» Общие вопросы про AD (Active Directory) - часть II

Добрый день.
Прошу помощи, очень надо.
Хотел перейти с 2003 на 2008.
На 2003 выполнил и foresprep, rodcprep всё было нормально.
Потом запустил dcdiag и выскочила ошибка
"Контроллеры домена предприятия" не имеют прав на
CN=Schema,CN=Configuration,DC=domain,DC=local

Попытался добавить права через adsiedit после чего при вызовес свойств выскакивает ошибка "Был передан недопустимый путь службы каталогов"
Аплет "Пользователи и компьютеры" тоже не работает так как не может найти домена.

Помогите пожалуйста. Заранее спасибо

mikaphaeton
на techdays вроде есть видео по переходу с 2003 на 2008

Только что выяснилось, после долгих мучений по подготовке Windows Server 2003 R2 EE SP2 En, что ADPREP32 из дистрибутива Windows Server 2008 R2 EE RU не отрабатывает корректно, хотя не показывает никаких ошибок.
Проблема проявляется при попытке через DCPROMO добавить новый ДК в существующий лес в виде окна, в котором говорится, что надо провести /forestprep и /domainprep в время, когда эти процедуры проведены (напоминаю, что с помощью версии adprep32 из русского дистрибутива WinServ2008R2EE).
Проведении подготовки 2003 сервера с помощью ADPREP32 из английского дистрибутива WinServ2008R2 проходит тоже успешно и только после нее получается на новом сервере пройти процедуру добавления нового ДК в существующий домен существующего леса.
В общем имейте в виду, люди добрые.
Заметил эти косяки у других нерусскоязычных пользователей как нерешенные, а потому решил тут запостить, может понадобится кому.
Удачи.

да там по идее и видео не надо.
Но меня уже и не переход интерисует, а как устранить мою ошибку
Сейчас у меня не групповые политики не работают ни оснастка пользователи и компьютеры

Извиняюсь, если ошибся темой, но вроде сюда.
Непонятная вещь происходит на моём 2003 сервере. Предположим есть папка, расшариваю, выставляю все права доступа, а не пускает и всё. Крутишься, вертишься, бросаешь как есть. Проходит часа 2, само всё работает.
Может кто знает где подкрутить ибо это явно что-то с настройками на сервере. Просто стал сегодня настраивать ISS и не пускает на сервер тоже из-за прав, вот думаю, что всё та же проблема, а каждый раз выжидать 2 часа, как-то долго.

Подскажите пожалуйста.
Требуется настройками AD, задать классическую тему оформления Windows. Где в GPO это можно сделать?
AD 2008.

SurinMax
А какие клиенты? Если XP, то можно просто политиками остановить службу Themes.

Leo1000
Присутствуют клиенты как и на XP так и 2000.
Желательно не службу останавливаться, а все таки тему оформления в классическую установить.

SurinMax

Цитата:

Желательно не службу останавливаться, а все таки тему оформления в классическую установить.

Хм, а чем это обусловлено?

Цитата:

Присутствуют клиенты как и на XP так и 2000.

На 2000 службы нет и ничего не измениться, а XP станет выглядеть как 2000.

Leo1000

Цитата:

Хм, а чем это обусловлено?

Начальством

Все, нашел где это делается. В настройках пользователя, компоненты винды, настройки проводника.

SurinMax

Цитата:

Все, нашел где это делается. В настройках пользователя, компоненты винды, настройки проводника.

"Конфигурация пользователя\Административные шаблоны\Проводник\Использовать
классический стиль оболочки" имеется в виду? Но это не только темы, это весь интерфейс на уровне NT 4.0/Win 9x.

Цитата:

"Конфигурация пользователя\Административные шаблоны\Проводник\Использовать
классический стиль оболочки" имеется в виду? Но это не только темы, это весь интерфейс на уровне NT 4.0/Win 9x.

Так и надо.
А вот еще один вопрос. Свойствах системы, вкладка Дополнительно, быстродействие. Там имеется ряд переключателей. Каким параметром в AD, можно установить переключатель на "обеспечить наилучшее быстродействие" ?

Кто-нибудь сталкивался с таким:

В АД порядка 1000 пользователей, есть задание вбить информацию в Exchange Advanced --> Custom Atributte --> и, к примеру задать значение десятому атрибуту (Значения все разные). Реально ли это дело автоматизировать или все придеться вбивать ручками? Список с необходимыми данными, разумеется есть. Exchange 2003.

Помогите правильно спроектировать AD в организации.

Исходные данные:
1. головное + несколько филиалов в разных городах
2. наличие своего web-сайта со своим хостингом на базе Linux, пусть будет "site.com"
3. старая схема - использование рабочих групп
4. необходимо развернуть всё на MS Windows Server 2008
5. почту - на Exchange 2007
6. число пользователей около 300 "на базе" и человек по 30 в филиалах
7. все удалённые филиалы объединены вместе с базой в локальную сеть через VPN (подсеть на район) - связь между районами от 128 до 512 Кбит (в будущем планируется до мегабита поднять везде)
8. используется различный софт через терминал (не только 1С, но и спец.самописный) - на базе сервер, все по RDP к нему

Не поднимал AD на практике, поэтому, возможно, вопросы "начального уровня"
1. Стоит разделять на поддомены все удалённые районы по типу:
gorod1.site.com
gorod2.site.com
2. Стоит ли называть домен как оф.сайт?

Или просто посоветуйте какую схему взять.

Можно простой общий вопрос:
Как по быстрому и очень просто понять что два и более контроллера полностью реплицировались,
может с помощью REPADMIN или REPLMON, но в том то и вопрос, какие данные нужно подчерпнуть из их вывода, может по волшебным номеркам обновления, предела и вектора, а то вот стало нужно, а как не догоню?

Кто-нибудь видел аналог этой статьи, но без черных квадратов, а с нормальными изображениями. Настройка днс если и затрагивается на других ресурсах, то либо win2k, либо отдельно.
Я сколько по ним не настраивал систему, клиенты не видят dns сервера.
И в инете либо статья про визард, повторенная сотню раз на разных сайтах, либо один академизм, аля учим английский по методу - сначала все 50 000 слов и лишь потом грамматику.
хотя, вряд ли кто подскажет. как обычно, все уже очень "далеко"..

dariusii

а что сложного там? клиенты не видеть сервер dns могут по разным причинам

ipconfig /all с клиента который не видит сервер и с самого сервера

Привет, Всем!
подскажите как можно в АД определить кто является сервер лицензий?
как можно проверить роли в АД?
заранее благодарен

emfs

вообще-то nslookup. что я увижу по ipconfig. ip адреса и адреса шлюзов.

документацию бы найти.
в инете ее полно, но она резко разделена на две части. либо это тупая инструкция по созданию dc под 2003, либо такой академизм, что хоть стой хоть падай. статьи, где уже все начинается не с азов, а откуда-то с середины. кусками. идут теории и как их связать воедино - непонятно.

Я не нашел ни одной статьи, где бы человек создал проект самый простой сервер<>клиент. как он это делал.
как будто это такой гимор, что его все обходят и каждый решает своими трюками его.

Ладно. пойду покупать книги что бы настроить один dns сервер.. в vm

делал по инструкции http://vvova.07x.net/index.php?fn=setad.htm

только я не понял про сетевые настройки. сетевые настройки чего. внешнего интерфейса. внутреннего..

или под windows под каждый сервис нужен компьютер?

ну к примеру сеть из 5 компьютеров.

dariusii

по ipconfig ты увидишь и указанные DNS-сервера у клиента
Если клиенты получают по DHCP, то смотри что какой DNS им выдаётся.

А ту инструкцию можешь выкинуть.

клиенты статикой и dhcp не поднят. хватает вопросов и без dhcp.


Цитата:

А ту инструкцию можешь выкинуть.

выкинул. нашел идентичную.

схема-то первейших действия какая никакая нужна же. не сидеть же талмуд читать. я пока его начну читать - сыпаться начну.

стержень действий нужен, на который я начну навинчивать знания из лиетратур разных.

[more]The DNS server encountered error 32 attempting to load zone test.local from Active Directory. The DNS server will attempt to load this zone again on the next timeout cycle. This can be caused by high Active Directory load and may be a transient condition.
[/more]

dns сервер настраивался путем установки dc. в сами настройки dns сервера не ходил.

лишь прописал имя test.local, когда визард перевода в dc попросил.

То есть, самый простой путь. Без доп. настроек.

dariusii

ipconfig /all будет или нет с клиентов и сервера?

День добрый.

В домене больше 100 ПК. Столкнулся с необходимостью создания учетной записи с правами локального администратора на всех машинах. Но так, чтобы данная учетка не была администратором домена. Такое возможно?

Спасибо.

то же интересно, сейчас просто вручную на машинах добовляю в в группу администраторов (локальных) пользователей домена...

а можно ли это политиками сделать? что бы пользы домена были админами у себя на компах?

terence
jstsrrw

А почему бы не скриптом создать/добавить пользователя через GP?

Проблема в том, что нужна 1 учетка на весь домен (пришел к юзеру, установил софт под ней и т.д.) Но если создаешь администратора в АД, он становится администратором домена, а нужны только права админские на тачки. Другими словами ОДИН БОЛЬШОЙ ЛОКАЛЬНЫЙ АДМИН )

jstsrrw
Тебе нужно использовать Restricted Groups в групповых политиках, добавляешь туда пользователя домена и указываешь что на машинах он будет в группе администраторы.

у меня win2008r2, видимо в ней Restricted Groups называются Группы с ограниченным доступом,

и как дальше?

Блин, а я вот делал это. Только это было с год назад, уже и запамятовал как. Точно без Restricted Groups и всяких там скриптов. Помню, что зашёл с тачки на сервак по удалёнке и так из консоли добавил пользователя в группу SuperUser, но поскольку в домене такой группы не бывает, на серваке кажись подключился к консоли того компа или чё-то в этом роде. Ну не помню, а возможности сейчас попробовать нет. Скажу лишь точно, что это возможно.

terence
Вот тут Ссылка вроде как для 2008 сервера расписано, гляньте. Как сделать без Restricted Groups я в свое время не нашел!