» Общие вопросы про AD (Active Directory) - часть II

Добрый день.
Есть домен 2008 R2
Поднимаю DC-TEST, который будет использоваться для тестирования.
Нужно сделать одностороннюю репликацию на этот DC-TEST с главного DC.
Казалось бы RODC - бери да пользуюйся, но суть вот в чем:
в процессе тестирования производится модификация AD, добавляются объекты, удаляются, изменяются. Нужно чтобы эти изменения фиксировались на DC-TEST, но не реплицировались на DC.

Но в любое время хочется реплицировать актуальные данные с DC на DC-TEST.
Как быть?

klimusu

Если основной DC на 2008 винде, то на доп. DC-TEST подними DC в режиме только чтение и всё. А так VMware и иже с ними тебе в помощь.

anton04
Я же написал что RODC мне не подходит, т.к. я как раз хочу писать на DC-TEST.
C виртуальными машинами какой-то неправильный выход.

klimusu, ну так и пиши на свой DC-TEST, кто тебя за руки держит. Тебе же anton04 посоветовал перевести на RODC основной DC, а не DC-TEST.

Или перечитай себя внимательно:


Цитата:

Нужно чтобы эти изменения фиксировались на DC-TEST, но не реплицировались на DC.
Но в любое время хочется реплицировать актуальные данные с DC на DC-TEST.
RODC мне не подходит, т.к. я как раз хочу писать на DC-TEST.

С сервера RODC(ex-DC) никто тебе не помешает сделать репликацию на DC-TEST, если последний завалится.

klimusu


Цитата:

C виртуальными машинами какой-то неправильный выход.

А чего сдесь неправильного!? Если идёт тестирование то или выделяется отдельная подсеть с компами или всё это делается на виртуалке. Тестировать всё на основе реальной сети это, я бы так высказался помягче, неправильно.

sarti
DC - это продуктивный сервер, на котором работает домен, его нельзя делать RODC
DC-TEST - это сервер, на котором тестируется ПО для домена, которое может попортить роботу домена.

anton04
вот и хочется тестировать не на продуктивном DC, а на дополнительном.
вотпрос с поднятием еще одного тестового домена, будет иметь места, если не найдется способа запретить репликацию с DC-TEST на DC

Цитата:

DC-TEST - это сервер, на котором тестируется ПО для домена, которое может попортить роботу домена.

klimusu, мой тебе совет: не хочешь какать - не мучай попу ты либо вводишь DC-TEST как полноценную единицу в AD со всеми вытекающими (т.е. бэкапишься и готовишься к потенциальным - а они у тебя при таких опытах обязательно будут - проблемам), либо (что для тебя и есть тот самый единственный выход) поднимаешь с нуля тестовый AD.

Если ты не собираешься свои изменения реплицировать на DC, то, по сути, твои опыты не будут отражаться на реальной работе AD, тогда напрашивается вопрос: в чём смысл таких холостых однобоких тестов? Хочешь нормальных тестов - изволь работать в штатном режиме. Не хочешь вносить изменения в действующую AD - поднимай другую AD, и в новой среде занимайся своими опытами. Теперь доходчиво?

Цитата:

поднимаешь с нуля тестовый AD

Можно сделать бэкап рабочего AD и восстановить его в виртуальной среде.

поставил определенной группе безопасности права на папку
но с двух компьютеров зайти в папку немогу
хотя под этими же учетками с других компьютеров все нормально получается
где что проверить у компа ?
(у проблемных компов время от КД отличается меньше чем на минуту)

в доменной сети в политиках настроет батник для синхронизации времени
но при разнице более 10 ил 15 минут между контроллером и компьютером она не проходит
где надо что подправить?

Цитата:

в доменной сети в политиках настроет батник для синхронизации времени
но при разнице более 10 ил 15 минут между контроллером и компьютером она не проходит
где надо что подправить?

а зачем такой батник нужен, в домене компьютер и так время с контроллером синхронизирует

Valery12
по умолчанию в политиках стоит какой то интеревал и при определенной разнице времени - время не синхронизирутся
батник стоял для принудительной синхронизации но что то не всегда помогает

Цитата:

политиках стоит какой то интеревал и при определенной разнице времени - время не синхронизирутся

не уверен помню там стоит время жизни билета керберос, да если разница во времени будет больше то защищенный канал установлен не будет, но время с КД он все равно должен получить и синхронизироваться а после этого уже и канал установит. Может я конечно ошибаюсь но ни разу не приходилось делать принудительную синхронизацию, наоборот программеры жалуются - поменяют себе время для тестирования - смотрят оно опять правильное.

Valery12
у меня тоже в сети у кого есть админские права не жалуются на проблемы
проблема у клиентов у которых нет прав на изменение времени

есть два домен контроллера
у обоих в настройках сетевой первичный днс стоит свой адрес (набортной сетевухи)
при отключении света они очень долго грузятся - до 20 минут
может можно подправить настройки а то кажется что они ждут появления в сети друг друга и тока потом не дождавшись начинают грузиться

ali1977
Операционная система на контроллерах какая? Проблема "островов" (насколько я знаю) актуальна лишь для Windows 2000. А в журналах никаких ошибок нет?

Mushroomer есть немного)))-опреционка 2003 sp2
когда то пытался настроить DFS - но потом отменил эту политику

Тип события:    Предупреждение
Источник события:    MSDTC
Категория события:    SVC
Код события:    53258
Дата:        25.01.2010
Время:        16:32:43
Пользователь:        Н/Д
Компьютер:    DELL1
Описание:
MS DTC не удалось правильно обработать событие повышения или понижения уровня контроллера домена. MS DTC продолжит работу и будет использовать текущие настройки безопасности. Сведения об ошибке: %1

Тип события:    Ошибка
Источник события:    MSSQLSERVER
Категория события:    (2)
Код события:    17052
Дата:        25.01.2010
Время:        16:32:46
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:    DELL1
Описание:
Error: 615, Severity: 21, State: 1
Could not find database table ID 2, name 'tempdb'.

Тип события:    Ошибка
Источник события:    WinRM
Категория события:    Отсутствует
Код события:    10101
Дата:        25.01.2010
Время:        16:32:46
Пользователь:        Н/Д
Компьютер:    DELL1
Описание:
Служба WS-Management не слушает HTTPS-запросы, поскольку ей не удалось выполнить прослушивание по крайней мере по одному адресу или в одном порту. Проверьте настройку службы.

Тип события:    Предупреждение
Источник события:    SRMSVC
Категория события:    Отсутствует
Код события:    12317
Дата:        25.01.2010
Время:        16:33:01
Пользователь:        Н/Д
Компьютер:    DELL1
Описание:
Диспетчеру ресурсов файлового сервера не удалось перечислить общие пути доступа или пути DFS. Сопоставления локальных путей путям к общим ресурсам и путям DFS могут быть незавершенными или временно недоступными. Диспетчер ресурсов файлового сервера повторит операцию позже.

Подробные сведения об ошибке:
Ошибка: (0x8007054b) Указанный домен не существует или к нему невозможно подключиться.

Тип события:    Ошибка
Источник события:    SRMSVC
Категория события:    Отсутствует
Код события:    8197
Дата:        25.01.2010
Время:        16:33:02
Пользователь:        Н/Д
Компьютер:    DELL1
Описание:
Ошибка службы диспетчера ресурсов файлового сервера: непредвиденная ошибка.

Операция:
Идет запуск службы диспетчера ресурсов файлового сервера.

Подробные сведения об ошибке:
Ошибка: IWbemDecoupledRegistrar::Register, 0x80041011


Тип события:    Предупреждение
Источник события:    SRMSVC
Категория события:    Отсутствует
Код события:    8194
Дата:        25.01.2010
Время:        16:33:02
Пользователь:        Н/Д
Компьютер:    DELL1
Описание:
Сбой диспетчера ресурсов файлового сервера при инициализиции компонента поставщика событий WMI. . Таким образом, во время обработки квот и уведомлений о блокировке события WMI не посылаются. Чтобы получить события WMI, необходимо проверить состояние службы WMI и журналов событий WMI, исправить ошибки WMI и снова запустить службу диспетчера ресурсов файлового сервера.

Операция:
Идет запуск службы диспетчера ресурсов файлового сервера.

Подробные сведения об ошибке:
Ошибка: (0x80045316) Служба диспетчера ресурсов файлового сервера обнаружила непредвиденную ошибку.
Дополнительные сведения см. в журнале приложения.


Тип события:    Ошибка
Источник события:    LoadPerf
Категория события:    Отсутствует
Код события:    3012
Дата:        25.01.2010
Время:        16:36:45
Пользователь:        Н/Д
Компьютер:    DELL1
Описание:
Значения параметров производительности в реестре были повреждены, когда выполнялась обработка Performance поставщика расширенных счетчиков производительности. Значение параметра 'BaseIndex' из раздела 'Performance' находится в первом DWORD секции данных. 'LastCounter' во втором DWORD, а значение 'LastHelp' в третьем DWORD секции данных.


Тип события:    Ошибка
Источник события:    LoadPerf
Категория события:    Отсутствует
Код события:    3011
Дата:        25.01.2010
Время:        16:36:45
Пользователь:        Н/Д
Компьютер:    DELL1
Описание:
Ошибка выгрузки строк счетчика производительности для службы WmiApRpl (WmiApRpl). Код ошибки находится в первом DWORD секции данных.

ali1977
Цитата:

когда то пытался настроить DFS - но потом отменил эту политику

Возможно в этом все и дело. Надо разбирать каждую ошибку в отдельности. На предупреждение можно пока внимания имхо не обращать. На обоих контроллерах домена одинаковые ошибки?

Mushroomer
вот такое выскакиает на добавочном контроллере
при команде
ntfrsutl ds

NTFRS CONFIGURATION IN THE DS
SUBSTITUTE DCINFO FOR DC
FRS DomainControllerName: (null)
Computer Name : ML350G4
Computer DNS Name : ml350g4.sen.ll

BINDING TO THE DS:
ldap_connect : ml350g4.sen.ll
DsBind : ml350g4.sen.ll

NAMING CONTEXTS:
SitesDn : CN=Sites,cn=configuration,dc=sen,dc=ll
ServicesDn : CN=Services,cn=configuration,dc=sen,dc=ll
DefaultNcDn: DC=sen,DC=ll
ComputersDn: CN=Computers,DC=sen,DC=ll
DomainCtlDn: OU=Domain Controllers,DC=sen,DC=ll
Fqdn : CN=ML350G4,OU=Domain Controllers,DC=sen,DC=ll
Searching : Fqdn

COMPUTER: ML350G4
DN : cn=ml350g4,ou=domain controllers,dc=sen,dc=ll
Guid : 37289d94-17d0-469c-8783a0b2bdb7d637
UAC : 0x00082000
Server BL : CN=ML350G4,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Conf
iguration,DC=sen,DC=ll
Settings : cn=ntds settings,cn=ml350g4,cn=servers,cn=default-first-site-name
,cn=sites,cn=configuration,dc=sen,dc=ll
DNS Name : ml350g4.sen.ll
WhenCreated : 11/17/2008 10:43:43 [-180]
WhenChanged : 1/19/2010 17:58:15 [-180]

SUBSCRIPTION: NTFRS SUBSCRIPTIONS
DN : cn=ntfrs subscriptions,cn=ml350g4,ou=domain controllers,dc=sen,dc=l
l
Guid : ae2d9446-af35-4f1c-87c2dfb2c7b30b7c
Working : c:\windows\ntfrs
Actual Working: c:\windows\ntfrs
WhenCreated : 11/17/2008 10:55:30 [-180]
WhenChanged : 11/17/2008 10:55:30 [-180]

SUBSCRIBER: DOMAIN SYSTEM VOLUME (SYSVOL SHARE)
DN : cn=domain system volume (sysvol share),cn=ntfrs subscriptions,cn
=ml350g4,ou=domain controllers,dc=sen,dc=ll
Guid : 52f693d7-709b-451e-b7e3f33f73dac8f6
Member Ref: CN=ML350G4,CN=Domain System Volume (SYSVOL share),CN=File R
eplication Service,CN=System,DC=sen,DC=ll
Root : c:\windows\sysvol\domain
Stage : c:\windows\sysvol\staging\domain
WhenCreated : 11/17/2008 10:55:30 [-180]
WhenChanged : 11/17/2008 10:55:30 [-180]
Subscriber Member Back Links:
cn=ml350g4,cn=domain system volume (sysvol share),cn=file replication serv
ice,cn=system,dc=sen,dc=ll

SETTINGS: FILE REPLICATION SERVICE
DN : cn=file replication service,cn=system,dc=sen,dc=ll
Guid : 4ba9f0c1-442a-4b11-a870c96c53a14f3f
WhenCreated : 2/15/2008 14:47:31 [-180]
WhenChanged : 11/17/2008 10:44:52 [-180]

SET: DOMAIN SYSTEM VOLUME (SYSVOL SHARE)
DN : cn=domain system volume (sysvol share),cn=file replication service,
cn=system,dc=sen,dc=ll
Guid : c7e65de7-7242-4871-8ed777dea040e802
Type : 2
Primary Member: CN=DELL1,CN=Domain System Volume (SYSVOL share),CN=File Re
plication Service,CN=System,DC=sen,DC=ll
File Filter : *.tmp, *.bak, ~*
Dir Filter : (null)
FRS Flags : (null)
WhenCreated : 2/15/2008 15:12:30 [-180]
WhenChanged : 1/12/2009 10:52:24 [-180]

MEMBER: DELL1
DN : cn=dell1,cn=domain system volume (sysvol share),cn=file replicat
ion service,cn=system,dc=sen,dc=ll
Guid : 4defdf1b-4584-49cd-a57dc53111b6b9ec
Server Ref : CN=NTDS Settings,CN=DELL1,CN=Servers,CN=Default-First-
Site-Name,CN=Sites,CN=Configuration,DC=sen,DC=ll
Computer Ref : cn=dell1,ou=domain controllers,dc=sen,dc=ll
Cracked Domain : sen.ll
Cracked Name : 00000002 SEN\DELL1$
Cracked Domain : sen.ll
Cracked Name : fffffff4 S-1-5-21-3280464803-2195656540-116416532-1003

Computer's DNS : dell1.sen.ll
WhenCreated : 2/15/2008 15:12:30 [-180]
WhenChanged : 11/17/2008 10:46:57 [-180]

CXTION: 30A71B32-9F4E-4EA2-AD92-AB6B4A688D65
DN : cn=30a71b32-9f4e-4ea2-ad92-ab6b4a688d65,cn=ntds settings,cn=d
ell1,cn=servers,cn=default-first-site-name,cn=sites,cn=configuration,dc=sen,dc=l
l
Guid : cb43e539-a916-4133-9919a6cb2d757d61
Partner Dn : cn=ntds settings,cn=ml350g4,cn=servers,cn=default-fir
st-site-name,cn=sites,cn=configuration,dc=sen,dc=ll
Partner Rdn : NTDS SETTINGS
Enabled : TRUE
WhenCreated : 11/17/2008 10:56:6 [-180]
WhenChanged : 1/25/2010 8:58:12 [-180]
Options : 0x00000000 [<Flags Clear>]
Schedule
Day 1: 000000000000000000000000
Day 2: 000001111111111110000000
Day 3: 000001111111111110000000
Day 4: 000001111111111110000000
Day 5: 000001111111111110000000
Day 6: 000001111111111110000000
Day 7: 000000000000000000000000

MEMBER: ML350G4
DN : cn=ml350g4,cn=domain system volume (sysvol share),cn=file replic
ation service,cn=system,dc=sen,dc=ll
Guid : 96610f12-0de0-48f5-b8a933b63f3f4b0a
Server Ref : CN=NTDS Settings,CN=ML350G4,CN=Servers,CN=Default-Firs
t-Site-Name,CN=Sites,CN=Configuration,DC=sen,DC=ll
Computer Ref : cn=ml350g4,ou=domain controllers,dc=sen,dc=ll
Cracked Domain : sen.ll
Cracked Name : 00000002 SEN\ML350G4$
Cracked Domain : sen.ll
Cracked Name : fffffff4 S-1-5-21-3280464803-2195656540-116416532-1315

Computer's DNS : ml350g4.sen.ll
WhenCreated : 11/17/2008 10:55:30 [-180]
WhenChanged : 11/17/2008 10:55:30 [-180]

CXTION: AA14DF52-7495-423E-BDD0-B88CCD4B761C
DN : cn=aa14df52-7495-423e-bdd0-b88ccd4b761c,cn=ntds settings,cn=m
l350g4,cn=servers,cn=default-first-site-name,cn=sites,cn=configuration,dc=sen,dc
=ll
Guid : 36c04b03-31b5-4517-a0b60f9cd0c007a3
Partner Dn : cn=ntds settings,cn=dell1,cn=servers,cn=default-first
-site-name,cn=sites,cn=configuration,dc=sen,dc=ll
Partner Rdn : NTDS SETTINGS
Enabled : TRUE
WhenCreated : 11/17/2008 10:55:7 [-180]
WhenChanged : 1/25/2010 17:4:9 [-180]
Options : 0x00000000 [<Flags Clear>]
Schedule
Day 1: 000000000000000000000000
Day 2: 000001111111111110000000
Day 3: 000001111111111110000000
Day 4: 000001111111111110000000
Day 5: 000001111111111110000000
Day 6: 000001111111111110000000
Day 7: 000000000000000000000000

MEMBER: RUSLAN77
DN : cn=ruslan77,cn=domain system volume (sysvol share),cn=file repli
cation service,cn=system,dc=sen,dc=ll
Guid : 42702f7b-be09-448e-a30ba12f6c577add
Server Ref : (null)
Computer Ref : (null)
WhenCreated : 5/13/2008 19:35:38 [-180]
WhenChanged : 11/17/2008 10:46:57 [-180]
WARN - RUSLAN77 lacks a settings reference

C:\Documents and Settings\ralibegov>

ali1977
Оформляй длинные сообщения с использованием тега more.
Я говорил об ошибках в журналах на втором контроллере. В том, что ты привел, я, к сожалению, не разбираюсь.
Повторюсь, имхо контроллеры домена должны функционировать без ошибок. Ну или без ошибок, природа которых неизвестна.

Если сервер (Win 2K3) ввести в домен, будет ли он авторизовать пользователей, не входящих в домен, используя свои внутренние учетки?

haltavmc
Если не несет роли контроллера домена, то да.

здравствуйте всем! вопрос в следующем.Есть первый КД на Win Server 2003,приобретён ещё один сервер.Устанавливаю на него Win Server 2008,хочу сделать доп.контроллер домена.На первом КД провела adprep/forestprep.Прошло успешно.А adprep/domainprep не запускается.В чём могут быть проблемы? И не менее главное - обновились на 32-битной ОС с 64-битного диска.Камни не кидайте,ежедневно не обновляю сервера и не устанавливаю.Что-то можно сделать в этой ситуации? или уже очень поздно? спасибо

Добавлено:
в догонку - посмотрела лог и вот что в нём:

Программа Adprep создала файл журнала ADPrep.log в каталоге C:\WINDOWS\debug\adprep\logs\20100129153315.



Программа Adprep скопировала файл \\Asu\CDROM (E)\sources\adprep\schema.ini из папки установки на локальный компьютер в каталог C:\WINDOWS.



Программа Adprep скопировала файл \\Asu\CDROM (E)\sources\adprep\schupgrade.cat из папки установки на локальный компьютер в каталог C:\WINDOWS\system32.



Программа Adprep скопировала файл \\Asu\CDROM (E)\sources\adprep\PAS.ldf из папки установки на локальный компьютер в каталог C:\WINDOWS\system32.



Программа Adprep успешно установила подключение LDAP к локальному контроллеру домена Active Directory SERVER.



Программа Adprep пыталась вызвать следующую API-функцию LDAP. ldap_search_s(). Базовый элемент для начала поиска: (null).



API-функция LDAP ldap_search_s() завершена, код возврата 0x0



Программа Adprep успешно получила данные из локальных доменных служб Active Directory.



Программа Adprep успешно инициализировала глобальные переменные.

[Состояние/результат]

Выполнение Adprep продолжается.



Программа Adprep обнаружила, что режим работы домена не является основным

[Состояние/результат]

Выполнение Adprep остановлено без внесения изменений.

[Действия пользователя]

Настройте домен на запуск в основном режиме и повторно выполните domainprep


т.е.нужно менять режим работы домена? подскажите,плиз,как это делается?

всем спасибо всё сделала сама

Меняю пароль для пользователя, а ему удаётся попасть под старым на компьютер, хотя выскакивает сообщение в треи про учётную запись.
Как не пускать его сразу?

можно ли настроить комп локальному админу чтобы он не мог расшаривать папки у себя на компьютере?
если да то как это провернуть?

известно что указав в локальной политике свойство "отказ к доступу компьютера из сети" на него уже не зайти из сети
а где меняется этот параметр в реестре кто знает?

задал в политике OU разрешения на определенную ветку реестра
теперь хочу отменить
в политике поменял разрешения на ту же ветку но на клиентских компах ничего не меняется
принудительно обновлял и с контроллера и с клиентов, перегружал систему = не помогает
время обновления политики у клиентов стоит по умолчанию - прошло более суток

У меня 3 контроллера домена. Один из них перестал раплицироваться с другими. Решил ему понизить роль и вывести из домена. Проблема в том, что при удалении роли AD выходит ошибка "Для этой операции репликации указано недопустимое различающееся имя"
Как ему корректно понизить роль?

посмотри здесь
http://www.petri.co.il/delete_failed_dcs_from_ad.htm