» Общие вопросы про AD (Active Directory) - часть II

ch1poza

Цитата:

Если я просто при удалении поставлю галку "этот сервер последний контроллер домена" и удалю всё нормально пройдёт?

Если AD работает без ошибок, то все пройдет нормально.

Для начала нужно прогнать утилитами dcdiag и netdiag если ошибок не обнаружишь тогда dcpromo и вперед.

Прошу прощения за "Нубский" вопрос.
Имеется
1. Windows Server 2008R2 - выполняет роль глобального каталога и прочее.
2. Windows Server 2008 - выполняет роль резервного АД
3. Windows Server 2003 - выполняет роль дополнительного резервного АД, т.к. остались еще старые клиенты на 98, и мягко говоря после того как все роли переедут на новые сервера, он будет ...
4. AD в режиме Mixed, 2003
5. У меня установлена Windows 7
Так вот если я обращаюсь по полному имени \\domain.local\, то все хорошо, а если \\domain\ то соответственно ошибка, что такого имени нет.
Вопросики:
1. Как проверить правильно ли работает обращение по NetBios имени домена?
2. Возможно ли вообще с 7 проверить работу NetBios имени домена
3. Является ли это ошибкой, и если да то как исправить?

Подскажет кто в чем может быть проблема.
Права Администратора домена.
В Active Directory в папке Computers пусто, компьютеры не отображаются.
Папка Domain Controllers так же пусто.
Системные контакты по LDAP доступные в Outlook так же нет.
Если дать все права - Администратор предприятия и Администратор схемы то все видно.
Есть идеи?

Windows Server Standart SP2

scrofa
В оснастке АД-пользователи и компы, в меню жми Вид\Дополнительные функции
ПКМ на интересующем тебя контейнере и жмешь Свойства
Закладка Безопасность, посмотри права для группы Администратора домена

lavren
Попробовал - все кроме Полный доступ.
Дал все, ситуация не изменилась.
Гадство.
Но спасибо за совет.

Подскажите плиз случайно удалил подразделение в котором были пользователи. ИХ (пользователей) можно как-то восстановить или нет?

Моя проблема, возможно уже обсуждалась, но повторюсь.
Собственно, задача - создать обязательный групповой перемещаемый профиль для пользователей домена.
Что делаю:
1) Создал общую папку для группового профиля, полный доступ по сети и ntfs для пользователей домена
2) Логинюсь под одной из учеток пользователей на клиентский комп, настраиваю как мне надо - лог офф
3) захожу на тот же самый комп под учеткой администратора домена, свойства компа- дополнительно-профиль пользователей - выбираю учетку залогинившегося юзера и копирую ее на расшаренную на сервере папку, применяю профиль ко всем пользователям домена
4) На сервере выделяю всех пользователей и указываю путь к единому профилю на сервере
5) Меняю расширение ntuser.dat на ntuser.man в папке группового профиля
6) Логинюсь под любой учеткой пользователя на комп - получаю ошибку "Перемещаемый профиль недоступен. Вход будет произведен временным профилем"

Что я делаю не так?

Goodwin86
http://www.oszone.net/3956/Managing_User_Profiles (см. Создание обязательных профилей )

Доброго времени суток!
Имеется проблема, решение которой пока нигде не увидел. Установил новый сервер на Win2003 R2. По новой создал AD и DNS. В результате два пользователя, имеющие самые большие права не могут войти в домен. Пишет, что домен недоступен. В чем может быть причина. Возможно ли перенести AD со старого железа на новое? Заранее спасибо!

hohkn

Цитата:

В чем может быть причина

В DNS

Цитата:

Возможно ли перенести AD со старого железа на новое?

Можно

Более точные ответы после более полной информации.

Leo1000

Цитата:

Более точные ответы после более полной информации.

Какая нужна инфа, дам без проблем?
Стояло старое железо с Win2003 SP2 на английском языке, причем какой-то ущербный, достался от предыдущего админа, которого сейчас найти нереально. Контора взяла новое железо, т.к. старое уже дышит на ладан. В новое железо воткнули Win2003 R2 русскоязычную. На новом железе создали полную копию контроллера и АД руками, т.к. бэкапами не рискнули из-за различия языка и версий. Затем подменили старый сервер на новый. Установили ДНС. С ним похоже что проблемы, понять причину не можем. А вообще, после долгих мучений пришли к выводу что было бы неплохо перенести АД со старого железа на новое, все-таки старое худо-бедно работает, а на новом не хочет.
Других КД в сети нет.

hohkn
Правильно надо так: на новом железе поднять 2003 сервер, ввести его в работающий домен, поднять на нем роль контроллера домена, вывести старый контроллер из домена (или оставить). Так все будет работать.

Leo1000
Большое спасибо за подсказку, но хотелось бы поподробнее, т.к. в этом именно вопросе я немного лоховат, т.к. ранее работал только с рабочими группами в одноранговых сетях, приходится доходить до всего самостоятельно. С контроллерами домена сталкивался редко и по несложным поводам. Всю необходимую информацию предоставлю. К тому же домен достался в наследство готовый, без каких-либо пояснений.
При поднятии роли КД на новом сервере как можно оставить старое имя домена на новом железе, если он будет в домене? Два КД с одним именем ломена быть могут?

hohkn

Цитата:

но хотелось бы поподробнее

вам нужно осуществить перенос контроллера на новое железо
Ссылка

Road Runner J
Большое спасибо, сейчас почитаю. Тоже уже столько всего нашел, голова уже пухнет. Систему на новом серваке уже один раз умудрился убить (правда не до конца). Хорошо, что образину снял, можно изголяться.
Интересно, а если со старого сервака снять образ системы со сброшенными на нули драйверами, а потом на новом серваке ее развернуть, будет работать или нет? Никто не пробовал?

hohkn

Цитата:

Интересно, а если со старого сервака снять образ системы со сброшенными на нули драйверами, а потом на новом серваке ее развернуть, будет работать или нет? Никто не пробовал?

Это не метод если нужен нормальный, рабочий домен.
Можно почитать тут: http://technet.microsoft.com/ru-ru/library/cc781792%28WS.10%29.aspx (вариант без /adv)
Потом тут: http://support.microsoft.com/kb/255504

В принципе, этого достаточно.

Здравствуйте.
Подскажет кто в чем может быть проблема.

Есть контроллер домена на 2008R2, есть резервный контроллер домена на 2008R2.
Сеть достаточно большая, контроллер домена находится в подсети хх, клиенты находятся в подсети уу. В серверной подсетке стоит ProCurve 4204, ядро ProCurve 5406, у пользователей стоит Cisco C3560.
сейчас в домене около 50 клиентов WinXP. все работает нормально.
Собственно проблема.
При вводе в домен клиентских машин в подсетке уу на win7, они не получают групповых политик. В подсетке хх все в порядке.

с помощью wireshark и portmirroring на свиче, обнаружилось, что win7 не получает ответ на запросы dns, хотя ответ с dns уходил(проверялось wireshark).

ну и что меня больше всего убивает, что точно такой же запрос(отличия в номере пакета, исх порту и чексумме) от winxp обрабатывался и возвращался нормально.

Народ, помогите советом:

Есть сервак на 2003 r2, в нем есть домен и настроены пользователи. Есть компы, на каждом из которых пользователь (из AD) и администратор домена.

По началу все было нормально, а сейчас 1 ноут долгое время работал без сети (человек постоянно его в командировки таскает) и после этого при подключении к локальной сети и загрузке компа выдает "Нет доступа к domen.localdomen. Возможно, у вас нет прав на использование этого сетевого ресурса. Обратитесь к администратору этого сервера для получения соответствующих прав доступа.
Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа. " Это сообщение возникает и при логине пользователя и при логине админа. Дальше загрузки нет. Если вынуть провод сети на время загрузки, то все ок - логинится. Потом ставлю провод обратно и нормально и сервак доступен и сеть и нет...

Что сделать, чтоб все нормально работало.


Погуглил - нашел аналогичные вопросы, но ответ не нашел. В этой теме тоже один раз поднимался вопрос, но ответ также не нашел.


П.С. сильно не пинайте, только начинаю осваивать AD

55550000
Входит он без сети по понятным причинам - кэш учёток последних 10юзеров.
Костыльное разовое решение - перевтащить ноут в домен (заново на компе пройти "Идентификацию")

Почему так происходит хз... Тоже бы не отказался услышать адекватное объяснение и вариант решения.

Leo1000

Цитата:

Это не метод если нужен нормальный, рабочий домен.
Можно почитать тут: http://technet.microsoft.com/ru-ru/library/cc781792%28WS.10%29.aspx (вариант без /adv)
Потом тут: http://support.microsoft.com/kb/255504

А таким образом DNS перебросится, или его нужно ручками перепрописывать?

Alukardd
Ок, в понедельник буду пробовать

hohkn

Цитата:

А таким образом DNS перебросится, или его нужно ручками перепрописывать?

В домене - автоматом


Добавлено:
55550000

Цитата:

Что сделать, чтоб все нормально работало.

Alukardd

Цитата:

Почему так происходит хз... Тоже бы не отказался услышать адекватное объяснение и вариант решения.

Тут и объяснение и решение:
http://support.microsoft.com/?kbid=216393

Leo1000
Цитата:

http://support.microsoft.com/?kbid=216393

спасибо за ссылку.
У меня в голове крутились мысли подобные...
Получается, что если машина не соединялась с КД больше 30дней, то доверительные отношения таковыми больше не считаются?..
Но вот то, что мне не понятно, около 40работников уходили в отпуск одновременно, и только у одного пропали доверительные отношения... Единственное чем я могу это хоть как-то объяснить, это что период равен не 30дням а где-то 60, а тот работник превысил и его...

Я правильно понял статью? И самое простое и грамотное решение это netdom reset компьютер /domain:домен?

Alukardd

Цитата:

период равен не 30дням а где-то 60, а тот работник превысил и его...

Может быть, т.к. 30 - это по дефолту/

Цитата:

И самое простое и грамотное решение это netdom reset компьютер /domain:домен?

Судя по всему, да.

Leo1000
Щас проверил что стоит в политиках безопасности. У меня значение не задано, а по умолчанию написанно что 30 дней - так что я хз как объяснить данный феномен только с 1 машиной.

Alukardd

Цитата:

Щас проверил что стоит в политиках безопасности. У меня значение не задано, а по умолчанию написанно что 30 дней - так что я хз как объяснить данный феномен только с 1 машиной.

Пути майкрософта неисповедимы. Возможно, зависит от sp. Возможно, для vista, 7 дефолт другой. Может, были подключения к домену в этот период (например, по vpn).

Leo1000
Цитата:

Пути майкрософта неисповедимы

Все Ваши предположения не верны)))
Но многие вещи действительно понять тяжело.

Не совсем по теме, но мб еще видели описание причины исчезновения сетевых дисков из "Мой компьютер"? Т.е. реально они подключены и если попытаться сделать это повторно (запустить vbs, который подключает), то скажет что такой уже имеется и отобразит его. Диски могут висеть целый рабочий день, а иногда исчезают и их не видно, если создать ярлык на объект внутри диска (папку/файл), то даже при исчезнувшем диске, по ярлыку зайти можно (после такого захода диск вновь отобразится).
Неокторое время назад я уже поднимал данный вопрос на форуме но ответа так и не нашёл.

Leo1000

Цитата:

В домене - автоматом

Спасибо, завтра будем пробовать, третий ящик уже нашли, чтобы включить в схему.

Leo1000

Цитата:

В домене - автоматом


Спасибо, завтра будем пробовать, третий ящик уже нашли, чтобы включить в схему.

Все-равно получается геморрой. Ввели дополнительный контроллер домена, установили DNS, затем все прописали руками (роли и хозяев). При понижении бывшего основного контроллера домена командой dcpromo проходит ошибка, жалуется на FSMO, отказывается удалять контроллер AD. Как-то эта проблема решается?