» Общие вопросы про AD (Active Directory)

Столкнулся сегодня с проблемой.
Уже не первый раз поднимаю AD (в нескольких конторах успешно работают), но первый раз столкнулся с подобной проблемой.
Вообщем есть два интерфейса:
LAN & Internet
LAN - 192.168.0.1/255.255.255.0 - DNS - 192.168.0.1
(этот комп есть DC первый и единственный в сети)
Internet - сетевушка связанная с VDSL модемом. На сетевушке стоит белый IP, выданный провом. Заданны IP/Mask. (DNS и явно указывался на 192.168.0.1 и убирался и винда сама выбирала внутренни DNS)

На DNS стоит Forwarding на DNS ISP.
В RRAS сервере указан static route -> на гейт ISP.

Так вот ситуация, на DNS включен dynamic dns, и периодически внешний интерфейс Internet прописывает себя в прямую зону как Host A - (same as parent folder).
Соответсвенно появляются проблемы как недоступные GPO, Sysvol, Netlogon etc.
Я даже компы боюсь в домен вводить, т.к. работаю в офисе удаленно, ногами туда хожу 2,3 раза в неделю. Проблемы не нужны.
Вот сейчас удалил, эту запись из DNS, посмотрю как будет вести себя дальше...
(может кто уже сталкивался и решал подобную проблему)

Добавлено:
Спасибо, проблему решил сам.
Control Panel -> Network Connections-> Advanced-> Advanced Setting -> Adapters and Bindings.
Первым сделал локальный интерфейс и все забегало

Nimnul

Цитата:

Спасибо, проблему решил сам.
Control Panel -> Network Connections-> Advanced-> Advanced Setting -> Adapters and Bindings.
Первым сделал локальный интерфейс и все забегало

Второе, что надо сделать - убрать с интерфейса "регистрировать это подключение в DNS"

Подскажите, люди добрые
Поднял контроллер домена (Windows Server 2003), завел на нем пользователей (с разными правами), расшарил на нем папочку для файликов, вроде все хорошо...
Только вот, если для user-а стоит галочка, поменять пароль при следующем входе, то не получается подключиться к ШАРЕ...
В чем дело?
Заранее спасибо.

BBrodiaga

Цитата:

то не получается подключиться к ШАРЕ

Естественно. Для него не определн пароль, а значит его нельзя аутентифицировать.

Пароль первоначальный для пользователя задан, но он не принимается... А как пользователь должен поменять свой пароль при входе?

FreemanRU

Цитата:

Второе, что надо сделать - убрать с интерфейса "регистрировать это подключение в DNS"

Как ни странно галочки и не было
BBrodiaga

Цитата:

Пароль первоначальный для пользователя задан, но он не принимается... А как пользователь должен поменять свой пароль при входе?

Может пользователь пытаеться залогиниться в локальную станцию доменным пользователем? Потому и не пускает?

BBrodiaga

Цитата:

Пароль первоначальный для пользователя задан, но он не принимается... А как пользователь должен поменять свой пароль при входе?

Когда ты ставишь галку "Поменять при следующем входе", система считает, что у пользователя пароля нет. А поменять он его должен при входе. Т.к. когда он будет логиниться в домен на компьютере, ему предлжат ввести новый пароль.

Может я плохо объяснил...
Итак на DC имеется учетная запись для пользователя (установлена галка для пароля "Поменять при следующем входе")
Пользователь пытается подключиться к расшаренному ресурсу с машины, не входящей в домен, и не может. Никаких приглашений поменять пароль - нет.

BBrodiaga
Сними галку поменять пароль. Будет подключаться к шаре по совпадению имен и паролей, если локально вошёл с такими же именем и паролём.

Спасибо всем отозвавшимся...
Разобрался - Вопрос снимается...
Все дело в том, что смену пароля предлагает если на компе, являющемся членом домена, логиниться в домен с этой учетной записью в первый раз (как бы локально)...
Я просто предполагал, что будет предлагать сменить пароль и при доступе к сетевым ресурсам...

Помогите пожалуйста.
Как пользователю домена изменить время отключения дисплея? В групповых политиках в разделе "Управление электропитанием" есть только включение запроса пароля при выходе из спящего режима.

yorik
Конфигурация пользователя -> Административные шаблоны -> Панель управления -> Экран
Это всё в групповых политиках

vicpo
В указанном Вами месте я кроме тайм-аута экранной заставки ничего не нашёл.

Там есть пункт "Использовать экранные заставки" надо выставить в режим отключено.
Тогда у всех они просто отключатся и включаться не будут
Кстати домен на чем поднят? У меня на 2003 ENT

Здравствуйте
Ситуация следующая.
В одном здании работают две организации. Существует один домен с именем одной из организаций, например org1.local. Компьютеры второй организации включались до сих пор в домен первой организации. Адресация в сети 192.168.0.x(255.255.255.0).
Возникла необходимость выделить для второй организации свой домен. Я установил новый сервер win2003. Сделал его контроллером домена нового домена(org2.local) в существующем лесу AD. Установил DNS на нем разумеется.

Проблемы следующие:
1. Загрузка контроллера домена(org2.local) осуществляеся крайне долго и в логах DNS сервера пишутся ошибки репликации
2. Новый домен появился в AD, но при попытке проверить доверительные отношения выдается ошибка, что не найдет контроллер домена org1.local

Может кто-то создавал похожую организацию доменов? Помогите плиз. Что я неправильно сделал? В AD и DNS я не силен. В NT4 такие вещи прокатывали без проблем, а тут...

MCSASE
dcdiag, netdiag и ipconfig /all с проблемного DC
Так же на втором должна быть вторичная зона первого домена и наоборот

[FreemanRU]

Вторичную зону поднял на обоих контроллерах. Ситуация не изменилась.

[more=ipconfig /all с первого контроллера]
-----------------------------------------
Windows IP Configuration
Host Name . . . . . . . . . . . . : alpha-pdc
Primary Dns Suffix . . . . . . . : alpha.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : alpha.local
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 PM Network Connection
Physical Address. . . . . . . . . : 00-16-76-70-D9-6C
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.2
DNS Servers . . . . . . . . . . . : 192.168.0.1[/more]

[more=ipconfig /all со второго контроллера]
------------------------------------------
Windows IP Configuration
Host Name . . . . . . . . . . . . : oboz-pdc
Primary Dns Suffix . . . . . . . : oboz.local
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : oboz.local
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 PM Network Connection
Physical Address. . . . . . . . . : 00-16-76-70-D9-69
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.11
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.2
DNS Servers . . . . . . . . . . . : 192.168.0.11[/more]


[more=dcdiag на первом контроллере]
------------------------------------
Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\ALPHA-PDC
Starting test: Connectivity
The host 5183ac74-c384-4dce-81aa-34282955c43f._msdcs.alpha.local could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name

(5183ac74-c384-4dce-81aa-34282955c43f._msdcs.alpha.local) couldn't be

resolved, the server name (alpha-pdc.alpha.local) resolved to the IP

address (192.168.0.1) and was pingable. Check that the IP address is

registered correctly with the DNS server.
......................... ALPHA-PDC failed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\ALPHA-PDC
Skipping all tests, because server ALPHA-PDC is
not responding to directory service requests

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : alpha
Starting test: CrossRefValidation
......................... alpha passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... alpha passed test CheckSDRefDom

Running enterprise tests on : alpha.local
Starting test: Intersite
......................... alpha.local passed test Intersite
Starting test: FsmoCheck
Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
A Time Server could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1355
A Good Time Server could not be located.
......................... alpha.local failed test FsmoCheck[/more]


[more=netdiag на первом контроллере]
-------------------------------------
Per interface results:
Adapter : Local Area Connection
Netcard queries test . . . : Passed
Host Name. . . . . . . . . : alpha-pdc
IP Address . . . . . . . . : 192.168.0.1
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.0.2
Dns Servers. . . . . . . . : 192.168.0.1
AutoConfiguration results. . . . . . : Passed
Default gateway test . . . : Failed
No gateway reachable for this adapter.
NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.
No remote names have been found.
WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.

Global results:
Domain membership test . . . . . . : Passed

NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{25224F4A-FD30-4204-9717-DEE5EE39741F}
1 NetBt transport currently configured.

Autonet address test . . . . . . . : Passed

IP loopback ping test. . . . . . . : Passed

Default gateway test . . . . . . . : Failed

[FATAL] NO GATEWAYS ARE REACHABLE.
You have no connectivity to other network segments.
If you configured the IP protocol manually then
you need to add at least one valid gateway.

NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.

Winsock test . . . . . . . . . . . : Passed

DNS test . . . . . . . . . . . . . : Failed
[WARNING] The DNS entries for this DC are not registered correctly on DNS server '192.168.0.1'. Please wait for 30 minutes for DNS server replication.
[FATAL] No DNS servers have the DNS records for this DC registered.

Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{25224F4A-FD30-4204-9717-DEE5EE39741F}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{25224F4A-FD30-4204-9717-DEE5EE39741F}
The browser is bound to 1 NetBt transport.

DC discovery test. . . . . . . . . : Passed

DC list test . . . . . . . . . . . : Passed

Trust relationship test. . . . . . : Skipped

Kerberos test. . . . . . . . . . . : Passed

LDAP test. . . . . . . . . . . . . : Passed

Bindings test. . . . . . . . . . . : Passed

WAN configuration test . . . . . . : Skipped
No active remote access connections.

Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

The command completed successfully[/more]


[more=dcdiag на втором контроллере]
-----------------------------------

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\OBOZ-PDC
Starting test: Connectivity
The host 8120199a-4759-4669-8152-c45c9b7e9d67._msdcs.alpha.local could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name

(8120199a-4759-4669-8152-c45c9b7e9d67._msdcs.alpha.local) couldn't be

resolved, the server name (oboz-pdc.oboz.local) resolved to the IP

address (192.168.0.11) and was pingable. Check that the IP address is

registered correctly with the DNS server.
......................... OBOZ-PDC failed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\OBOZ-PDC
Skipping all tests, because server OBOZ-PDC is
not responding to directory service requests

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : oboz
Starting test: CrossRefValidation
......................... oboz passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... oboz passed test CheckSDRefDom

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running enterprise tests on : alpha.local
Starting test: Intersite
......................... alpha.local passed test Intersite
Starting test: FsmoCheck
Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
A Global Catalog Server could not be located - All GC's are down.
Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
A Time Server could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1355
A Good Time Server could not be located.
......................... alpha.local failed test FsmoCheck[/more]


[more=netdiag на втором контроллере]
-------------------------------------
Per interface results:
Adapter : Local Area Connection
Netcard queries test . . . : Passed
Host Name. . . . . . . . . : oboz-pdc
IP Address . . . . . . . . : 192.168.0.11
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.0.2
Dns Servers. . . . . . . . : 192.168.0.11

AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Failed
No gateway reachable for this adapter.

NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.

Global results:

Domain membership test . . . . . . : Passed

NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{3C207CFC-FD03-4C9A-AC1D-F82E88AD8886}
1 NetBt transport currently configured.

Autonet address test . . . . . . . : Passed

IP loopback ping test. . . . . . . : Passed

Default gateway test . . . . . . . : Failed

[FATAL] NO GATEWAYS ARE REACHABLE.
You have no connectivity to other network segments.
If you configured the IP protocol manually then
you need to add at least one valid gateway.

NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.

Winsock test . . . . . . . . . . . : Passed

DNS test . . . . . . . . . . . . . : Failed
[WARNING] The DNS entries for this DC are not registered correctly on DNS server '192.168.0.11'. Please wait for 30 minutes for DNS server replication.
[FATAL] No DNS servers have the DNS records for this DC registered.

Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{3C207CFC-FD03-4C9A-AC1D-F82E88AD8886}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{3C207CFC-FD03-4C9A-AC1D-F82E88AD8886}
The browser is bound to 1 NetBt transport.

DC discovery test. . . . . . . . . : Passed

DC list test . . . . . . . . . . . : Passed

Trust relationship test. . . . . . : Skipped

Kerberos test. . . . . . . . . . . : Passed

LDAP test. . . . . . . . . . . . . : Passed

Bindings test. . . . . . . . . . . : Passed

WAN configuration test . . . . . . : Skipped
No active remote access connections.

Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

The command completed successfully[/more]

Цитата:

DNS test . . . . . . . . . . . . . : Failed
[WARNING] The DNS entries for this DC are not registered correctly on DNS server '192.168.0.1'. Please wait for 30 minutes for DNS server replication.
[FATAL] No DNS servers have the DNS records for this DC registered.

Ну вот собственно... попробуй netdiag /fix на обоих..

PS Заключи все логи в [no][more=имя лога]тут лог[/more][/no]

FreemanRU

Сделал. Результат тоже. Логи теже.

[q][/q]
MCSASE
Что в 5183ac74-c384-4dce-81aa-34282955c43f._msdcs.alpha.local и в 8120199a-4759-4669-8152-c45c9b7e9d67._msdcs.alpha.local? Должны быть CNAME на твои DC. И должны нормально разрешаться.

Какие ошибки в журнале безопасности?

FreemanRU

А таких записей нет в DNS )
Может мне убить все зоны и снова создать?

MCSASE
Active Directory Operations Overview - Troubleshooting GUID Discrepancies

FreemanRU

В статье http://technet2.microsoft.com/WindowsServer/en/Library/43e6f617-fb49-4bb4-8561-53310219f9971033.mspx?mfr=true
прочитал, что должна быть зона _msdcs.ForestRootDomain для успешной репликации
которая как раз и должна содержать мои записи 5183ac74-c384-4dce-81aa-34282955c43f._msdcs.alpha.local и в 8120199a-4759-4669-8152-c45c9b7e9d67._msdcs.alpha.local

Как то ее можно создать? или она только автоматически создается при установке AD?
Если она есть в Вашей AD подаскажите, что за записи в ней находятся

Я вот уже неделю бьюсь над проблемой. прошу помощи:

устроился на работу домен w2k клиенты winXP SP2 у всех стоят перемещаемые профили. Правда за каждым юзером закреплена машина. Исторически доменный пользователь на своей машине имеет права локального админа.
Хотел это пресечь и перевести всех в группу "Power Users" или "Users"
Но если это сделать, то сразу у пользователей слетают настройки рабочего стола и становятся кастомизированные (у всех одинаковые но не понятно откуда эта кастомизация взялась) - то есть темы оформления, ярлыки,...
Я сначала подумал что это разовое явление. Но как оказалось даже если изменить настройки после перезагрузки они опять слетают -то есть пользователь группы Users меняет например обои все нормально меняет, но перезагрузившись опять все кастомизируется.
Все привелегии и права вроде становятся нормально. то есть что можно делать членам группы Users и что нельзя все соответствует.
Я понять не могу откуда это берется. Что делать, кто нибудь с подобным сталкивался?
Спасибо

проверь права юзера на его профиль. Должен быть полный доступ.

Народ я уже тут спрашивал...... в общем проблема в том, что у всех клиентов лезут ошибки Userenv 1053 типа не удалось порочитать групповую политику, обработка групповой политики прекращена! Это к чему такой глюк??? На самом КД еще и Exchange стоит! Но Exchange никто не пользуется просто мне сказали ставь на том что есть! У меня Эксчендж больше никуда не встал бы!

Народ, простите за банальный вопрос, но может кто-нибудь поделиться полным и грамотным (объясниено на пальцах) описание принципов AD? В шапке чего-то разносолов много и достаточно запутано.

Diabolik
http://it-expert.com.ua/weblog/message/442/
+
yandex.ru\google.com

Посмотрите пожалуйста у себя: в домене есть группа "Администраторы" (в русском варианте). А то у меня нет, хотя вроде должна быть.

Barabashka
Она может называться как угодно... но быть должна, её SID всегда S-1-5-32-544
Well-known security identifiers in Windows operating systems