» Общие вопросы про AD (Active Directory)

iogun
Для начала как минимум у подключаемого компа должен быть прописан ДНС на один из контроллеров домена

А вообще что бы все было правильно нужно выполнить следующие шаги
1. В оснастке Сайты и службы создать нужную подсеть (ту где находятся подключаемые компы)
2. если в этой подсети предполагается наличие контроллера домена создать сайт и привязать эту подсеть к сайту, если нет то привязать подсеть к ближайшему имеющемуся сайту
3. На ДНС сервере создать обратную зону для этой подсети
4. и теперь указать для компа ДНС контроллера домена и включать его в домен.

Чисто теоритический вопрос: подскажите ссылку на определение от Microsoft о необходимости перехода на доменную структуру от одноранговой.
Личные размышления и доводы тоже приветсвуются. Нужно обоснование.
Спасибо.

Valery12
сделал все так и у меня все равно при подключении к домену пишет это:

Цитата:

Note: This information is intended for a network administrator. If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:\WINNT\debug\dcdiag.txt.

The domain name petroline might be a NetBIOS domain name. If this is the case, verify that the domain name is properly registered with WINS.

If you are certain that the name is not a NetBIOS domain name, then the following information can help you troubleshoot your DNS configuration.

The following error occurred when DNS was queried for the service location (SRV) resource record used to locate a domain controller for domain petroline:

The error was: "DNS name does not exist."
(error code 0x0000232B RCODE_NAME_ERROR)

The query was for the SRV record for _ldap._tcp.dc._msdcs.petroline

Common causes of this error include the following:

- The DNS SRV records required to locate a domain controller for the domain are not registered in DNS. These records are registered with a DNS server automatically when a domain controller is added to a domain. They are updated by the domain controller at set intervals. This computer is configured to use DNS servers with following IP addresses:

83.136.112.246 - DNS провайдера
80.71.219.2 - DNS провайдера
85.*.*.* - внешняя сетевая плата подключаемого компа (сервера)
192.168.4.1 - контроллер домена (он же DNS)
192.168.250.1 - внутр. сетевая плата подключаемого компа (сервера)

- One or more of the following zones do not include delegation to its child zone:

petroline
. (the root zone)

For information about correcting this problem, click Help.

Никак не могу найти административные шаблоны (.ADM) для W2k3 R2 на русском языке. Кто может поделиться?

iogun
Я так понимаю что этот сервер будет шлюзом в интернет, тогда какой софт организует этот шлюз?
в любом случае эта ошибка говорит о том что не найден домен ни по ДНС ни по нетбиос второе если не указан винс сервер понятно, а первое говорит о том СРВ запись ищется не на 192.168.4.1 а на ДНС провайдера.
главным ДНС сервером для всех интерфейсов должен быть 192.168.4.1 или хотя бы для интерфейса 192.168.250.1 и в свойствах сети в дополнительных параметрах - адаптеры и привязки этот интерфейс должен быть наверху и при подключении к домену указывать нужно не нетбиос имя к примеру DOMAIN а ДНС имя DOMAIN.LOCAL

а вообще то когда организуется выход в интернет для доменной сети для всех компьютеров указывается ДНС контроллера домена а уже на нем в настройках ДНС сервера организуется перенаправление на ДНС провайдера

Valery12
прописал во внутренней сет. плате WINS сервер (192.168.4.1), попытался подключить к домену комп, выскочило окно со вводом пароля и логина..., вроде заработало, но пока включать прокси (он же шлюз - 192.168.250.1 и DNS) в домен не спешу. А вот подключение к домену ч.з. ДНС не проходит. В настройка внутр. интерфейса шлюза первым DNS стоит 192.168.4.1 и все равно не работает.

Парни может кто уже решал подобный вопрос...
Поднят AD, в нем несколько сайтов, каждый сайт это отдельный офис (может быть в одном городе, но в разных местах, может в разных городах).
Все это соеденино через VPN поднятым в RRAS.
Так вот никак не соображу как решить подобную проблему, а может даже и не возможно, но все таки вдруг кто-то подскажет.
Итак, проблема в следующем, периодически пользователи мигрируют из одного офиса в другой, и как бы попав в другой офис, конечно они залогинятся, но есть одно "но".
Во-первых у меня есть сейчас две OU (допустим "Офис 1" и "Офис 2"), естественно если пользователь обычно работае в "Офис 1", а его вдруг перебросили в "Офис 2", то при входе применяются политики от "Офис 1"... Само собой через инет применяются групповые политики (а я например там софт обновляю).
Ну если с менджерами еще хоть как то можно сладить, допустим регламентировать это дело, то что делать с директорами??? Они по 5 раз за день могут лазить из офиса в офис...
Может кто решал??? (Идеальный вариант вообще конечно одну политику для общей OU всех офисов, а вот в зависимости от сайта, он бы скачивал с того или иного сервера).
Вообщем надеюсь что хоть кто то уже решал подобный вопрос...

Добавлено:
Походу дошло до меня... Всем спасибо.

Добрый день. помогите решить такую проблему:
Есть Server 2003 Enterprise Edition, на нем развернут AD,DHCP,WINS,Terminal Server,File Server. И вот в чем загвоздка:
в логах постоянно сыпет ошибку
The product Microsoft BackOffice is out of licenses. Use Licensing from the Administrative Tools folder for more information on which users are out of compliance and how many licenses should be purchased.
и
The product Windows Server is out of licenses. Use Licensing from the Administrative Tools folder for more information on which users are out of compliance and how many licenses should be purchased.
Добавляю там по 300 лицензий и все вроде нормально.
Но через пару дней эти лицензии опять исчезают и их приходится добовлять снова.

Вопрос такого плана (уже вроде спрашивал ранее): имееется лес (2003 режим), в нём дерево, на дереве 3 листа (корневой домен и 2 поддомена), соот-но 3 сайта - центральный и 2 дочерних. Поддомены друг друга не видят, реплицируются только с корневым (который в центральном сайте). Проблема в том, что в одном поддомене контроллер переодически начинается биться в попытке взять инфу у контроллера из другого поддомена и конечно же обламывается, т.к. доступа в тот поддомен нет. Я ручками удаляю соот-ю запись в остнастке Active Directory Sites and Services но через некоторое время он опять начинается "долбёжку". В другом поддомене всё ок. Не могу понять куда смотреть что бы пофиксить...

greenfox

Цитата:

Я ручками удаляю соот-ю запись в остнастке

Удаляешь связь? Или что?
Inter-site линки настроены должным образом?

inter site link должно быть два
в первом сайты корневой + сайт поддомен1
во втором сайт корневой + сайт поддомен2

а удалять connection безсмысленно

FreemanRU
Valery12
настроено так: если открыть Active Directory Sites and Services -> Sites -> Inter-Site Transport -> IP -> тут 2 сайт линка как и писал Valery12:
1. корневой сайт и 1 подсайт (с первым поддоменом)
2. корневой сайт и 2 подсайт (со вторым поддоменом)
наск я понимаю всё так и должно быть.


Цитата:

Удаляешь связь? Или что?

ну да, захожу по Active Directory Sites and Services -> Sites -> Проблемный сервер и там в соот-м пункте (NTDS Settings) вижу что у него появилась вторая связь (по мимо связи на DC в основной офис) с пометкой <automatically generated> которая ведёт почему то в другой поддомен (и соот-но в логах сыпяться ошибки что найти соот-й контроллер в том подсайте невозможно). Эту связь переодически ручками и удаляю.

Не знаю даже куда копать...

Добавлено:
Ещё вопрос в догонку, можно ли в один сайт включить несколько ip подсетей? (а то запамятовал...)

значит у тебя включена галочка "установить мост для всех связей сайтов" - нужно отключить

несколько подсетей в сайт включать можно

Добавлено:
можно КСС в конце концов просто отключить и создать все связи вручную.

Valery12

Цитата:

значит у тебя включена галочка "установить мост для всех связей сайтов" - нужно отключить

да действительно стоит... Вопрос тогда почему только один поддомен так ведёт себя, а не оба? :\


Спсибо всем за ответы!

greenfox

Цитата:

значит у тебя включена галочка "установить мост для всех связей сайтов" - нужно отключить

Плохо это. Лучше правильно INter-site линки и бриджи настроить.
У тебя должно быть 2 Inet-site линка (домен - дочерние) и один бридж (в котором оба этих линка).

FreemanRU
а зачем мне бридж между поддоменами? И почему плохо "отключать bridge all site links"?

Цитата:

Плохо это. Лучше правильно INter-site линки и бриджи настроить.
У тебя должно быть 2 Inet-site линка (домен - дочерние) и один бридж (в котором оба этих линка).

если учесть что Inet-site линка всего два "установить мост для всех связей сайтов" как раз этот один бридж и делает - откуда ехали туда и приехали



Добавлено:
вопрос в том - почему КСС при правильной вроде организации линков строит связь между контроллерами поддоменов может они реплицируют контекст именования которого нет на контроллере родительском домене
короче нужно знать все роли каждого контроллера, а потом думать

Valery12

Цитата:

при правильной вроде организации линков

Если у него между поддоменами нету прямой связи, и все сайты в одном линке, то KCC будет пытаться установить связь между всеми DC.
greenfox

Цитата:

а зачем мне бридж между поддоменами?

чтобы данные быстрее реплицировались.

Valery12

Цитата:

если учесть что Inet-site линка всего два "установить мост для всех связей сайтов" как раз этот один бридж и делает - откуда ехали туда и приехали

логично Кстати, чем светит отсутствие этого самого бриджа? Насколько я понимаю одному поддомену знать ничего о другом не надо.... Контексты именования и т.д. у них различны - они её не передают друг другу, контекст конфигурации и схемы они берут из центр. сайта (корня), глобальный каталог так же есть во всех доменах и его реплика будет проходить просто через центр. сайт...

FreemanRU

Цитата:

сли у него между поддоменами нету прямой связи, и все сайты в одном линке, то KCC будет пытаться установить связь между всеми DC.

я выше вроде писал что есть 2 линка и там по 2 сайта в каждом... Так что отпадает...
Цитата:

чтобы данные быстрее реплицировались

данные чего?

Действительно поскольку контроллер корневого домена имеет всю информацию а оба дочерних сайта с ним связь имеют я и предложил отключить "установить мост для всех связей сайтов"
Но это не решение проблемы это ее обход, а решение искать надо
нужно воспользоваться replmon и поискать причину такого поведению

кстати как настроен ДНС на каких серверах где зоны хранятся?

Valery12

Цитата:

кстати как настроен ДНС на каких серверах где зоны хранятся?

стандартно, в каждом поддомене (как и в корне) на DС крутится свой DNS с поддержкой соот-й зоны (все интегрированы в АД). В корне настроена делигация дочерних зон на соот-е поддомены (их DC). Соот-но в дочерних доменах на днс стоит форвардинг в корневой домен для разрешения как имён корневого домена так и внешних имён.
Кстати вопрос, а делигацию обратных зон делать надо на соот-е DC в поддоменах? А то у меня скажем из корня разрешить ip поддомена в его имя нельзя сейчас

Важно чтобы для КД поддоменов в сетевых настройках первичным сервером ДНС был корневой КД а вторичным они сами.


Цитата:

А то у меня скажем из корня разрешить ip поддомена в его имя нельзя сейчас

Вот может в этом и проблема, надо копать

делегировать обратные зоны не нужно достаточно указать в свойствах репликацию на все КД

Valery12

Цитата:

Важно чтобы для КД поддоменов в сетевых настройках первичным сервером ДНС был корневой КД а вторичным они сами.

хм, а у меня наоборот. Всегда первичным ставлю самого себя... А линк можно на соот-й материал с мс-а?

Цитата:

делегировать обратные зоны не нужно достаточно указать в свойствах репликацию на все КД

кстати тоже интересный вопрос, по умолчанию при создании домена\зоны интегрированной в АД стоит галка "реплицировать на все контроллеры в данном домене", по твоему надо менять во всём дереве доменов на "реплицировать на все контроллеры в лесу"? (при чём как для прямых так и для обратных зон?)

Цитата:

хм, а у меня наоборот. Всегда первичным ставлю самого себя... А линк можно на соот-й материал с мс-а?

Сходу линк не дам точно есть базе знаний майкрософт это так называемая проблема островов ДНС, а вообще посоветую книгу Зубанова "Active Directory подход профессионала"


Цитата:

по твоему надо менять во всём дереве доменов на "реплицировать на все контроллеры в лесу"

Если учесть что поддомены друг друга не видят может действительно их обратные зоны не стоит а вот с обратной зоной для корневого домена я бы так поступил.
А по поводу репликации прямых зон советовать боюсь, у меня 6 сайтов и 8 КД но домен один соответственно никакого делегирования и все зоны реплицируются через АД, как это будет в дереве доменов знаю только теоретически.

Valery12

Цитата:

Сходу линк не дам точно есть базе знаний майкрософт это так называемая проблема островов ДНС, а вообще посоветую книгу Зубанова "Active Directory подход профессионала"

читал, я собственно с неё начинал. Просто дело в том что встречаются разные мнения на счёт того каким первичным прописывать ДНС... Кто пишет что надо соседнего котроллера\днс, кто самого себя...
Ладно, спс за ответы, буду сам дальше тогда разбираться

А может действительно стоит убрать делегирование и сделать репликацию всех зон на все КД?

Valery12
это можно сделать и не убирая делегирования Одно другому не мешает по идее... Надо читать "первоисточник" будет

Цитата:

это можно сделать и не убирая делегирования Одно другому не мешает по идее... Надо читать "первоисточник" будет

Я бы так не сказал без делегирования каждый ДНС сервер имея все зоны (поскольку они реплицированы АД) все адреса будет разрешать сам, а с делегированием он отправит запрос на удостоверяющий ДНС сервер этой зоны.

Valery12

Цитата:

Я бы так не сказал без делегирования каждый ДНС сервер имея все зоны (поскольку они реплицированы АД) все адреса будет разрешать сам, а с делегированием он отправит запрос на удостоверяющий ДНС сервер этой зоны.

"Меня терзают смутные сомнения"(с) По логике если он уже и так имеет зону в своей АД то и направлять её на соот-й сервер вроде как и не надо, во всяком случае не в первую очередь Но тут конечно доки читать надо как это реализовано у мс... Работать по идее будет в обоих вариантах, вопрос только в том как запрос пойдётЬ

Имеется домен с одним DC, на базе Win2003 Server. Рабочие станции - все XP SP1. Но вот привезли нам пару машинок с вистой, их тоже надо бы в домен втиснуть. Вопрос: есть ли какие-то кардинальные отличия по включению и работе висты от XP в домене Win2003?