Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Проблема с доступом к сетевым настройкам контролера домена

Автор: reyst
Дата сообщения: 28.01.2005 18:34
Собираюсь взяться за серйознейшее дело - переустановки контролера домена в сети с несколькими сотнями компьютеров. Поэтому прошу совета у гуру по для меня скользким моментам. Заранее благодарю всем за помощь хоть по одному вопросу.

1) Есть контролер домена company.com на базе 2000 Server. Хочу на отдельном компьютере воссоздать полностью новый домен под таким же именем со всеми юзерами, шарами и т.д., только уже на 2003 (или может оставаться на 2000?).
Затем подменить им на время действующий и проверить работоспособность. Если все нормально - форматануть первый сервер, а дальше 2 варианта: или повторить все действия по созданию домена или делать репликацию с уже созданного сервера.

Насколько репликация трудоемкий и сложный процес?

Может кто посоветовать доку - пошаговую инструкцию репликации сервера?

Знаю еще есть полезная утилита ADMT - она в процесе репликации участвует? входит в стандартную поставку или ее нужно поискать?

Насколько я понимаю, если создавать домен под именем уже существующего, то нужно это делать отключенным от сети, иначе возникнут проблемы совместимости, плюс к тому же могут возникнут выборы-первыборы, перехваты ролей и т.п. с уже существующим сервером. А можно ли создать домен под одним именем и IP, а затем их изменить на другие? Насколько этот процес безболезненный?


Клиенты у меня разношерстные от 95 до XP. Ясное дело поднимаем WINS и прописываем его на всех клиентах 95/98. Нужно ли WINS прописывать на 2000/XP клиентах? Нужно ли на всех компьютерах 95/98 указывать DNS-имя, DNS-суффикс и на что Это влияет?

Шлюз прописывают, когда несколько подсетей с разными масками. У нас стоит proxyserver SQUID. Нужно ли указывать адрес проксисервера в настройках сети как шлюз помимо настройек подключения к Интернет?

При указывании имени домена нужно ли в конце ставить точку?

Если все пользователи ходят в Интернет через прокси, который установлен на отдельном компьютере, при этом в настройках всех клиентов естественно указан DNS контролера домена, нужно ли на контролере домена прописывать Форвардинг на DNS-провайдера?
Автор: DStream
Дата сообщения: 28.01.2005 18:51
А чем плохо прямым путем поднять второй сервер и не торопясь передать ему все роли, а потом уже убрать первый?
Автор: G14
Дата сообщения: 28.01.2005 18:52

Цитата:
1)


Цитата:
Может кто посоветовать доку - пошаговую инструкцию репликации сервера?

это сюда:
http://forum.ru-board.com/topic.cgi?forum=8&topic=5603#1

Цитата:
Знаю еще есть полезная утилита ADMT

это я думаю тебе ни к чему.

Цитата:
при этом в настройках всех клиентов естественно указан DNS контролера домена, нужно ли на контролере домена прописывать Форвардинг на DNS-провайдера?

имо - да.

Цитата:
Собираюсь взяться за серйознейшее дело - переустановки контролера домена в сети с несколькими сотнями компьютеров.

скажи, а с какой целью? чего ты хочешь добиться ?
Автор: reyst
Дата сообщения: 01.02.2005 14:56
хочу я WINS поднять или посмотреть настройки сети - выдает сообщение мол нет у меня прав на это. Захожу я под Администратором, ченом администрторов домен (и всех остальных груп, где только упоминается слово Администратор ). Все групповые полити в Enabled поставил - безрезультатно...
Автор: Lamerok
Дата сообщения: 01.02.2005 16:59
Уважаемый reyst


Цитата:
Все групповые полити в Enabled поставил - безрезультатно...


простите, это как!?

поставь WINS на stand alode сервере. Настрой репликацию.
Переустановливаешь WINS на domain controller

От отсутствия WINS пострадаЮт только 9x клиенты.


Цитата:
хочу я WINS поднять или посмотреть настройки сети - выдает сообщение мол нет у меня прав на это


Думаешь, то что ты описал в своем предыдущем посте спасет тебя от этой проблемы?
БоЮсь ты наживешь еще кучу.....
Так что разбирайся с WINS лучше.
Автор: reyst
Дата сообщения: 01.02.2005 18:17
Да дело не в WINS вовсе, а в том, что не к настройкам сети ни ко многим другим ресурсам, я не имею доступ как администратор... Тобишь контролер неуправляемый.... А как решить эту проблему. Чувствуется, что здесь что-то незаурядное.
Автор: G14
Дата сообщения: 01.02.2005 20:57

Цитата:
Чувствуется, что здесь что-то незаурядное.

политики крутил ?
выведи администраторов в отдельную OU. В ней запрети наследование политик. перезайди(logoff\logon).
Автор: Ici Chacal
Дата сообщения: 02.02.2005 00:09
Exchange есть? Если есть, то нажить можно неприятности. Здесь http://support.microsoft.com/kb/325379 подробно про обновление. Совет такой: готовишь чистый сервер Win2k3, запускаешь adprep /forestprep на хозяине схемы, ждешь. Adprep /domainprep на том-же сервере, ждешь. Сколько ждать зависит от размеров Active Directory, кол-ва контроллеров и географии доменов. Формулу не помню, но глобальная база, размером 15Г, реплицируется не долее 50 часов. Затем dcpromo на Win2k3. Вот у тебя и новый контроллер. Опять ждем. NetDiag & Dcdiag на всем протяжении. ОСОБОЕ внимание DNS. Если все нормально, старый можно форматить.
Цитата:
Собираюсь взяться за серйознейшее дело - переустановки контролера домена в сети с несколькими сотнями компьютеров

Закончишь пива выпей!

Добавлено:

Цитата:
2. Войдите в систему на компьютере, являющемся хозяином схемы, используя учетную запись, входящую в группу «Администраторы схемы».

Автор: reyst
Дата сообщения: 02.02.2005 11:13
Exange в сети нет. Групповые пролити конечно смотрел первым делом. В gpedit административные шаблоны как для пользователя так идля комрьютера - все поставил в Enabled -безрезультатно!

выведи администраторов в отдельную OU. В ней запрети наследование политик. перезайди(logoff\logon) - подскажите как это реализовать. Вкладка Group Policy отсутствует и есть только у самого домена. Там я я тоже удалил Default Policy, убрал галку про наследование - результат тот же.

Учетная запись Администратора - член всех Административных Груп, в том числе и "Администраторы схемы". Тут еще один момент, когда я убираю членство в группе Adminisrators - то я не могу залогиниться - пишет интерактивный вход запрещеш локальными политиками - хотя и в dcpol,dompol,secpol - я поставил этому пользователю Log on locally.

Я думал перейти на 2003, но во-первых никогда с ним не работал, а экперементировать на таком деле не берусь, во-вторых это оно на бумаге - запустил одну команду, другую, включил, подключил, а на деле - проблем не оберешся - тем более реплицировать такое глючное создание, как существующий сервер (уже месяц боюсь с этим вопросом - никто так и не знает в чем дело), это путь к БОЛЬШОЙ проблеме? Плюс к тому же неизвестно как существующий сервер поведет себя, когда на нем начну запускать приведенные утилиты репликации - может он вообще окончательно накроется и тогда без нового и уже без старого домена, домен с двумя сотнями компьютеров помрет... А что тогда со мной сделают, так про это лучше не думать )
Автор: G14
Дата сообщения: 02.02.2005 11:37
reyst

Цитата:
подскажите как это реализовать.

создать OU (подразделение по-русски вроде называется). перетащить(move) в эту OU всех админов. на вкладке Group Policy поставить галку на BlockPolicy....(самая нижняя галка.).


Цитата:
В gpedit административные шаблоны как для пользователя так идля комрьютера - все поставил в Enabled -безрезультатно!


Цитата:
Там я я тоже удалил Default Policy

как фсе плохо то ты б хоть почитал как с политиками работать перед этим


Цитата:
Я думал перейти на 2003, но во-первых никогда с ним не работал,


Цитата:
(уже месяц боюсь с этим вопросом - никто так и не знает в чем дело), это путь к БОЛЬШОЙ проблеме?

так мы и не услышали ответ на вопрос: "чем мотивирован переход на 2003?"...
я так подозреваю, что ничем кроме просто желания перейти. Прошу все, что я напишу далее воспринять как взрослый человек, без обид.
Чтобы хотя бы начать думать про какой то переход, нужно:
1. Разобраться как работает существующая система(у тебя как раз AD). Хорошо понять принципы и технологии.
2. Обязательно привести ее в 100% работоспособное состояние.

Без выполнения этих двух пунктов попытка перехода приведет только к огромному количеству проблем и неприятностей. Давай сначала приводить в божеский вид то, что есть.
Автор: Jovanotti
Дата сообщения: 02.02.2005 11:59
reyst
Послушай доброго совета --

Цитата:
если система нормально работает -- НЕ ТРОГАЙ её

Анекдот про программиста и е его маленького сына знаешь ?

Если ты хочешь провести апгрейд домена до уровня 2003 ...
тебе сюда
http://www.networkdoc.ru/insop/win2003.html
Пока все не прочитаешь, не появляйся.
ШУТКА !
Автор: reyst
Дата сообщения: 02.02.2005 18:05
Благодарен за советы, но ........

Есть одна проблема - недоступность многих полномочий администратора без которых вообще работать нельзя: это невозможность устанваливать дополнительные компоненты Windows, нет доступа к сетевым настройкам. Этого достаточно, чтобы принимать решительные меры переустановка системы!
Мне это не удается. Советы колег на форумах сводятся к редактированию групповых политик - делал, в реестре смотрел, даже удалял Default поитику для домена - все в норме, а доступа нет. Для организационных единиц (OU) у меня нет вкладки Group Policy
Все свелось к тому что я хочу перейти на 2003. Я был бы счастлив, если бы мне удалось востановить эти возможности! Переустановка сервера не самоцель. А 2003 потому, что уж если переустанавливать, так почему бы не перейти на более новую версию, принципі работы те же самие, но глюков то наверняка меньше. Не хочу реплициривать, поскольку легче с нуля ручками все поствить, чем клонировать глючный контролер домена....
Автор: Ici Chacal
Дата сообщения: 02.02.2005 19:11
reyst Ты это серьезно?

Цитата:
Есть одна проблема - недоступность многих полномочий администратора без которых вообще работать нельзя: это невозможность устанваливать дополнительные компоненты Windows, нет доступа к сетевым настройкам. Этого достаточно, чтобы принимать решительные меры переустановка системы!

Если да, то судя по всему тебе домен в наследство остался... Со всеми вытекающими.
Может тебя урезали как описано здесь? http://www.osp.ru/win2000/2002/06/008.htm
Почитал я, то что ты писал выше... Лучше не надо никуда переходить. Лучше прислушаться к советам
Jovanotti
G14
и не трогать работающую систему, а пока разобраться, что вообще есть Active Directory. И контролер домена. Чем локальный админ отличается от доменного. Чем круче "Схема Админ" . Удаление дефолтной политики без создания новой... Плохо. Очень плохо. Боюсь твой переход обойдется большим гим..ром и для твоей фирмы и для тебя. Несколько сотен машин это не шутка.

Добавлено:
Не обижайся, но может стоить книжку (бумажную) купить на эту тему? Типа Windows Server 2000. На 900 стр. Супер-справочник -- рекомендую.
Автор: reyst
Дата сообщения: 03.02.2005 10:34
Известная мудрость - пока гром не ударит - мужик не перехрестится!!!
До действующая система работоспособна, но сейчас стоит задача по реорганизации домена, его оптимизации. Коренных изменений не требуется - но это все равно что сидеть на пороховой бочке!!!
За ссылку спасибо, книжки у меня есть и Чарли Рассела на 1400 стр. и классика жанра Федора Зубанова. В последней как раз очень метко по этому вопросу сказано: Групповые политики в Windows 2000 - это самое заковыристое место в системе, если они работают - это хорошо, а если нет - то проблемы можно решать довольно долго. Поэтому я и обратился к уважаемому ИТ-сообществу за советом, в таком случае практика решения таких проблем полезнее сотен книг - вместо этого меня то и дело к книгам посылают (
Автор: G14
Дата сообщения: 03.02.2005 11:09
reyst
у меня возникло смутное подозрение....
домен, говоришь, в наследство достался. И ничем управлять тебе не дает.
В своих удаленных и не имеющих собственного админа подразделениях я часто проделываю такой финт:
Переименовываю группу администраторов и учетку админа. Затем создаю новую группу, называю ее "администраторы" и создаю нового пользователя "администратор" и тп. Прав у них есессно как у пользователей, но внешне выглядит как будто админ Особо умные будут "ломать" именно этот аккаунт, и даже если сломают, прав получат с гулькин орган... идея ясна ?
Я б сверил sid твоих групп админских с этим. на всякий случай.
да и...

Цитата:
вместо этого меня то и дело к книгам посылают

не расстраивайся вообще то это никому еще не мешало, но и здесь тебе помогут. я в этом уверен.
Автор: reyst
Дата сообщения: 03.02.2005 19:29
Благодарю за желание помочь , но думаю єто будет не просто
Я проверил соответсвие SIDов - они равны для группы Администраторы и учетной записи Администратор... А что далльше можно придумать
Автор: G14
Дата сообщения: 03.02.2005 19:34
reyst
А domain admins и остальные?
Автор: reyst
Дата сообщения: 03.02.2005 19:45
Я использовал утилиты user2sid
http://www.chem.msu.su/~rudnyi/NT/
для выявления SID. Ими не удается ппросмотреть SID груп Schema Admins и Domain Admins/ Может это можно сделать по-другому?
Автор: G14
Дата сообщения: 04.02.2005 07:39
reyst
dcdiag можешь сделать ?
Автор: reyst
Дата сообщения: 04.02.2005 10:07
С этим вроде все в порядке

Выкладываю результаты выполнения команд:

DCDiag

DC Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial non skippeable tests

Testing server: Default-First-Site-Name\FIRMAPDC
Starting test: Connectivity
......................... FIRMAPDC passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\FIRMAPDC
Starting test: Replications
......................... FIRMAPDC passed test Replications
Starting test: NCSecDesc
......................... FIRMAPDC passed test NCSecDesc
Starting test: NetLogons
......................... FIRMAPDC passed test NetLogons
Starting test: Advertising
......................... FIRMAPDC passed test Advertising
Starting test: KnowsOfRoleHolders
......................... FIRMAPDC passed test KnowsOfRoleHolders
Starting test: RidManager
......................... FIRMAPDC passed test RidManager
Starting test: MachineAccount
......................... FIRMAPDC passed test MachineAccount
Starting test: Services
Could not open SMTPSVC Service on [FIRMAPDC]:failed with 1060: Win3
2 Error 1060
......................... FIRMAPDC failed test Services
Starting test: ObjectsReplicated
......................... FIRMAPDC passed test ObjectsReplicated
Starting test: frssysvol
......................... FIRMAPDC passed test frssysvol
Starting test: kccevent
......................... FIRMAPDC passed test kccevent
Starting test: systemlog
......................... FIRMAPDC passed test systemlog

Running enterprise tests on : FIRMAdomain.kiev.ua
Starting test: Intersite
......................... FIRMAdomain.kiev.ua passed test Intersite
Starting test: FsmoCheck
......................... FIRMAdomain.kiev.ua passed test FsmoCheck



NetDiag

.....................................

Computer Name: FIRMAPDC
DNS Host Name: FIRMApdc.FIRMAdomain.kiev.ua
System info : Windows 2000 Server (Build 2195)
Processor : x86 Family 6 Model 8 Stepping 10, GenuineIntel
List of installed hotfixes :
KB823182
KB823559
KB823980
KB824105
KB824146
KB825119
KB826232
KB828035
KB828741
KB828749
KB835732
KB837001
KB839643-DirectX9
Q147222
Q816093


Netcard queries test . . . . . . . : Passed



Per interface results:

Adapter : {A97CF099-98F8-4207-8DBA-7E389D3E171A}

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : FIRMApdc.FIRMAdomain.kiev.ua
IP Address . . . . . . . . : 172.21.1.55
Subnet Mask. . . . . . . . : 255.255.0.0
Default Gateway. . . . . . : 172.21.1.11
Dns Servers. . . . . . . . : 172.21.1.55


AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenge
r Service', <20> 'WINS' names is missing.
No remote names have been found.

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.

Ipx configration
Network Number . . . . : ea752850
Node . . . . . . . . . : 0008c7e9b333
Frame type . . . . . . : 802.3



Adapter : IPX Internal Interface

Netcard queries test . . . : Passed

Ipx configration
Network Number . . . . : 00000000
Node . . . . . . . . . : 000000000001
Frame type . . . . . . : Ethernet II



Adapter : IpxLoopbackAdapter

Netcard queries test . . . : Passed

Ipx configration
Network Number . . . . : ea752850
Node . . . . . . . . . : 0008c7e9b333
Frame type . . . . . . : 802.2



Adapter : NDISWANIPX

Netcard queries test . . . : Passed

Ipx configration
Network Number . . . . : 00000000
Node . . . . . . . . . : 208120524153
Frame type . . . . . . : Ethernet II




Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{A97CF099-98F8-4207-8DBA-7E389D3E171A}
1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Passed


NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Servi
ce', <03> 'Messenger Service', <20> 'WINS' names defined.


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '172.21.1.55'
and other DCs also have some of the names registered.


Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{A97CF099-98F8-4207-8DBA-7E389D3E171A}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{A97CF099-98F8-4207-8DBA-7E389D3E171A}
The browser is bound to 1 NetBt transport.


DC discovery test. . . . . . . . . : Passed


DC list test . . . . . . . . . . . : Passed


Trust relationship test. . . . . . : Skipped


Kerberos test. . . . . . . . . . . : Passed


LDAP test. . . . . . . . . . . . . : Passed


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
No active remote access connections.


Modem diagnostics test . . . . . . : Passed


Netware configuration
You are not logged in to your preferred server .
Netware User Name. . . . . . . :
Netware Server Name. . . . . . :
Netware Tree Name. . . . . . . :
Netware Workstation Context. . :

IP Security test . . . . . . . . . : Passed
IPSec policy service is active, but no policy is assigned.


The command completed successfully
Автор: G14
Дата сообщения: 04.02.2005 10:40

Цитата:
организационных единиц (OU) у меня нет вкладки Group Policy

ты уверен?
комп с XP в домене есть ? Поставь на него Group Policy Management Console SP1(ссылка есть в поднятом топике по политикам). Проверь действующие на твоего админа политики.
Откуда и что приходит.

Добавлено:
ключевое слово "RSoP"
Автор: reyst
Дата сообщения: 04.02.2005 15:52
Да. Я установил опцию Advanced Features - добавилась вкладка Security, а вкладки Group Policy как не было - так и нет.

Я не нашел ссылку на GPMC в топике, скачиваю сейчас английскую версию с Microsoft, но как прочитал на одном форуме "Консоль GPMC загружается бесплатно с сайта Microsoft, но для работы потребует хотя бы одну лицензию Windows 2003 в корпоративной сети. "
Если Вам не трудно, может поделитесь ссылкой на рабочую версию GPMC?
А для русской XP GPMC имеется?
Автор: G14
Дата сообщения: 04.02.2005 16:03
reyst

Цитата:
Да. Я установил опцию Advanced Features - добавилась вкладка Security, а вкладки Group Policy как не было - так и нет.

при чем здесь это? правой кнопкой по OU->свойства.

Цитата:
Если Вам не трудно, может поделитесь ссылкой на рабочую версию GPMC?

куда тебе более рабочую то ? У меня стоит скачанная с микрософта .....
по ссылке ходил, гда описание GPMC ? читал ?
Автор: reyst
Дата сообщения: 04.02.2005 16:38
ну ясное дело, я ж про контексное меню для OU и говорю - нет там "Group Policy".

я ходил по ссылке http://www.microsoft.com/windowsserver2003/gpmc/default.mspx
на форуме к сожалению не нашел - все не перелопатишь поиска то нет
не знаю заробатает ли у меня (Windows XP Rus SP2)

Пишет надо Microsoft .NET Framework - с этим чего делать


ключевое слово "RSoP" - это к чему, я что-то не догадался?

Автор: G14
Дата сообщения: 04.02.2005 20:11

Цитата:
ключевое слово "RSoP" -

Resultant Set of Policy. Инструмент с помощью которого ты наглядно можешь посмотреть действующие на объект политики. Это то, ради чего собсна мы и ставми консоль

Цитата:
на форуме к сожалению не нашел - все не перелопатишь поиска то нет

плехо прибита тема кверху: "GroupPolicy" там ссылок полно (внизу шапки).
Здесь можно скачать и прочитать требования к установке. Внимательно прочти про XP и контроллер 2000.


Цитата:
Пишет надо Microsoft .NET Framework - с этим чего делать

качать и ставить что ж еще ?
Автор: reyst
Дата сообщения: 07.02.2005 17:06
Нашел компьютер в сети с английским Windows XP с уже установленным FrameWork. net (видно с Visual Studio), установил GPMC, залогинился с правами администратора домена, server.company.com пингуется без проблем. Загружаю оснастку GPMC. При попытке подключения к домену company.com появляется сообщение RPC Server is not uvailable...
Чего делать то?
Автор: G14
Дата сообщения: 08.02.2005 11:02

Цитата:
RPC Server is not uvailable...

проверяй работают ли службы, имеющие в названии RPC на сервере и на раб. станции.
Автор: reyst
Дата сообщения: 08.02.2005 20:13
Все работает - я это первым делом проверил...
В чем может еще проблема быть?
Автор: G14
Дата сообщения: 09.02.2005 08:20
на 2000 какой SP ?
Автор: Neonir
Дата сообщения: 09.02.2005 08:34

Цитата:
При попытке подключения к домену company.com появляется сообщение RPC Server is not uvailable...

Фаереволы на машинах, или на пути следования пакетов есть?
Если remote desktop`ом попробовать к контроллеру подключится получится?

Страницы: 12

Предыдущая тема: Две сетевые карты на файл-сервер для увеличения скорости


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.