и 10.1.0.0 - 10.1.1.2

У тебя на этом сервере в свойствах netmask ordering не отключен?

G14
Нет. Это я проверил в первую очередь, после того как статью прочитал.
В том то и дело, если был бы отключен и из 10.1.1.0 работало бы не верно. А из неё всё верно, т.е. netmasking срабатывает. В статье написано, что алгоритм ориетируется на класс сети (A,B,C), у меня класс один, так что не понятно по какому принципу идет выбор.
ЗЫ Прочитал твою ссылку, всё таки там про 2000, и есть маленькие различия.

Добавлено:
Не знаю, не работает у меня subnet prioritizing
пример с адреса 10.1.0.245:

Цитата:

nslookup domain.local
Name: domain.local
Address: 10.6.0.2, 10.1.1.2, 10.4.0.2, 10.4.0.2, 10.4.0.3, 10.30.0.2, 10.6.0.2

Это соответсвенно список всех DC со всех сайтов

Цитата:

Name: nslookup DC3
Address: 10.4.0.2, 10.1.1.2

А это описанный выше DC3.

Здравствуйте, у меня проблема с одним компьютером.... при доступе к контроллеру домена чтобы банально принтер установить через AD он запрашивает пароль, ввожу не проходит, ко всем остальным машинам нормально ходит комп в домене, а чё с ним не так не ясно.... Нет доступа только на КД и тоон ведь при загрузке с КД читает ГПче то не то там... помогите

IceFusion

Какая ось на проблемном компьютере ?

Что в логах ?

Сеть на компьютере правильно настроена ?

Службы все по умолчанию ?

Комп с Server 2003 Все службы п умолчанию, сеть настроена правильно так как DHCP раздает настройки.... в логах ничего криминального!

IceFusion

фаервол включен ?

как вариант вывести и снова занести машину в домен.

Оказывается там куча ошибок....

1030
1058
1053
1000
4139
Первая о том что не возможно подключится к домену, потм о том что обработка групповой политики прекращена

IceFusion

1)Не правильно настроена сетевая карта.

2)Поиск решений по ошибкам

3)Отключи фаервол.

Ну как не правильно если по сетке лазиет???
Фаерволл не включен и никада включен не был!

Добавлено:
На EventID всё на англицком че делать?

Добавлено:
Сделал так как написано тут:
http://eventid.net/display.asp?eventid=1058&eventno=1752&source=Userenv&phase=1
Помогло, но, теперь он соединяется с DC но со всиме остальными не может Говрит нет доступа!

Добавлено:
Всё вылечилось банальным удалением сетевухи и переустановкой дровов!

Привет всем опять проблемка у всех стало вылазить 1053 Невозможно определить имя пользователя обработка групповой политики пркращена

Добавлено:
По какому поводу это может вылазить, на EventID решения не нашел... но появилось это недавно а чё я перед этим сделал не знаю, кажется вообще ничего не делал!


Добавлено:
Ну вот из Event ID ничего не помогло, не решается пролемка!!! Удалил DNS опять установил перезарегистрировал записи и ничего не произошло, не помогло нифига.... еще в политиках ковырялся тоже не помогло! А что делать???

[more=DCdiag]Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\MPG-ACTIVEDIR
Starting test: Connectivity
The host 16b44c8a-f717-444c-af25-4a59f9ed0913._msdcs.intmpg.local could
not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(16b44c8a-f717-444c-af25-4a59f9ed0913._msdcs.intmpg.local) couldn't be
resolved, the server name (mpg-activedir.intmpg.local) resolved to the
IP address (192.168.1.1) and was pingable. Check that the IP address
is registered correctly with the DNS server.
......................... MPG-ACTIVEDIR failed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\MPG-ACTIVEDIR
Skipping all tests, because server MPG-ACTIVEDIR is
not responding to directory service requests

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : intmpg
Starting test: CrossRefValidation
......................... intmpg passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... intmpg passed test CheckSDRefDom

Running enterprise tests on : intmpg.local
Starting test: Intersite
......................... intmpg.local passed test Intersite
Starting test: FsmoCheck
......................... intmpg.local passed test FsmoCheck
[/more]

Народ Хелп..... Все испробовал не получается ничего, какие еще могут быть соображения?

Тебе же написал Dcdiag - Check the DNS server, DHCP, server name, etc
Although the Guid DNS name.
Вот и проверяй.
Nslookup и смотри что не так в твоей сети.