» Общие вопросы про AD (Active Directory) - часть II

sarti
Если после переезда с одного DC на другой DC глюки остануться - сбрось все политики безопасности (была утиль от MS), если и это не поможет - сноси этот домен и поднимай заново... Имхо так быстрее будет, чем разбираться с косяками. Советую скриптами вытащить всех юзеров чтоб потом всех внести в новый домен.

Вопрос к админам от начинающего.
Есть офисный домен hipper.com один контроллер домена w03dc01.hipper.com он же DNS DHCP домен локальный не зареген в инете. к нему приконнектено 15 тачек. И есть удаленный склад где есть рабочая группа из 8 компов. Между офисом и складом есть достаточно широкий канал, только не всегда работает. Нужно приконнектить склад к офису. Как правильно организовать соединение, на складе лучше создать дополнительный контроллер домена скажем w03dc02.hipper.com или создать поддомен домена hipper.com??? Объем трафика репликации между точками впринципе не важен. Важно чтобы тачки на складе могли регится хотябы на складе при отсутствии соединения офис-склад.

aak1980

Создать два сайта: один - ваша ЛВС, второй - ЛВС склада. В ЛВС склада поднять второй контроллер домена и дать ему роли ГК и DNS-сервера.

Вообще хорошо бы книжку вам почитать о планировании AD. Рекомендую купить или скачать где-ниубдь ебуки Зубанова и "Планирование, внедрение и поддержка инфраструктуры AD" (экзамен 70-294).

ali1977, snovitsi, что перехватит - сомнений нет, вопрос в том ЧТО он перехватит... Боюсь, если корневой будет реплицирован целиком - то и весь мертвяк DC за собой и на новый DC утащит, со всеми вытекающими... А с нуля домен поднимать - это уже не моя забота, в конце концов, моя хата с краю, да и вообще в другой деревне )))


veryom, SID SID'ом, просто здесь мне нужно было чужое мнение на происходящее, с локализацией немало различных проблем, да и всё-таки мне иногда удобнее спросить хоть кого-нибудь прежде, чем самому лисапед выдумывать

veryom


Цитата:

Создать два сайта: один - ваша ЛВС, второй - ЛВС склада. В ЛВС склада поднять второй контроллер домена и дать ему роли ГК и DNS-сервера.

а этот второй DNS сервер должен быть вторичным?

aak1980

Цитата:

а этот второй DNS сервер должен быть вторичным?

Т.к. DNS-сервер у вас будет на контроллере домена, то создавайте зоны сразу интегрированными в AD.
Цитата:

Сервер DNS, интегрированный с Active Directory, помещает информацию о зонах DNS в хранилище Active Directory. При использовании служб DNS, интегрированных с Active Directory, серверы DNS запускаются на одном или нескольких контроллерах домена и не требуют настройки топологии репликации.

Выгоды: упрощение администрирования, повышение безопасности, уменьшение трафика.

veryom

спасибо за опративные ответы,

объясните пожалуйста смогу ли я пускать трафик репликации между контроллерами домена через site to site VPN ISA?

понимаю что много у меня много тупых вопросов но я не админ к сожалению

Блин... Я уже затрахался... 22.30 уже, хотя из офиса в 18.00 надо было уйти...
Суть проблемы:
Что-то сделал на контролере домена (скорее всего что-то, связанное с ДНС-сервером. Потом днс полностью переустановил, и он начал работать) и теперь комп, который отключил от домена при поключении к нему-же говорит: "именам пользователей не сопоставлены коды защиты данных". В журнаое на контроллере ничего не пишет... Помогите, пожалуйста!!!


Добавлено:
Хм... Пробывал в АД создать компьютер с именем, а он сказал, что такое имя уже существует, но в списке его нет...

Добавлено:
Да, и с таким именем я не вносил компьютер в домен... Я просто в керио винроут фаервол прописал название... Думал прокатит...

Добавлено:
Хм... Действительно. С любым другим именем комп создаёт, а именно с этим - нет. Причём он говорит: "Не удалось создать новый объект-компьютер, поскольку пред-виндовс 200 имя компьютера уже используется."

Добавлено:
Мне кажется, что надо удалить эту пред виндовс-2000 запись и всё заработает... Как это сделать?
p.s. Радмин рулит

У меня вчера такие вопросы возникли...
1) Что будет,если переименовать имя компьютера,который выполняет роль DC.
2) Не могу найти хорошую инфу об анализе логов в АД.Так как у меня включены все аудиты,но не знаю как проверить,кто когда зашел и на какой комп....и т.д. То есть было бы хорошая инфа,желательно на русском.

rkhodjaev

Цитата:

1) Что будет,если переименовать имя компьютера,который выполняет роль DC.

Поднять второй DC (можно на виртуалке), передать ему все роли, понизить первый DC до рядового сервера и переименовать. Тогда все будет нормально.

Есть один котроллер домена в офисе.
А как добавить второй контроллер домена который будет на складе? Там ведь все компы за апаратным фаером. Во время добавления этого контроллера домена его нужно в офис чтоли притащить? А потом создать два сайта? Может я туплю но никогда не добавлял вторичный контроллер. У зубанова в книге сам процесс не описан. Может дадите какие нибудь ссылки на практические инструкции добавления контроллера находящегося удаленно Немогу ничего найти по теме.

aak1980
Нужно объединить 2 сети при помощи VPN или каким-нибудь другим способом. Можно просто на маршрутизаторах маршрутизацию настроить. Вобщем нужно сделать так, чтобы с любого включенного компьютера одной сети можно было пинговать любой включенный компьютер другой сети. Тогда сервер увидит контроллер домена. Перенос в офис не поможет - установить сможете, а реплики со склада и офиса все равно не пойдут.

fedmun

Цитата:

Поднять второй DC (можно на виртуалке), передать ему все роли, понизить первый DC до рядового сервера и переименовать. Тогда все будет нормально.

Да так я знаю,процесс понижения и передачи ролей,а потом обратное.Мне просто интересно было узнать.Значит не получится!

BULLDOG

а можно так?
сначала в офисе где уже есть контроллер домена установить isa, затем на складе где еще нет контроллера устанавливаю isa настраиваю site-to-site с офисом а затем устанавливаю дополнительный контроллер на складе и пускаю репликацию по site-to-site VPN?

всем привет.
есть лес domain.com
есть 3-и контролера домена.
на всех 3-ёх Exchange. Собираюсь вывести один вместе с Exchange. На нём стоит и CA.
насколько понял - шаги такие:
1. Определить роли серверов в домене.
2. Перевести все роли с выводимого сервера.
3. Перевести с него все роли.
4. Перенести с него CA.
5. Определить все роли Exchange на выводимом сервре.
6. Перенести все роли и ящики.
7. Удалить Exchange.

Возможно где то ошибка с последовательностью.

Просмотр и передача ролей FSMO в Windows Server 2003
не определился пока с шагом 1 - как узнать тукущие роли ?

спасибо.

slech

Цитата:

не определился пока с шагом 1 - как узнать тукущие роли ?

start -> run -> cmd /k netdom query fsmo
(NETDOM.exe - Support Tools)

Ребята вопрос на засыпку.Если 2 DC в AD.На 1-ом DC держаятся все роли,а второй для страховки работает.Если умрет 1-ый DC,то как можно будет передать все роли 2-му тогда?

Не могу разобраться. В домен были заведены юзеры и компы. К компам применяются соответсвующие полтики по установке софта. К юзерам применяются политики по редиректу папок, назначаются logon-скрипты. Все работает. Добавляю в политику для юзеров настройки IE (proxy и закладки) - никакое кол-во перезагрузок и GPUpdate не помогает. Удаляю перемещаемый профиль на сервере и копию на клиенте, вхожу юзером - все применилось, правлю политику(добавляю закладки в IE), перелогиниваюсь - все меняется. А вот для профилей созданых до изменения политики(добавленные параметров IE) не срабатывают.

Как можно удаленно зменить сетевое имя компьютера в домене?

Вопрос снят. netdom помог

rkhodjaev

Цитата:

Ребята вопрос на засыпку.Если 2 DC в AD.На 1-ом DC держаятся все роли,а второй для страховки работает.Если умрет 1-ый DC,то как можно будет передать все роли 2-му тогда?

Нашел ответ.Надо просто 2-му принудтельно назначить роли.

gbcfkf

Цитата:

Как можно удаленно зменить сетевое имя компьютера в домене?

В смысле?

gbcfkf

Цитата:

Как можно удаленно зменить сетевое имя компьютера в домене?

С помощью утилиты netdom. Информация, например, здесь.

Что-то случилось с AD.. при добавлении нового компьютера в домен сразу же на сервере возникает ошибка 1054 "Windows cannot obtain the domain controller name for your computer network. (The specified domain either does not exist or could not be contacted. ). Group Policy processing aborted." А на компьютере который добавляю в домен пишет что исчерпан пул идентификаторов. Когда покопался в инете нашел что это возможно что не работает репликация.. Кроме этого каждые 5 мин появляется 1202 "Security policies were propagated with warning. 0x4b8 : An extended error has occurred."

Команда "repadmin /showreps" Выдает следующее :

Default-First-Site-Name\MAIN
DC Options: IS_GC
Site Options: (none)
DC object GUID: 0938a708-fcbe-40ba-84af-888b245de1e1
DC invocationID: 0938a708-fcbe-40ba-84af-888b245de1e1

==== INBOUND NEIGHBORS ======================================

DC=united-agro,DC=com,DC=ua
Default-First-Site-Name\IBSERVER via RPC
DC object GUID: 544b5acd-2d98-4eb9-9876-82a5e8fd3b0a
Last attempt @ 2008-10-06 16:51:13 failed, result 1753 (0x6d9):
Can't retrieve message string 1753 (0x6d9), error 1815.
19644 consecutive failure(s).
Last success @ 2006-07-10 20:53:21.

CN=Configuration,DC=united-agro,DC=com,DC=ua
Default-First-Site-Name\IBSERVER via RPC
DC object GUID: 544b5acd-2d98-4eb9-9876-82a5e8fd3b0a
Last attempt @ 2008-10-06 16:51:13 failed, result 1753 (0x6d9):
Can't retrieve message string 1753 (0x6d9), error 1815.
19645 consecutive failure(s).
Last success @ 2006-07-10 19:11:59.

CN=Schema,CN=Configuration,DC=united-agro,DC=com,DC=ua
Default-First-Site-Name\IBSERVER via RPC
DC object GUID: 544b5acd-2d98-4eb9-9876-82a5e8fd3b0a
Last attempt @ 2008-10-06 16:51:13 failed, result 1753 (0x6d9):
Can't retrieve message string 1753 (0x6d9), error 1815.
19645 consecutive failure(s).
Last success @ 2006-07-10 18:58:40.

Source: Default-First-Site-Name\IBSERVER
******* 19645 CONSECUTIVE FAILURES since 2006-07-10 20:53:21
Last error: 1753 (0x6d9):
Can't retrieve message string 1753 (0x6d9), error 1815.


Что нужно написать чтоб убить репликацию с сервером IBserver? Очень нужен точный ответ

Заранее спасибо

Здраствуйте!

Возник вопрос. Есть сеть АД Вин2003. Каждий пользователь имеет свою учетную запись.

Как ограничить права на логон в компютер методом АД.

Сделал групы для каждого компа.

Где в политиках прописать какая група имеет право на логин компютера?

нужно пользователю логиниться только на своем компе

Я как понимаю если комп в Домене и Ад то используэтся груповая политика.

Заранее спасибо.

markolab
Active Directory Users and Computers, свойства пользователя, закладка Account - Log On to ... и здесь указываеш на какие компьютере можно логиниться

Спасибо!!!

Возник следующий вопрос, как добавить к домену ПК, если контроллер домена - RODC (Win2008)?

fsv2k5
Создать учетку компа заранее...

А какие права нужно дать, чтобы можно было создавать, удалять, переименовывать, обновлять учётные записи компьютеров в домене?

если дополнительный контроллер для целей резервного копирования поднимается на виртуальной машине, достаточно ли раз в 59 дней его реплицировать или нет ?
(читал что то-то про 60 или 90 дней после которых контроллеры не синхронизируются)

Dimsoft

Цитата:

достаточно ли раз в 59 дней его реплицировать или нет ?

А зачем такой большой интервал?У тебя один сайт или несколько?