» Общие вопросы про AD (Active Directory)

Если контроллер выключить (гуманно, шатдауном) - он сотрет свои srv-записи, или оставит в них ip на момент выключения?

думал вот, что srv-записи всех контроллеров находятся в dns постоянно, но не уверен... никак не могу найти.

mb2
Записи останутся.

Цитата:

никак не могу найти.

Чего не можешь найти? SRV-записи? Они в зоне _msdcs.твой.домен

G14

Цитата:

Записи останутся.

спасибо, так и представлял.

Добавлено:
а вот еще вопрос:
обычно в литературе пишется, что клиенты 2000 и XP используют Kerberos _по умолчанию_. Значит ли это, что если станция не зарегистрировалась по Kerberos - она сама попробует авторизоваться по NTLM и войдет в домен?

почему вопрос: свежий контроллер домена не сделал _kerberos srv-запись... а _ldap - сделал. Клиенты не входят. (это не проблема. не знаю коды ошибок и листинги )) меня интересуют именно принципы работы).

А можно сделать страницу приветствия если компьютер включен в AD ?
Очень надо ... за одной машиной работают несколько человек, как было удобно когда можно было им переключатся между собой ......

Привет, возник вопрос как для пользователей домена сделать чтобы не было фона под иконками, причем даже если опция "Отбрасывание теней значками на рабочем столе" включена у пользователя. домен на основе Win2003 R2

продолжу абстрактные вопросы

везде пишут, что если dc с ролями упал - то после перехвата (seize) ролей ни в коем случае нельзя включать сервер старых ролей.
Вопрос: а что будет? Какие сбои, как они называются - "man что"? Т.е. будут какие-то характерные ошибки? Сбои будут сразу или по востребованию (например, сначала ничего, а потом, например, guid'ы кончатся и все рухнет)?
И почему?

mb2

А как ты себе представляешь два сервера с одинаковыми ролями ?

Это как двух пользователей одинаковых завести.

Нельзя.

ProstoSmart
функция user fast switch не доступна на машинах заведенных в домен. Мера безопасности.

Цитата:

продолжу абстрактные вопросы
везде пишут, что если dc с ролями упал - то после перехвата (seize) ролей ни в коем случае нельзя включать сервер старых ролей.

сам же и отвечу: похоже, ничего страшного не происходит. Попробовал на виртуальных машинах - захватил роли у выключенного контроллера, а затем включил его.
Полет нормальный, ошибок не вижу...

mb2
angelweb
даже если старый понизить до рядового сервера, новый еще будет ругатся долго про репликацию, пока в службах не поотключать
а вот если старый подрубить не понижая его, то я думаю краха не будет... будет роли выполнять тот кто первый в сети появился....наверно

Цитата:

а вот если старый подрубить не понижая его, то я думаю краха не будет... будет роли выполнять тот кто первый в сети появился....наверно

не, не кто первый. как-то договорились.
делаю ntdsutil - con to "старый fsmo" - list roles: показывает корректно, у всех ролей "новый fsmo"...
на новом, конечно, тоже все правильно. Домен 2000 native, контроллеры 2000 srv standart.
ошибок уже полчаса нет .

Да, "старый fsmo" выключался шадауном и затем нормально включался. Возможно, если шнур выдернуть, роли отнять, шнур включить - будет иначе...

Объясните пожалуйста почему происходит следующее.
Домен и я админ.
Компьютер в домене.
При попытке зайти на компьютер выдаётся запрос пароля.
Воожу всё коректно, но входа не происходит.
Если логонюсь под собой на том компьютере то удалённо могу зайти.

Где копать ?
Спасибо заранее.

Цитата:

Воожу всё коректно, но входа не происходит.

а что происходит?
может, ты не выбрал при вводе пароля, в третьей строчке "локальный вход/домен"?

mb2
Я не про локальный вход а удалённый т.е. на шары скажем.
domain\user
pass
и пишет что не верный пользователь или пароль

политики чистые? стартовые скрипты на пользователе? разрешения шары - "все"?
Во всем домене или на одном компьютере?

mb2
В политиках домена ничего не изменял.
Комп только что добавил в домен.
Никаких скриптов
Разрешения на шары по умолчанию на системные шары есть.
Т.е. если я выполню локальный вход под админом домена, то и удалёный катит, а если нет то нет.

slech
наверно, для уточнения стоит спросить про операционную систему которая стоит на ПК

насколько я помню, например, в windows 2000 по-умолчанию админ ПК мог входить на него удаленно, а вот в windows XP - нет - локальные политики безопасности

а то вы тут пытаетесь решить табл не зная с чем работает человек

slaj1
домен...

slech
ты работаешь с системными шарами?
а если создать новую, с разрешением everyone?

впечатление, что доменный админ/пользователь без локального логона отваливается из локальных групп. так?

Дпл: klist и kerbtray что говорят? в порядке тикеты?

mb2
Спасибо за советы.
Проблем решилась выводом из домена и вводом заново.
А что такое kerbtray и klist ?
slaj1 Домен на 2003 клиент winxp.

все б так решалось


Цитата:

А что такое kerbtray и klist ?

это утилиты из Resource Kit, показывают полученные билеты Kerberos...

Есть следующая проблема:

Домен Windows 2003 (функц. уровень - Win 2003). Контроллер домена - Windows 2003 R2 EE, все обновления установлены.

Влючены политики паролей, в частности, блокировка просходит по следующим правилам:
Account lockout duration 30 minutes
Account lockout threshold 10 invalid logon attempts
Reset account lockout counter after 30 minutes

Пользователи, логинясь на рабочие станции с неверными паролями блокируются в соответствии с настроенной политикой.
В сети так же есть приложение стороннего производителя. Для доступа к приложению пользователи вводять доменные логины и пароли. Суть проблемы в том, что пользователи могут вводить неверный пароль сколь угодно часто в этом приложении, но блокировки учетной записи не происходит. При этом в журнале безопасности контроллера домена на каждый неправильно введенный пароль записывается событие 680 "Bad user name or wrong password". Таких событий может быть сотни в минуту на пользователя, но они не лочаться. Network Monitor показывает, что приложение шлет эту инфу на 636 порт в LDAP.

В чем может быть проблема?

slech
В догонку когда рабочая станция входит в домен то в группу "локальные администраторы" включается доменная группа "администраторы предприятия" а не группа "администраторы" тоесть если ты член группы "администраторы" домена а не "администраторы предприятия" то имеешь все права на контроллерах но не рабочих станциях.

Добавлено:
victor126
Эта политика действует именно во время входа в домен и получения билета на доступ к ресурсам, а когда "приложение стороннего производителя" проверяет имя и пароль в каталоге LDAP (порт 636 это LDAPS) пользователь фактически уже в домене зарегистрировался и политика на него не действует. Тут надо дорабатывать это приложение.

Valery12
Спасибо за информацию. Но я был членом всех админов.
У вопрос следующего содержания:

Как на компе(Winxp) в домене разрешить логон по терминалу только определённых пользователей. На локальной машине в политиках нашёл кому запретить.
А мне надо просто разрешить 2-ум пользователям, а все остальные что бы отдыхали.
Спасибо.

valery12
Эта политика действует именно во время входа в домен и получения билета на доступ к ресурсам, а когда "приложение стороннего производителя" проверяет имя и пароль в каталоге LDAP (порт 636 это LDAPS) пользователь фактически уже в домене зарегистрировался и политика на него не действует. Тут надо дорабатывать это приложение.

Не совсем понял почему политика действует только во время входа в домен и получения билета на доступ...? Например, пользователь из рабочей группы или с UNIX-систем при подключении к домену использует NTLM, а там никакие билеты не выдаются, но политика блокировки паролей отрабатывает. Кроме того, пользователи, которые обращаются к этому приложению (с которым проблемы), могут вообще работать не за доменными и не за Windows-системами. Т.е. пользватель обращается к Web-серверу (не IIS), где установлено приложение, через интернет, вводит 100 раз неверный пароль за 1 минуту, журнал событий контроллера домена показывает неуспешные попытки, но учетную запись не блокирует. Почему?

slech
Не совсем понял вопрос
Если имеется в виду терминальный доступ к конкретной рабочей станции то по умолчанию он разрешен локальной группе "администраторы" и локальной группе "пользователи удаленного рабочего стола" остальным запрещен - поэтому нужных пользователей нужно добавить в эту группу
А если нужно чтобы два пользователя (не администраторы домена) имели терминальный доступ к любой рабочей станции в домене нужно создать группу, включить их в нее, и в групповой политике домена в разделе конфигурация компьютера - параметры безопасности - локальные политики - назначение прав пользователя - разрешать вход в систему через службу терминалов - добавить созданную группу.


Добавлено:
victor126
Тогда уточним в Вашем случае пользователи подключаются к программе "стороннего производителя. Для доступа к приложению пользователи вводять доменные логины и пароли" не с рабочих станций входящих в домен? Я говорил о варианте при котором пользователь вошел в сеть домена а потом запускает это приложение. Если это не так то нужно смотреть опять же механизм работы этого приложения потому что часто принцип работы такой - приложение запускается в контексте доменного пользователя или компьютера входящего в домен (LOCAL SYSTEM) при получении логина и пароля от пользователя проверяет их соответствие через LDAP в каталоге, а работает с ресурсами от своего имени.

Извините если проблема уже была, ткните носом плз. Имеем следующее:

1. Поднят домен на 2003 Server SP1.
2. Рабочие станции на XPSP2.

Добавляется пользовател на рабочей станции для которого создано подразделение и и назначена ГП на сервере, разрешен локальный вход. Первый, второй, третий и т.д. заходит нормально. После продолжительного времени (сервер и РС выключены) обычно на утро - не заходит. Логин и пароль принимает, и сразу же - закрытие сетевых подключений и опять окно аутентификации. Захожу админом. Добавленного доменного пользователя нет. Что это ? Как бороть? Без политик вообще выдается сообщение - локальный вход запрещен политикой и т.д. Спасибо.

Всем привет.
Может вопрос не в тему, тогда прошу извинить меня, но уже в нескольких ветках задавал этот вопрос, пока безрезультатно.

Вопрос:

Есть домен NT, есть proxy с Windows XP Pro для выхода в инет. На нем стоят два сетевых интерфейса Realtek 8139 и 3Com (внешний). Маршрутизирует WinRoute 4.2.1. Proxy введен в домен, вхожу на него с правами администратора домена. Но периодически не могу подключится администратором WinRoute - не проходит авторизация (было такое, что ни с прокси, ни на него пропадал доступ к сетевым ресурсам, но отключением клиента MicroSoft на внешнем адаптере этот вопрос вроде решился). Когда отключаю внешний интерфейс, все начинает работать. После того как включу его, какое-то время все работает, потом та же фигня. Такое впечатление, что комп пытается связаться с доменом через внешний интерфейс, а когда он выключен, то делает это через внутрений...

Раньше все было нормально и таких проблем не было. Потом поменял карточку которая стояла на внешнем интерфейсе (была тоже Realtek 8139) и в реестре переправил настройки WinRoute на новую карту.

В чем проблема? Как её решить?

1. Настройки ДНС на интерфейсах? Здесь два варианта - либо локальный днс сервер (который знает где искать твой домен, т.е. включено перенаправление для домена на внутренний днс), либо внутренний днс домена.
2. Где откопал винрут 4.2? Я работал с ним года 4 назад. Уже давно 6.ххх.

1. на внутренем указан адрес контролера домена, где поднята роль сервера ДНС.
на внешнем ДНС сервера провайдера

2. Стоял раньше, а переустанавливать и разбираться с новым у меня ни времени, ни желания не было. Сейчас выкачал последний, если дойдут руки может и перееду.

Еще (может в этом причина) раньше был дополнительный контролер домена и ДНС(интегрирован с AD и сам я его не конфигурю) и ВИНС стояли на нем, но потом сервак начал переодически падать, и я снял с него роль контролера. При этом несколько раз возникали ошибки, и снятие не проходило, но потом за каким-то разом все прошло на ура. После этого на разных рабочих станциях начали появлятся отказы при входе в Виндовс и попытке получить доступ к сетевым ресурсам.
После удаления роли ДНС и ВИНС серверов на этом бывшем SDC, все вроде заработало нормально, но с винроутом эта фигня продолжалается.

Скорее всего комп с винрутом пытается найти внутренний домен через внешний днс. Перенаправь всё на локальный днс, а в локальном разреши форвардинг на днс провайдера.