» Общие вопросы про AD (Active Directory)

файрволов нет..

по коммандам
c:\>nltest /dsgetdc:albumin
DC: \\albdc.ALBUMIN
Address: \\192.168.20.10
Dom Guid: 1280b2cf-8bb6-4487-a52b-76b101214d49
Dom Name: ALBUMIN
Forest Name: ALBUMIN
Dc Site Name: Default-First-Site-Name
Our Site Name: Default-First-Site-Name
Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SIT
E
The command completed successfully

c:\>nltest /dclist:albumin
Get list of DCs in domain 'albumin' from '\\albdc.ALBUMIN'.
server_alb.ALBUMIN [DS] Site: Default-First-Site-Name
albdc.ALBUMIN [PDC] [DS] Site: Default-First-Site-Name
The command completed successfully

Не могу настроить доверие между двумя доменами! Как же добиться этого доверия?
Соединил две удаленные сети по VPN туннелю... только один трабл оба КД называются одинаково (их NetBIOS имена совпадают)... т.е server.domain1.local и server.domain2.local... доверие вроде настраивается но какие то ошибки не понятные вылетают

При переустановке безопасного канала (SC) на контроллере домена \\server.domain1.local от домена domain1.local к домену domain2.local произошла ошибка: Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.

При переустановке безопасного канала (SC) на контроллере домена \\server.domain2.local от домена domain2.local к домену domain1.local произошла ошибка: Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.

А можно ли без последствий переименовать контроллер домена? Не домен, а сам контроллер домена!

snoopzz
Что говорит netdiag ?
Почитай вот это:
http://support.microsoft.com/kb/300684

Проблема решена переименовал второй КД и все заработало! Еще один вопросик а как на сертификатах настроить доверие?

Цитата:

Что говорит netdiag ?
Почитай вот это:
http://support.microsoft.com/kb/300684

на albdc есть только одна ошибка

DNS test . . . . . . . . . . . . . : Failed
[WARNING] The DNS entries for this DC are not registered correctly on DNS server '192.168.20.10'. Pleas
e wait for 30 minutes for DNS server replication.
[FATAL] No DNS servers have the DNS records for this DC registered.

Цитата:

на albdc есть только одна ошибка

Эта "только одна ошибка" значит, что albdc фактически не является онтроллером домена.

оно и понятно..
только вот как исправить?в енете нет ничего

Добавлено:
сделал netdiag /fix
получил
DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.20.10' and other DCs also have some of the names registered.

Цитата:

только вот как исправить?

Сначала сделать описаные в приведенной мной статье настройки. Потом рестартовать netlogon или попробовать netdiag /fix

Добавлено:
молодец. теперь смотри dcdiag на обоих...

Вообщем у меня проблема такого плана, был домен контроллер старый, кот нужно было убить а вместо него поднять всё тоже только на новой машине.
всё вроде сделал,...т.е. создал вторичный ДК, перекинул на него всего права и роли, всё прошло отлично без единой ошибки и присвоение и передача ролей.
Месяц, два, 3 месяца всё работает нормально.а теперь на тебе и полезли ошибки:
1. MS DTC не удалось правильно обработать событие повышения или понижения уровня контроллера домена. MS DTC продолжит работу и будет использовать текущие настройки безопасности. Сведения об ошибке: d:\srvrtm\com\complus\dtc\dtc\adme\uiname.cpp:9280, Pid: 312
No Callstack,
CmdLine: C:\WINDOWS\system32\msdtc.exe
2. Служба DHCP не смогла обнаружить папку для авторизации сервера.
3. Служба DHCP обнаружила, что она запущена на контроллере домена (DC) и не имеет учетных данных, настроенных для использования с динамическими DNS-регистрациями, производимыми службой DHCP. Подобная конфигурация безопасности не рекомендуется. Учетные данные динамических DNS-регистраций можно настроить с помощью утилиты командной строки "netsh dhcp server set dnscredentials" или с помощью программы администрирования DHCP.
4.
Этот сервер является владельцем следующей роли FSMO, но не считает назначение правильным. Для раздела, содержащего FSMO, этот сервер не выполнил успешной репликации ни с одним из партнеров репликации с момента перезапуска этого сервера. Ошибки репликации мешают выполнению проверки для этой роли.
5. Active Directory не может использовать DNS для разрешения указанного ниже IP—адреса исходного контроллера домена. Чтобы сохранить согласованность групп безопасности, групповой политики, пользователей и компьютеров и их паролей, Active Directory была успешно реплицирована с помощью NetBIOS или полное доменное имя исходного контроллера домена.
6.Попытка выполнения удаленного вызова процедуры Active Directory на следующем сервере. Время ожидания истекло, вызов отменен.

Хотя в dcdiag и netdiag всё нормально, везде всё passed.
вот такие во траблы?!!!!
что я сам знал всё сделал....

Что делать????




Добавлено:
q]Хотя в dcdiag и netdiag всё нормально, везде всё passed.[/q]
было всё нормально....

что-то толку нет никакого...теперь появились ошибки

ID 1219
source WInnlogon
Logon rejected for ALBUMIN\Administrator. Unable to obtain Terminal Server User Configuration. Error: The specified domain either does not exist or could not be contacted.

ID 1058
source Usernv
Windows cannot access the file gpt.ini for GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=ALBUMIN. The file must be present at the location <\\ALBUMIN\sysvol\ALBUMIN\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (The network path was not found. ). Group Policy processing aborted.

хотя путь, на который ссылается ошибка рабочий..

Добавлено:
и netdiag показывает ошибку
[FATAL] Kerberos does not have a ticket for host/albdc.ALBUMIN

timsson
1. Взято с Eventid.net Если винда с SP1 такая хрень всегда вылазит.:


Цитата:

I corrected the error by doing the following:
1. Click Start -> Administrative Tools -> Component Services.
2. Click the "+" next to Component services to expand it.
3. Right click "My Computer" in the right window pane and select Properties.
4. Click the MS DTC Tab.
5. Click the "Security Configuration" button, a dialog box appears. Click "OK".
6. Click "OK" on the "My Computer Properties" box; this will take you back to the console.
7. Right click "My Computer" and select "Stop MS DTC" (this stops the MSDTC service.
8. Again, right click "My Computer" and select "Start MS DTC".
By following the above steps, it appears that this sets the MS DTC defaults resolving the error messages. Check the event log to verify that the problem is gone. You might also want to restart the server to verify this.

3. Создай учетку, например, DNSUpdater, затем добавь эту учетку в группу DNSUpdateProxy.
И юзай либо netsh dhcp server set dnscredentials, либо в открывай оснастку DHCP на серваке, правой кнокой на имени сервера - свойства - вкладка Другие - Учетные данные регистрации в динамической DNS

snoopzz

Цитата:

ID 1219

Установлен ли последний SP на Windows ?

Цитата:

ID 1058

Остановлена служба DFS на контроллере или клиенте.
Посмотри это:
http://support.microsoft.com/default.aspx?scid=kb;en-us;842804
Проверь, какой интерфейс на контроллере с двумя сетевыми интерфейсами стоит первым в Network connections\advanced\advanced settings...должен быть первым тот, что смотрит в локальную сеть...

Цитата:

[FATAL] Kerberos does not have a ticket for host/albdc.ALBUMIN

http://support.microsoft.com/?kbid=870692

да...видимо все дело было в названии домена из одной метки...

День добрый всем. Сразу прошу прощения за вопрос, ответ на который, возможно, тут уже есть. Нет времени читать 57 страниц темы. А вопрос, по сути, пустячный: юзеры, войдя в домен не могут запустить многие программы, которые прекрасно работают при локальном входе. Выскакивает куча ошибок. Чуствую косяк где-то с разрешениями. Все они в группе по умолчанию (пользователи домена). Куда заглянуть и что поправить? Заранее спасибо.

у меня w3k+sp1..
службу DFS на серваке остановил...ошибки закончились..
вообсче ерунда какая-то..
выполнил все рекомендации микросовта по настройке ДНС..перегрузил котроллер..ошибка про керберос ушла, начал нормально ставится ексченж..а вот ошибка ДНС так и валится...


Цитата:

Проверь, какой интерфейс на контроллере с двумя сетевыми интерфейсами стоит первым в Network connections\advanced\advanced settings...должен быть первым тот, что смотрит в локальную сеть...

у меня на ДЦ один интерфейс..

Народ извиняюсь, а как на сертификатах построить Доверительные отншения?? Или я что-то не допонимаю!

Привет... Народ не подскажете, первый раз такое вижу. При присоединении компа к домену, поля и кнопари "Идентификация" затенены... переименовать могу, а в домен ввести нет. Наверху пишет "необходимо установить сетевую поддержку прежде чем изменять членство этого компьютера в домене" хотя сеть пашет, машина ходит в инет. XP с SP1, сеть через VPN.
Есть идеи как побороть?

snoopzz

Цитата:

у меня на ДЦ один интерфейс..

Да?

Цитата:

PPP adapter RAS Server (Dial In) Interface:

IP Address. . . . . . . . . . . . : 192.168.20.2

Ethernet adapter Local Area Connection:


IP Address. . . . . . . . . . . . : 192.168.20.10

Добавлено:

Цитата:

а вот ошибка ДНС так и валится...

Какая из них? Цитируй.

кто может подсказать тулзу, чтобы юзер мог менять свой пароль через Web интерфейс?

Clavik
а зачем создавать учётку?

Изменить принадлежность домена к лесу... Возможно ли это? У меня есть два домена, по одному КД в каждом... каждый домен является главным в своем лесу... а я хочу один домен добавить в лес другого!

Здравствуйте!!
Я один из тех идиотов каторые спрашивают!!
у меня проблема с Виндоусом я работаю на гос орг и мне дали задание чтоб я посадил им вин2003 сервер там надо им Актив Директори ДНС и ДШСП
вроде уже отконфигил ДШЦП и ДНС а в AD GPO я не стал трогать там дефолтовые стоят настройки, Проблема в том что я не могу создать пользователей в AD, он горит что не может создать такогото юзверя потому что "The password does not meet the password policy requirements. Check the minimum password policy and password history requirements" возможно я что то упустил но я всё же полазал настроил кое как GPO для домена и для контроллера домена в и тоге тажь байда!!

ПОМОГИТЕ Я ИЛИ ДАУМ ИЛИ МНЕ НУЖНО ОТОСПАТСЯ

shaevich
берешь словари и переводишь если не понятен суть фразы!!


P.S: Пароль не подходит из-за настройки ГП.

Суть фразы много уважаемы str1k3r мне ясен как день и я этой ночью понял что пароль не подходит по сложности и в пароле при дефолтовых GPO необходима быть хоть одна заглавная буква!

Но суть в том что я уже после этого осинения попытался в (по всех ГПО что для домена что для контроллера) ГПО выключить сложность паролся и уменьшить минимальный размер паролей по всех ГПО где она есть
Но как бы не так наверное я что то опять упустил?

Пожелейте беденого Идиота я работаю с такими клиентами каторые не могут запомнить даже двух значный пароль или есть необходимость вообще не ставить пароли. как применить изменения ?

timsson
Во встроенной справке:
Раздел: DHCP сервер - Основные понятия\Администрирование DHCP\Вопросы взаимодействия -> Использование DNS-серверов с DHCP
(можно через Пуск - выполнить по линку: ms-its:C:\WINDOWS\Help\DHCPconcepts.chm::/sag_DHCP_imp_InteroperabilityDNS.htm )

Некоторые выдержки:


Цитата:

DNS-имена, регистрируемые DHCP-сервером, входящим в группу DnsUpdateProxy, не защищены. Примером может служить запись ресурса адреса (A) для самого DHCP-сервера. Кроме того, незащищенность объектов, создаваемых участниками группы DnsUpdateProxy, делает невозможным эффективное использование этой группы в интегрированной зоне Active Directory, разрешающей только безопасные динамические обновления

Цитата:

Для защиты от незащищенных записей или для предоставления участникам группы DnsUpdateProxy возможности регистрировать записи в зонах, допускающих только безопасные динамические обновления, можно создать выделенную учетную запись пользователя и настроить DHCP-серверы на выполнение динамических обновлений DNS с использованием ее учетных данных (имя пользователя, пароль и домен). Учетные данные одной выделенной учетной записи пользователя могут использоваться несколькими DHCP-серверами.

Выделенной учетной записью пользователя называют учетную запись пользователя, единственным назначением которой является предоставление DHCP-серверам учетных данных для регистрации при динамическом обновлении DNS. Когда выделенная учетная запись пользователя создана и DHCP-серверы настроены с использованием ее учетных данных, каждый DHCP-сервер предоставляет эти учетные данные при регистрации имен от имени DHCP-клиентов, использующих динамическое обновление DNS

Цитата:

Если служба DHCP-сервера установлена на контроллере домена, настройка DHCP-сервера с учетными данными выделенной учетной записи пользователя приводит к прекращению наследования возможностей контроллера домена и возможного злоупотребления ими. При установке на контроллере домена служба DHCP-сервера наследует разрешения безопасности контроллера домена и обладает полномочиями обновлять или удалять любые записи DNS, зарегистрированные в безопасной зоне, интегрированной в Active Directory (включая записи, которые были безопасно зарегистрированы другими компьютерами, работающими под управлением Windows 2000 или Windows Server 2003, в том числе контроллерами домена).

В следующих ситуациях настройка выделенной учетной записи пользователя и настройка DHCP-сервера с использованием ее учетных данных необходимы:

контроллер домена настроен для выполнения функций DHCP-сервера;
DHCP-сервер настроен для выполнения динамических обновлений DNS от имени DHCP-клиентов;
зоны DNS, которые будут обновляться DHCP-сервером, допускают только безопасные динамические обновления.

И еще НЕ следует указывать для этих целей учетную запись администратора домена.

Всем доброго дня

Возникла проблема переименованию домена (2k3) что мне нужно сделать что б после выполнения команды rendom /upload перевести контроллер домена в сотояние Prepared.
(1 контроллер домена).

Если кто знает , подскажите пожалуста.

Уважаемые! Передо мной встала задача решить проблему двух филиалов с разными доменами. Как сделать, чтобы на ноутбуке начальника с одной ОС можно было входить как в один домен в одном филиале, так и в другой домен другого филиала? Возможно ли такое?

yorik
насколько я помню это решается доверительными отношениями между доменами, копай в эту сторону

Только при этом между филиалами должна быть более-менее нормальная связь...
Как вариант, вывести комп начальника из домена, сделать его членом рабочей группы с таким же именем что и домен, а в обоих доменах завести пользователя с одинаковым логином/паролем.

Ну естественно, дожны быть доверенные отношения между доменами. Тогда при входе в систему будет запрошен домен( вернее можно выбрать: либо лкальный ПК, либо список доменов, с которыми имеются доверит.отношения), в который нужно зайти. Выбираешь домен, и вводишь учетную запись пользователя этого домена ( создана заранее). При физическом подключении к другой сетке, можно ещё в настройках TCP/IP установить альтернативный IP адрес (для данной сетки).