» Общие вопросы про AD (Active Directory)

vladislavb
А будет работать если связи между доменами вообще нет?
Нужно, чтобы по одной учетной записи можно было входить в 2 домена. Для того, чтобы учетная запись почты (Outlook Express) была в обоих доменах одинаковая.

Без доверий по одной учетке в разные домены не зайти.

Подскажите кто знает.
На Serv2000 организован домен. Установлен Exchange Server.
Осуществляю удаленное администрирование с другого компьют., через консоль Windows.
При организации нового пользователя не происходит формирование почтового ящика пользователя, т.е. учетная запись организуется, но не происходит запуск Exchange для организации параметров почты. В итоге в свойствах пользователя нет даже закладок Exchange.
Что нужно сделать, или что-то подгрузить?
Заранее благодарен.

RSerge
проблема не домене а в Exchange

А в чем именно?

RSerge
Если всё верно работает то Exchange запускает задачи по формированию ящика пользователя при создании пользователя, и без разницы в консоли ты или в терминале, у тебя этого не происходит.
Отсюда вывод Exchange не успевает отдуплиться или не верно сконфигурирован.
Выход есть создал пользователя, потом на учетке юзера Exchange tasks и добовляешь ему разрешения и ящик

Добавлено:
может я в чем-то и ошибаюсь.....

Спасибо, попробую.
Единственное мне странно, что почта работает без проблем.
Учетные записи организованные ранее(другим админом, до меня) полноценные.
Может я что-то недопонимаю?
Кстати Exchange установлен не на сервере домена, а на другом. Может в этом причина?

RSerge
Ну эти вопросы всё же лучше решать в топике по Exchange
http://forum.ru-board.com/topic.cgi?forum=8&topic=10083&start=1420#lt

Цитата:

Кстати Exchange установлен не на сервере домена, а на другом. Может в этом причина?

Поставь на машину с AD MS Exchange Managment System

Привет всем. Кто знает получится ли восстановить слетевшие зоны DNS а главное как? В обшем есть Active Directory (AD) и Ecxhange Mail а в DNS зон нету (пропали по непонятным причинам, есть подозрение на то что из-за настройки VPN в Routing and Remote Access). Резервных копий не сделали . Есть конечно вариант доставать из AD идентификатор домена и по аналогии с рругим DNS вручную создать _msdcs, но может есть вариант по проще. Заранее благодарен.

просмотрел записли ldap записо о прямой и обратной зоне есть... все как надо.. но в manage их нету
выдается ошибка 4000 DNS
создал зону ДНС не интегрированую в AD ...
Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\MyDOMEN
Starting test: Connectivity
*** Warning: could not confirm the identity of this server in
the directory versus the names returned by DNS servers.
If there are problems accessing this directory server then
you may need to check that this server is correctly registered
with DNS
......................... MyDOMEN passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\MyDOMEN
Starting test: Replications
......................... MyDOMEN passed test Replications
Starting test: NCSecDesc
......................... MyDOMEN passed test NCSecDesc
Starting test: NetLogons
......................... MyDOMEN passed test NetLogons
Starting test: Advertising
......................... MyDOMEN passed test Advertising
Starting test: KnowsOfRoleHolders
......................... MyDOMEN passed test KnowsOfRoleHolders
Starting test: RidManager
......................... MyDOMEN passed test RidManager
Starting test: MachineAccount
* MyDOMEN is not a server trust account
The corresponding flag bits are missing from the computer object's

User-Account-Control attribute. You can re-run this command and

include the /FixMachineAccount option to attempt a repair.
......................... MyDOMEN failed test MachineAccount
Starting test: Services
......................... MyDOMEN passed test Services
Starting test: ObjectsReplicated
......................... MyDOMEN passed test ObjectsReplicated
Starting test: frssysvol
......................... MyDOMEN passed test frssysvol
Starting test: frsevent
......................... MyDOMEN passed test frsevent
Starting test: kccevent
An Warning Event occured. EventID: 0x80000677
Time Generated: 09/28/2006 05:23:42
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0000466
Time Generated: 09/28/2006 05:23:42
(Event String could not be retrieved)
......................... MyDOMEN failed test kccevent
Starting test: systemlog
......................... MyDOMEN passed test systemlog
Starting test: VerifyReferences
......................... MyDOMEN passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : MyDOMENusa
Starting test: CrossRefValidation
......................... MyDOMENusa passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... MyDOMENusa passed test CheckSDRefDom

Running enterprise tests on : MyDOMENusa.com
Starting test: Intersite
......................... MyDOMENusa.com passed test Intersite
Starting test: FsmoCheck
......................... MyDOMENusa.com passed test FsmoCheck

Добавлено:
Starting test: MachineAccount
* MyDOMEN is not a server trust account
The corresponding flag bits are missing from the computer object's

Из-за этой штуки не могу подключить вторичный DC выдает что нету trust

vicpo

Цитата:

Поставь на машину с AD MS Exchange Managment System

Может быть глупый вопрос, но где ее взять?

У меня вопрос по создаию домена! Где можно найти информацию о том как создать домен типа myorg.ru чтобы FQDN домена было такое как в интернете.... чтобы пользователи имея доступ в интернет могли авторизовываться в домене...

Ладно а если просто взять да и обозвать домен AD как нибудь типа myorganization.ru при том что этот домен зарегистрирован....

IceFusion
2 пути
1. Иметь 2 зоны, обе myorg.ru. ОДна в инете, н-р у прова, вторую в своей сети, её использовать для AD
2. Иметь одну зону, только у себя в сети. Но тогда тебе нужен комп с выходом в инет, чтобы поднять у себя первичную зону.

ИМХО первый вариант предпочтельнее, т.к. безопаснее...

Я просто почему то думал что это невероятно сложно, а оказывается ничего такого в этом нету )))) Спасибо, я прочитал в книге Фёдора Зубанова... там понятно описаны все процедуры!

Если имя леса Active Directory совпадает с зарегистрированным вне-
шним именем DNS:
ф пользователи осуществляют доступ как ко внешним, так и внутрен-
ним ресурсам по одному доменному имени;
• нельзя открывать внутренние ресурсы для внешнего мира; вне-
шний сервер DNS не должен хранить имен, используемых Active
Directory;
• для разрешения внешних имен из внутренней сети используйте
передачу неразрешенных вызовов на внешний сервер DNS;
• ресурсы, доступные извне, должны храниться в демилитаризован-
ной зоне (DMZ), аутентификация доступа к ним — выполняться
через RADIUS-сервер, а не контроллер домена;
• на прокси-сервере надо сконфигурировать список исключений;
• при использовании протокола трансляции сетевых: адресов (NAT)
внутренний сервер DNS должен содержать свои записи о ресур-
сах, доступных как извне, так и изнутри; упрашзение этими адре-
сами — забота администратора.

Что значат два последних пункта?

И еще тут у человека странная проблема возникла http://forum.ru-board.com/topic.cgi?forum=8&topic=9354#1 У меня такого не будет если я домен сделаю таким же как и внешний? Exchange тоже планируется!


Добавлено:
А как разрешить пользователям входить под доменной учетной записью, даже когда Контроллер домена не доступен более 50 раз.... Политика позволяет входить не более 50 раз, это можно обойти?

Давно хотел спросить: а как сделать, чтобы человек, у которого просрочен пароль вообще не мог залогиниться в Win? Стандартная проблема, чел приходит с отпуска, логинится, пытается распечатать что-нить на сетевой принтере - пипец, начинает мозг ипать техсаппорту. Вот например, возможно ли сделать, чтобы при просроченном пароле при попытке логона вылетало окно, как при поставленной галочке "Пользователь должен сменить пароль при следующем логоне", т.е. необходимо сменить пароль и ниипёт? Заранее пасип.

kaskad
В политиках кажется есть такая вещь как "обязательно авторизоваться на котроллере домена" или "не впускать в сеть пока не пройдет авторизацию на котролдлере домена". Это я по памяти, но точно недавно видел. Так же наверное придется поставить галочку в политике "перед входом инициализировать сетевые службы". После этого должно заработать так как ты хочешь. У меня, например, перемещаемые профили и перенаправление папок. Тоже стоит инициализация сети перед входом в домен, так как только отключаем пользователя, так он сразу ничего сделать не может. Рабочий стол пропадает и прочие радости.

А можно на контролере домена разблокировать локальную запись Администратора, и как это сделать?

Доброго времени суток!

Вопрос номер РАЗЗЗ: Было 2-а контроллера домена office.mydomain.ru на secondary контроллере был поднят primary dns (secondary dns на bind 8 под FreeBSD) контроллер помЁр соответственно и dns помЁр как временное решение хотелось бы поднять primary dns на основном контроллере домена , только вот незадача, при создании зоны dns сервер грит: "ошибка на сервере" и зону не создаёт

Вопрос номер ДВА: нужно сделать связанные между собой, но разные домены office.mydomain.ru, office1.mydomain.ru и office2.mydomain.ru это будет лес или дерево и вообще гле лучше почитать на эту тему (ток по русски и без мата )

ЗЫ: если чего не внятно изложил переспросите плз, ибо горит

Народ объясните пожалуйста несведущему

Что такое "Контакт" в терминологии Active Directory?
И какую пользу может принести наличие этого объекта?

Какой службой воспользоваться?
Задача:
хранить пользовательские папки My Documents на сервере, а пользовательские машины в случае чего обновлять из образов HDD, а так как пользовательские файлы хранятся на сервере, то и нет потери данных. + backup'ы.

TbIrbIDbIM
Переназначить расположение папок My Documents с помощью Групповых политик

А для создания образов дисков использовать какой нибудь Acronix
Или использовать сервер RIS, но это уже будет не использования HDD

Etalon
1. Т.е. получается надо сделать пользовательские папки на сервере
2. В груповых политиках, в реестре профилей поставить путь на папки, которые хранятся на сервере?

1. Именно так и надо поступить
2. В Групповых политиках
\Конфигурация пользователя\Конфигарация Windows\Перенаправление папки
Указываешь какую папку в какое место и каким образом перенаправляешь

собираюсь поставить SP1 на контролеры домена Win2003. Сеть с выделенными линиями, сервера в разных городах. В спокойном режиме уйдет два дня на объезд и установку, при этом одновременно в сети будут контроллеры с установленным и не установленным SP1.
У кого есть опыт - Как отразится на AD постепенная установка SP1? Или необходимо одновременное обновление?

WSQ

Цитата:

В спокойном режиме уйдет два дня на объезд и установку,

Охота вам кататься то по городам и весям?
Radmin & other уже отменили?

Цитата:

У кого есть опыт - Как отразится на AD постепенная установка SP1? Или необходимо одновременное обновление?

Думаю ничего страшного не случится...
Опыта наката SP1 нет, есть опыт обновления 4 DC до R2.
Просто обновил схему adprep'ом с диска R2, и в течении 2х дней обновил все 4 контроллера (ну лень мне было, да и некогда заниматся всеми 4мя одновременно :-D)
Думаю с SP1 тоже проблем не будет.

Я обновлялся с виндоус апдейт, никаких проблем замеченно не было. Сейчас стоит всё и замечательно работает.

Не подскажете какой параметр нужно в ГПО включить, чтобы пользователи могли входить в систему даже при заполнении журнала безопасности, а то в удаленном офисе уже пару раз пользователи не могли войти в систему пока я журнал не почистил!

Цитата:

IceFusion

Computer Configuration -> Windows Setting -> Security Settings -> Event Log
там есть свойства

Вопрос, а как изменить пароль для востановления AD в W2K3?

После миграции PDC под Win2003 в DNS не сформировались записи в разделе
gc._msdcs.domain.local
Global Catalog Server в оснастке "Active Directory Sites and Services" я назначил вручную - не назначился автоматом.
netdiag /fix не воссоздал эти записи.
Как можно воссоздать записи для gc?

zenia

Цитата:

Вопрос, а как изменить пароль для востановления AD в W2K3?

С пом. ntdsutil.exe
ALEF

Цитата:

Global Catalog Server в оснастке "Active Directory Sites and Services" я назначил вручную - не назначился автоматом.
netdiag /fix не воссоздал эти записи.

А ты дождался пока каталог соберется или сразу пробовал? Если с каталогом и DNS уже все нормально, то рестарт службы netlogon должен восстановить все записи.

G14, Спасибо
Действительно при рестарте службы netlogon все эти записи восстановились.