» Общие вопросы про AD (Active Directory) - часть II

ali1977

Цитата:

некоторые советуют создать новый домен и перенести всех пользователей и компьютеры туда

Какое-то кардинальное и не элегантное решение, имхо. Я всё-таки советую выявить и устранить причину возникновения ошибок. Это может быть долго и нудно, но куда как полезнее в плане опыта. В инэте море инфы по этим ошибкам! Ну а если создашь новый домен, перенесёшь учётки, и эти же ошибки всплывут снова, то опять новый домен и т.д. т.п.?

1

У меня на обоих контроллерах домена постоянно в логах ошибка
Автоматическая подача заявки на сертификат Локальная система: не удалось подать заявку на один сертификат Контроллер домена (0x80070005). Отказано в доступе
я нашел в интернете следующий выход...

Цитата:

По умолчанию контроллеры доменане добавляются в группу CERTSVC_DCOM_ACCESS, имеющей необходимые полномочия. Для решения проблемы необходимо добавить проблемный контроллер домена или группу Контроллеры домена в группы CERTSVC_DCOM_ACCESS

Подскажите пожалуйста как это сделать и вообще есть ли смысл??? Служба сертификации у нас не поднята. как мне решить данную проблему?
А то может есть смысл действительно поднять центр сертификации?

xXxJurneoxXx

Цитата:

Подскажите пожалуйста как это сделать и вообще есть ли смысл???

Сделать так, как написано. Смысл имеет. Мне это помогло, но у меня был развёрнут ЦС уровня предприятия (интегрированный в AD).

Если

Цитата:

Служба сертификации у нас не поднята

То откуда ошибки-то такие?

Добавлено:

Цитата:

А то может есть смысл действительно поднять центр сертификации?

Что значит "а то может". Нужно поднимать то, что нужно, если оно реально нужно. Ну или ради экспериментов, исследовательского интереса, но только не так, чтоб это навредило существующей инфраструктуре. Есть же виртуализация и/или тестовые компы.

В интернете полно информации о службах сертификации. Почитайте о центрах сертификации, электронной цифровой подписи (ЭЦП), асимметричном шифровании.

Будьте добры подскажите по перемещаемым профилям в AD.
1. Возможно ли сделать чтобы перемещаемые профили сохранялись только на сервере и не сохранялись локально на машине в папке Documents and Settings? Необходимо чтобы учетки полностью грузились с контроллера домена и оставались там же, чтобы на клиентских компьютерах не было файлов.
2. Когда контроллер домена выключен то возможность зайти на компьютер под доменной учеткой остается. Как это исправить?

Очень эти два вопроса меня терзают

vansik
1. Имхо такое не возможно, т.к. для работы пользователя локально на машине ему нужен локальный профиль. Если нет локального профиля он будет загружен с сервера, если так настроено, если не настроено загрузиться профиль по умолчанию.
Computer configuration->Administrative Templates->System->User Profiles-> Delete cached copies of roaming profiles должен помочь в удалении.

2. Искать тут: Computer configuration->Windows Settings->Local Polices->Security Options->Interactive logon: Number of previous logons to cache (in case domain controller is not available)

Спасибо, попробую и сразу отпишу

подскажите можно ли настроить сеть в данной ситуации
есть два домен контролера - стоят в одном кабинете при вырубании света (надолго ессесно бесперебойники не выдерживают) компьютеры сеть перстают видеть ну и соответсвенно печатать и т.п. можно ли настроить доменные компьютеры чтоб они могли видеть другие компы и отправлять на печать при отключенном доменах контроллерах

ali1977

а можно попонятнее.. что значит "видеть компы и отправлять на печать"? непонятно в чём проблема...

Bumsiq
отправлять на печать - это значит когда нажимаешь на кнопочку печать принтер начинал печатать
видеть компы - это значит когда открываем сетевое окружение то видим в нем другие компьютеры

ali1977
я так понял на одном из контроллеров поднят принт-сервер...
боюсь ни печать, ни заполненное сетевое окружение невозможно, без домен контроллера...
за отображение компов в сетевом окружении отвечает 2 службы на КД - сервер и рабочая станция...
за принт-сервер отвечает служба диспетчер очереди печати...
на локальных машинах они так же присутствуют...через них как раз и идет обмен данными...
данные о всех компах и серверах в сети находятся в АД...
соответственно при выключении КД, АД недоступно, службы тоже...раб.станциям не откуда получить информацию...
как вариант, если принтеры сетевые и у них есть статичные ИПы, можно через ГПО привязать на всех раб.станциях принтеры напрямую по ИПам...
если в сетевом окружении нужны например шары, находящиеся на раб.станциях, как вариант их можно подмаунтить как сетевые диски, так же по ИПам...

можно например где-нить, хоть дома, поставить машинку с 2000 или 2003 сервом и сделать ее контроллером домена...сделать удаленку через впн-туннель...соответственно при отрубании света в офисе, раб.станции пойдут на третий КД по впнке...

еще как вариант, при наличии возможности, можно сделать каскад и упсов...

могу конечно ошибаться, но больше вариатов не вижу в данной ситуации...

Dasky
принт сервера нет - и принтеры все подключены к определенным компьютерам

ali1977
все принтеры юсбишные?попробуй привязать принтеры на всех компах по ипам...

Добавлено:
типа новый порт - локал порт - \\ип машины с принтером\имя расшаренного принтера

Dasky
Дело в том, что для того, чтобы распечатать в пределах домена на любой принтер, должна пройти авторизация. И если недоступен ни один контроллер домена, то она естественно не произойдет.
ali1977
Для вас действительно лучше всего перенести/поднять еще один контроллер домена туда, где свет не вырубается.

Leo1000
ali1977

Если в поле безопасности принтера добавить "все", не будет ли всё нормально и все смогут печатать при отключении серверов?

Bumsiq
там уже добавлено "все" но как сказал Leo1000 нужна авторизация - я думал может есть какой обходной маневр
видимо действительно придется еще один кд поднять-не помешает)))

Народ, в чем может быть проблема?
В политиках домена заданно сложность пароля. Все юзеры знают и пользуются уже который год. Вдруг уже второй раз встречаю проблему.
Когда юзер сам самостоятельно хочет менять, то не получается. То есть ctrl+alt+del->смена пароля.
Выдает ошибку, о том что пароль не удовлетворять требованиям GPO. Я сам по все критериям сложности ввел, все равно ошибку выдает. Если я поставлю в свойствах юзера-user must change psw in next logon, то этот пароль принимается во время смены. У меня возникли две подозрения:
1. То ли у меня это функция, т.е. смена пароля самостоятельно у пользователей не работает.
2. У данной функции другая политика что ли, хотя не верится...
как думаете вы?

rkhodjaev

Цитата:

Выдает ошибку, о том что пароль не удовлетворять требованиям GPO

Коль так пишет, смотри результирующую политику. Может другая политика перебивает ту, в которой ты задавал сложности и т.п.

niichavo
Моя политика работает, только в некоторых случаях, а в некоторых нет, то есть когда юзер сам самостоятельно захочет менять, тогда политика не применяется. Как узнать из ваших советов, в данном случае какая политика применяется?

rkhodjaev

Цитата:

Как узнать из ваших советов, в данном случае какая политика применяется?

Я же писал:

Цитата:

смотри результирующую политику

Group Policy Management - Group Policy Results.

niichavo

Цитата:

Group Policy Management - Group Policy Results.

Хм.... я до этого не использовал GPM. Использую обычный Group Policy Editor. Думаете скачать, установить и пользоваться им? Никаких проблем не возник после установки софта? можно потом удалить софт без шрамов в домене?

rkhodjaev

Цитата:

Думаете скачать, установить и пользоваться им?

Да. Весьма удобная штука!

Цитата:

Никаких проблем не возник после установки софта?

Ни разу не слышал, что у кого-нить возникали проблемы. Это-ж обычная консоль.

Цитата:

можно потом удалить софт без шрамов в домене?

Разумеется. Только вот зачем?

У меня в АД есть пользователи заблокированные несколко месяцев назад. Под их учетками никто не заходит. Почему в колонке дата последнего изменения прописана очень свежая дата? Так отображается почти у всех заблокированных учеток. С чем это может быть связано?

хотел сделать бэкап AD, чтоб перенести текущее состояние на запасной сервер.

создал бэкап, средствами win, системного раздела, накатал на другой сервер и получил при запуске:

неполадка помешала windows проверить лицензию
код: 0x80004005

бэкап ессно утащил все ключи реестра и прочий мусор

какие еще варианты, кроме перебить ручками

или пробывать чтоль сразу делать его вторым доменным контроллером текущего сервера..

Всем добрый день! У меня на втором контроллере домена постоянно выходит сообщение...
Автоматическая подача заявки на сертификат Локальная система: не удалось подать заявку на один сертификат Контроллер домена (0x80070005). Отказано в доступе.
Кто нибудь может дать совет что это может обыть и как решить данную проблему?

В групповых политиках нужно отключить запрос сертификатов клиентами у сервера

Доброго дня.
Есть две подсети - 192.168.0.0/24 и 192.168.2.0/24. Есть машинка-роутер с двумя интерфейсами 192.168.0.30 и 192.168.2.10. Есть AD на Win2003 с интерфейсом 192.168.2.1. Задача - машинкам из подсети 0.0/24 нужно входить в домен, все пакеты между подсетями должны ходить только через вышеописанную машинку-роутер. Как можно решить задачу малой кровью? Имхо, в чужой подсети машины AD не найдут? Или я ошибаюсь?

можно ли настроить ад чтобы при введении нового компа к нему автоматом подключался определенный принтер (принтеры)?

ali1977

Цитата:

можно ли настроить ад чтобы при введении нового компа к нему автоматом подключался определенный принтер (принтеры)?

Прям вот сразу-сразу, без перезагрузки после введения в домен?
Вот или через скрипт. Смотри Автоматизация администрирования. Часть 2 там этого море!

Подскажите в чем может быть проблемма
Есть OU внутри него группа безопастности которая должна была бы управлять этим OU но после делигирования прав члены этой группы могут управлять всеми группами и польхователями кроме самих себя и своей группы

Когда пыпаюсь принудительно дать пользователю право на управления своей группой и свой учеткой права даются но потом через время слетают

Подскажите в какую сторону копать уже достала эта проблемма