» Общие вопросы про AD (Active Directory)

Fulkabaster
В общем - нет, будут только тонкости по прукричувания новых политик от Висты, если они понадобятся:
http://technet2.microsoft.com/WindowsVista/en/library/5ae8da2a-878e-48db-a3c1-4be6ac7cf7631033.mspx?mfr=true

На контроллере домена запускаю dcdiag вываливатся такая ошибка:

Цитата:

Starting test: frssysvol
Error: No record of File Replication System, SYSVOL start
The Active Directory may be prevented from starting.

и

Цитата:

Starting test: systemlog
Error 5 opening FRS eventlog \\TOBOLSK1:System:
Win32 Error 5
Failed to enumerate event log records, error Win32 Error 5
......................... TOBOLSK1 failed test systemlog

iogun
Похоже служба FRS не работает, в системном журнале тоже должны ошибки появиться, их надо посмотреть, и открывается ли он вообще судя по второй ошибке с ним тоже проблемы, может переполнен?

Valery12
в EventViewr я не могу получить доступ к закладкам "Application" и "System"
вываливается ошибка "Unable to complete the operation on "Application". Access is denied"

А под какой учетной записью?

Valery12
я админ домена, захожу ч.з. термиал

с доступом к EventViewer разобрался
помогите решить проблему с

Цитата:

Starting test: frssysvol
Error: No record of File Replication System, SYSVOL started.
The Active Directory may be prevented from starting.
There are errors after the SYSVOL has been shared.
The SYSVOL can prevent the AD from starting.

У майкрософт на эту тему есть статья http://support.microsoft.com/kb/888189
конечно дико представить что администратор домена входит еще и в группу "гости" но если в группу "гости" входит группа "пользователи домена" то так и получается так что проверить надо.

Добавлено:
так есть ошибки в журнале "Cлyжбa peпликaции фaйлoв" и "Cлyжбa кaтaлoгoв"?

Valery12
с этой проблемой я разобрался
а вотчто с этим делатьне знаю

Цитата:

Starting test: frssysvol
Error: No record of File Replication System, SYSVOL started.
The Active Directory may be prevented from starting.
There are errors after the SYSVOL has been shared.
The SYSVOL can prevent the AD from starting.

iogun

http://support.microsoft.com/kb/312862/ru

Valery12
статью прочитал но в eventviewer вот такое предупреждение

Цитата:

The File Replication Service is having trouble enabling replication from TOBOLSK3 to TOBOLSK1 for c:\winnt\sysvol\domain using the DNS name tobolsk3.petroline. FRS will keep retrying.
Following are some of the reasons you would see this warning.

[1] FRS can not correctly resolve the DNS name tobolsk3.petroline from this computer.
[2] FRS is not running on tobolsk3.petroline.
[3] The topology information in the Active Directory for this replica has not yet replicated to all the Domain Controllers.

This event log message will appear once per connection, After the problem is fixed you will see another event log message indicating that the connection has been established.

2 - отпадает т.к. эта служба запущена
dcdiag выдает вот это

Цитата:

Starting test: frssysvol
Error: No record of File Replication System, SYSVOL started.
The Active Directory may be prevented from starting.
There are errors after the SYSVOL has been shared.
The SYSVOL can prevent the AD from starting.

запускаю netdiag /fix на дополнительном контроллере

Цитата:

DNS test . . . . . . . . . . . . . : Failed
[WARNING] Cannot find a primary authoritative DNS server for the name
'tobolsk3.petroline.'. [RCODE_SERVER_FAILURE]
The name 'tobolsk3.petroline.' may not be registered in DNS.
[FATAL] Failed to fix: DC DNS entry petroline. re-registeration on DNS serve
r '192.168.4.3' failed.
DNS Error code: DNS_ERROR_RCODE_SERVER_FAILURE
[FATAL] Failed to fix: DC DNS entry _kpasswd._tcp.petroline. re-registeratio
n on DNS server '192.168.4.3' failed.
DNS Error code: DNS_ERROR_RCODE_SERVER_FAILURE
[FATAL] Failed to fix: DC DNS entry _kpasswd._udp.petroline. re-registeratio
n on DNS server '192.168.4.3' failed.
DNS Error code: DNS_ERROR_RCODE_SERVER_FAILURE
[FATAL] Fix Failed: netdiag failed to re-register missing DNS entries for th
is DC on DNS server '192.168.4.3'.
[FATAL] No DNS servers have the DNS records for this DC registered.

до этого запускал были ошибки с записями _ldap._tcp.petroline и _kerberos._tcp.petroline я их добавил, туда куда попросили , но вот добавить _kpasswd._udp.petroline. не получается - при выборе просто отсутствует "kpasswd", а вот для главного контр. домена они есть

Win2003 AD, около 50 пользователей с перемещаемыми профилями, хранящимися в \\domain.local\Share\Profiles\%username%. Мои документы и рабочий стол перенапраяляются различные места для различных групп пользователей: \\domain.local\Share\Private\Otdel1\%USERNAME%\Рабочий стол.
Время от времени на различных компьютерах "пропадает рабочий стол, т.е. все ярлыки и документы хранящиеся в перенаправленной папке исчезают. В евентах ничего нет, лечится только перезагрузкой. Кто может посоветовать как решить эту проблему? Также отваливаются все сетевые диски. НО пинги ходят без проблем.

iogun

ну в принципе ясно что проблема с ДНС
во первых как днс настроен где зоны хранятся как репликация настроена - вопросов масса
кстати в файле WINDOWS\system32\config\netlogon.dns все записи которые добавляются в ДНС при при поднятии сервера до КД посмотри чего не хватает

посмотрел файл netlogon.dns сравнил с настройками в DNS: в DNS есть все записи кроме последних двух а именно

Цитата:

_kpasswd._tcp.petroline. 600 IN SRV 0 100 464 tobolsk3.petroline.
_kpasswd._udp.petroline. 600 IN SRV 0 100 464 tobolsk3.petroline.

и как добавить их не знаю

твоя прямая зона папка petroline
в ней папка _tcp
в ней правой кнопкой меню другие записи - запись типа - "расположение службы(SRV) " создать
заполняешь форму
служба _kpasswd (можно просто написать)
протокол _tcp
приоритет 0
вес 100
порт 464
расположение службы tobolsk3.petroline
аналогично _udp

Есть другой вариант: снимаешь галку хранить зону в АД перезапускаешь:
теперь зона в виде текстового файла в папке DNS
останавливаешь, правишь, сохраняешь, запускаешь
снова ставишь галку хранить в АД

Valery12
добавил недостающие записи, тепенрь вот что

Цитата:

DNS test . . . . . . . . . . . . . : Failed
[WARNING] Cannot find a primary authoritative DNS server for the name
'tobolsk3.petroline.'. [RCODE_SERVER_FAILURE]
The name 'tobolsk3.petroline.' may not be registered in DNS.
[FATAL] Failed to fix: DC DNS entry petroline. re-registeration on DNS serve
r '192.168.4.1' failed.
DNS Error code: DNS_ERROR_RCODE_SERVER_FAILURE
[FATAL] Fix Failed: netdiag failed to re-register missing DNS entries for th
is DC on DNS server '192.168.4.1'.
[FATAL] No DNS servers have the DNS records for this DC registered.

все записи из netlogon.dns на tobolsk3 есть на всех КД
мне бы всю зону посмотреть

Valery12
что значит на всех КД, КД - у меня 2. На одном из них ДНС (на главном), на втором ДНС отсутствует.
Запускаю netdiag на главном КД все тесты проходят нормально, запускаю на дополнительном и вываливается эта ошибка.

Цитата:

мне бы всю зону посмотреть

и как мне ее выложить?

Цитата:

что значит на всех КД, КД - у меня 2. На одном из них ДНС, на втором ДНС отсутствует.
Запускаю netdiag на главном КД все тесты проходят нормально, запускаю на дополнительном и вываливается эта ошибка.

вот о чем и речь нет достаточно информации чтобы понять суть проблемы
нужны настройки домена
настройки сайта (или сайтов)
сетевые настройки контроллеров
настройки ДНС
системные журналы (самое главное!!!)
как время между ними синхронизируется?
когда случилась эта проблема?
после каких действий?
есть ли резервная копия каталога?
можно сравнить, что изменилось?

а так - гадание на кофейной гуще

вот сообщение " The name 'tobolsk3.petroline.' may not be registered in DNS" а есть на втором КД запись А с этим именем? что дает обычный nslookup

После утсновки AD появился список из двух DNS-суффиксов: domain.net.ru и net.ru.

Имя домена -- domain.net.ru, из-за того что в списке суффиксов присутсвует net.ru при попытке разрешить через днс короткий (comp) несуществующий в локальной сети адрес (comp.domain.net.ru), пользователь ищет этот адрес в интернете в зоне net.ru (comp.net.ru), что недопустимо.

Как отключить второй суффикс в AD (стандартными средсвами, не групповой политикой)?

ArgonOL

Цитата:

Как отключить второй суффикс в AD (стандартными средсвами, не групповой политикой)?

интересный оборот - в AD групповые политики и есть стандартное средство
ведь таким образом подставляет суффиксы не ДНС сервер твоего домена, а ДНС клиент на каждой машине и естественно что бы разом изменить такое поведение на всех компьютерах домена и нужна групповая политика
иначе на каждом компьютере в свойствах сетевого подключения - свойства TCP/IP - дополнительные параметры TCP/IP - вкладка DNS - выбрать опцию "Дoпиcывaть cлeдyющиe DNS-cyффикcы (пo пopядкy):" и указать в списке нужный суффикс

Меня интерисует сам факт, что какого хрена при добавлении основгого суффикса domain.net.tu автоматом, добавляется net.ru, который явным образом я не задавал. Виден в списке ipconfig /all.

Также себя ведт и комп в раб группе при назначении ему основного суффикса в виде домена 3-го уровня... Фактически в листе днс суффиксов появляются 2 домена, 3-го уровня, и второго...

Как отключить такое поведение?

Очень просто.
В настройке tcp/ip вкладка DNS снять флажок "дописывать родительские суффиксы осн. DNS-суффикса".

Спасибо, я это тоже нашел ))

Но как оказалась, это настройка по умолчанию установлена, причем локально для всех сетевых адаптеров...

А глобальная задается через групповую политику Primary DNS Suffix Devolution или в реестре,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\UseDomainNameDevolution"=dword:00000000

Вот только в групповая политика у меня почему то не работает... Уже не первую машину перезагужаю и делаю gpupdate /force

ArgonOL
у меня в групповых политиках одновременно настроены 3 политики
Основной DNS суффикс -мой домен
Порядок просмотра суффиксов DNS -мой домен
Регрессирование основного DNS-суффикса отключить

все работает, но одно но - эта политика действует только на XP и 2003

Valery12, спасибо за ответ. Я сам допёр аналогично, что нужно совместно использовать политику основного суффикса и списка просмотра... Иначе возможны косяки... С неприсвоением или случайным изменением этого суфикса локальным админом.

Помогите как восстановить недавно удалённую учётную запись в Активке.?
Это один вопрос

А другой пропала UO внезапно.
При создании такой же UO говорит что она есть и всё такое . создай другую.
Что делать где она есть и почему не отображается?

Всем привет вопрос,
Безболезнена ли миграция с Windows Server 2003 Enterprise
на Windows Server 2003 Standart?

le0nidI
При наличии прямых рук - да, абсолютно.

Rotten
для начала посмотри в контейнере LostAndFound может OU уже там

Вручную восстанавливать отдельные объекты довольно муторно поэтому советую попробовать бесплатную утилиту от quest - http://www.quest.com/object-restore-for-active-directory/

и еще надо помнить что срок жизни удаленных объектов не бесконечен и если он вышел то поможет только backup