» Общие вопросы про AD (Active Directory) - часть II

Кому нибудь приходилось объединять разные домены в один?

Из-за отсутствия планирования (мой косяк), имею три домена.
!)Сейчас нужна более управляемая схема, поскольку появятся дополнительные удаленные филиалы. !)Интернет в филиалах тормозной.

Хочу один домен. АД в филиалах РидОнли - если возможно. Предусмотреть отсутствие интернета день-два-три.
Что посоветуете?

Досталась мне на новой работе сетка. 1 сервер WS2008R2: DC (уровень 2008R2), DNS, DHCP, MS Exchange 2010, 1C, SQL и сервер терминалов. Еще и внутреннее имя домена (somedomain.ru) соответствует внешнему доменному имени (somedomain.ru), припаркованному у хостера веб-сайта.
Сначала была идея поднять на отдельном железе новый домен в новом лесу, с помощью ADMT перетащить всех в новый домен, но я не нашел никаких видимых причин для миграции. Сайт компании изнутри открывается через www.somedomain.ru.

Чуть позже мной были подняты на двух физических серверах 2 DC в том же домене, перенесены роли хозяина операций на один из новых DC. Теперь хочу понизить роль DC на сервере с Exchange. Возможны ли какие-либо проблемы с Exchange'ем в результате удаления роли DC с сервера?

Yaromaxx

Цитата:

в конечном итоге восстановлено состояние системы 4-х дневной давности с сервера резервного копирования

Я правильно понял что восстановлен именно сервер с AD? Если да, то каким способом это восстановление было произведено?

varbasik

Цитата:

Хочу один домен.

если это обязательное условие - admt в руки, чтение доков по нему, тестирование и в бой.
инструмент рабочий


Цитата:

АД в филиалах РидОнли - если возможно

Цитата:

Предусмотреть отсутствие интернета день-два-три.

нужно будет либо на rodc настроить password replication policy на кеширование паролей (что не есть хорошо - частично теряется смысл концепции rodc), либо на машинках пользователей настраивать кеширование паролей (по идее включено по-умолчанию на клиентских ОС от мс, если настройки не изменялись).

Marku5

Цитата:

Теперь хочу понизить роль DC на сервере с Exchange. Возможны ли какие-либо проблемы с

http://technet.microsoft.com/en-us/library/aa996719.aspx

Цитата:

you can't run DCPromo on a computer running Exchange 2010. After Exchange 2010 is installed, changing its role from a member server to a directory server, or vice versa, isn't supported.

да и банальная логика говорит что проблемы могут возникнуть, dcpromo ведь чего только не правит во время своей работы

в интернете пару раз встречал отзывы о том что в похожей конфигурации dc сносится без проблем (правда, насколько я помню, про 2007 exchange это было) - главное чтобы другие dc со всеми требуемыми ролями были в сети. Можно, конечно, поэкспериментировать, но я бы не стал, а если бы и стал, то сделал бы двойной-тройной бэкап для начала )

kazavo4ka с сервера резервного копирования при помощи Symantec Backup Exec был восстановлен System State, в том числе и Active Directory, восстанавливаемый сервер находился в режиме восстановления AD.

Сегодня все работают, на некоторых машинах - их не так много - возникли ошибки авторизации, лечится перевводом в домен - их не так много.

Цитата:

возникли ошибки авторизации, лечится перевводом в домен - их не так много.

если на сервере резервного копирование ошибки похожие, то скорее всего эта процедура поможет и ему

если не поможет - вкладывай логи ошибок

kazavo4ka

Цитата:

если на сервере резервного копирование ошибки похожие, то скорее всего эта процедура поможет и ему

- не поможет, он принципиально отдельно стоящий, не в домене. Чуть позже выложу, но там ругается только Symantec Backup Exec - говорит, что не может проверить доменные логин-пароль....

Цитата:

не в домене.

а, понятно.
тогда нужно более подробно по логам смотреть

вот так с ходу не отвечу - не сталкивался

kazavo4ka пока что читаю про настройки SBE - защищен по самое не могу, надо разобраться как помирить. А отдельно стоящий бэкап сервер - чтобы не зависел от домена, так оно проще и надежнее.

Yaromaxx
вот такая бредовая идея есть - там ведь получается где-то в заданиях или в настройках самого сервера sbe есть место куда вбиты учетные данные для доступа к каким-либо ресурсам - что если попробовать их банально заново ввести?

kazavo4ka, а я таки понизил, до Вашего ответа. Пока все нормально, но после Вашего ответа мне стало страшно.

Цитата:

Пока все нормально, но после Вашего ответа мне стало страшно.

по теме exchange я не очень силен + собственноручно данную операцию не выполнял поэтому могу разве что теоретизировать

если не затруднит, то можете через некоторое время написать как все работает - возникли ли какие-нибудь проблемы и т.д.?

Добрался до настройки файлового сервера и квотирвоания и тут такая хня... подсобите
Может какойто порт для обмена занят... конфликт служб. Возможно консольно както перепроверить можно

Добавлено:
РЕШЕНИЕ:
В роли ФАЙЛОВЫЙ СЕРВЕР добавить нужную службу оснастки

Добрый день!

А как устанавливать через AD П/О с админскими (ну или просто "максимальными") правами, при условии, что инсталлируется оно не из .MSI? Понятно, есть свойство политики Windows Installer -> Always install with elevated privileges, но там же название раздела "WINDOWS INSTALLER", я так понимаю, что это только к .MSI относится... Или нет? Экспериментировать не представляется возможным, к сожалению, т.к. наши админы ленятся понижать нам права, а у заказчиков... ну некрасиво просто.

Это уже столько раз здесь "пережевывалось" ...
Или создать пакет msi (например в AdminStudio) или скриптом ( параметры командной строки вашей программы и если очень нужно то и RunAs).
Подробнее по ссылке:
http://forum.ru-board.com/google.cgi?domains=forum.ru-board.com&q=%F3%F1%F2%E0%ED%EE%E2%EA%E0+%EF%F0%EE%E3%F0%E0%EC%EC+gpo&sa=%CF%EE%E8%F1%EA+%E2+Google&sitesearch=forum.ru-board.com&client=pub-3191513952494802&forid=1&channel=8862539797&ie=windows-1251&oe=windows-1251&flav=0000&sig=ZVRHj8fTJJksJ4sh&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000C0%3BLC%3A0000C0%3BT%3A000000%3BGFNT%3A0000C0%3BGIMP%3A0000C0%3BFORID%3A11&hl=ru

По поводу понижать - тоже RunAs Вам "в руки"

voitsykh
Цитата:

Когда создается второй АД он может как то негативно повлиять на первый

Второй АД создавать не только можно, но и нужно. Очень полезно на случай падения первого.
Второй ДНС также полезно иметь, делаешь его slave по отношению к первому ДНС, и будет тебе щастье.

Такая ситуация. Есть 2 сайта, в каждом по контроллеру. Недавно в site2 компьютер (dc1site2) начал потихоньку умирать. При работающем dc1site2 cделал в site2 еще один контроллер - dc2site2. Поднял ему роль до контроллера домена. Все прошло без ошибок. Понизил и выключил dc1s2.

На следующий день увидел на контроллере домена в первом сайте (dc1site1) кучу ошибок репликации: NTDS KCC 1865, 1566, 1311.

[more=1865]Тип события:    Предупреждение
Источник события:    NTDS KCC
Категория события:    Проверка согласованности знаний
Код события:    1865
Дата:        15.02.2012
Время:        10:41:55
Пользователь:        NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер:    DC1SITE1
Описание:
В ходе проверки согласованности знаний не удается построить полную составную топологию сети. Из локального сайта недоступны следующие сайты.
Сайты:
CN=Site2,CN=Sites,CN=Configuration,DC=domain,DC=tld
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".[/more]

[more=1566]
Тип события:    Предупреждение
Источник события:    NTDS KCC
Категория события:    Проверка согласованности знаний
Код события:    1566
Дата:        15.02.2012
Время:        10:41:55
Пользователь:        NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер:    DC1SITE1
Описание:
Все контроллеры домена в следующем сайте, способные реплицировать данный раздел каталога через этот транспорт, в настоящий момент недоступны.
Сайт:
CN=Site2,CN=Sites,CN=Configuration,DC=domain,DC=tld
Раздел каталога:
CN=Configuration,DC=domain,DC=tld
Транспорт:
CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=domain,DC=tld
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".[/more]

[more=1311]
Тип события:    Ошибка
Источник события:    NTDS KCC
Категория события:    Проверка согласованности знаний
Код события:    1311
Дата:        15.02.2012
Время:        10:41:55
Пользователь:        NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер:    DC1SITE1
Описание:
В ходе проверки согласованности знаний обнаружены ошибки в следующем разделе каталога.
Раздел каталога:
CN=Configuration,DC=domain,DC=tld
Средству проверки согласованности данных не удается создать топологию репликации составного дерева, поскольку в оснастке "Active Directory - сайты и службы" недостаточно сведений о подключениях сайтов. Либо одному или нескольким контроллерам домена из этого раздела каталога не удается реплицировать данные каталога. Вероятно, это вызвано недоступностью контроллеров домена.
Действие пользователя
В оснастке "Active Directory - сайты и службы" выполните одно из следующих действий.
- Опубликуйте достаточные сведения о подключениях сайтов, чтобы можно было определить маршрут, по которому этот раздел каталога может дойти до этого сайта. Это рекомендуемый вариант.
- Добавьте объект подключения к контроллеру домена в этом сайте, содержащему раздел каталога, контроллера домена в другом сайте, также содержащего этот раздел каталога.
Если ни одно действие в оснастке "Active Directory - сайты и службы" не устранит эту ошибку, просмотрите предыдущие события KCC, в которых указаны недоступные контроллеры домена.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".[/more]

Включил dc1site2, поднял его до контроллера домена. Но ошибки не исчезли.
Выяснил, что на dc1site1 DC Object GUID для dc1site2 имеет старое значение (то, которое было до понижения роли). И почему-то dc2site2 в упор не хочет видеть dc1site1.

прошелся repadmin-ом по всем 3м контроллерам, получается следующее
на dc1site1: на dc1site2 на dc2site2
dc1site2 -x->dc1site1 dc1site1 ---> dc2site2 dc1site1 ---> dc2site2
dc2site2 ---> dc1site2 dc1site2 -x-> dc1site1 dc1site2 -x-> dc1site1
dc1site2 ---> dc2site2 dc1site2 ---> dc2site2
dc2site2 ----> dc1site2 dc2site2 ----> dc1site2

В общем, получается что мне как-то (я пока правда не знаю как) нужно заставить dc2site2 передать информацию об изменениях, произошедших в site2 для dc1site1.
Я правильно думаю? Или как лучше сделать?

mattveiko
понизить роль дс на проблемном контролере. убрать его из сайта (оснастка сайты и сервисы) вычистить его из АД (ntdsutil)

Сервер WS 2003 R2 PDC с DHCP DNS WINS на базе HP Proliant DL140
требуется освободить сервер от всех ролей оставив только систему.
Планируемое использование: бэкап сервер в новом домене с другим PDC, интернет шлюз и Web сервер

С точки зрения здравого смысла что будет правильнее:
переустановить систему или удалить все вышеперечисленные роли?

Цитата:

С точки зрения здравого смысла что будет правильнее

Если действительно "с точки зрения здравого смысла", то не стоит на контроллер домена вешать второй сетевой адаптер (все свои "почему не стоит?" на эту тему адресуй гуглу, ключевые слова: "multihomed dc"). Либо оставляй контроллер контроллером и вешай на него роли DHCP, WINS (DNS само собой будет) и WWW, либо понижай контроллер до рядового сервера, устанавливай/активируй второй сетевой адаптер и смело навешивай на него роли DNS, WINS, шлюз и WWW. Но вот DHCP в таком случае я навесил бы на PDC - чтобы однажды утром банальная авторизация на контроллере (на случай внезапного вылета твоего рядового сервера, назначающего адреса) не превратилась в извращённые мучения. Пусть лучше кто раздаёт адреса - тот сам по ним и авторизует клиентов в каталоге, чтобы далеко не ходить.

уважаемые, есть простой и понятный способ миграции пользователей между 2003 и 2008?


дело в том что дается всего 1 попытка, 15 из 40 компов должны работать с 8 до 20 обязательно и непременно. хотелось бы до марта найти все мануалы, попробовать на тестовом пользователе и на праздники выйти в боевом режиме всех перевести.

ЗЫ конечно все 100 раз обсуждалось. поиском пользовался, но читать ветки по 200 страниц и выуживать нужное как то страшно.
ЗЗЫ сам, конечно, пробовал на тестовом пользователе, но ADMT выругалось и ничего не перенесло ((

qwertEHOK
во-первых, нет никакой принципиальной разницы с чего и на что ты собрался "мигрировать" (а конкретно в твоём случае - так и подавно).
во-вторых, всё прекрасно ищется и даже (ты не поверишь!) более того - успешно находится

Цитата:

reenoip

спасибо, это был действительно полезный совет
вы великолепны

нашел вот такое
http://adminjob.livejournal.com/8718.html - довольно подробно, кроме последних пунктов
http://forum.ixbt.com/topic.cgi?id=7:32714

и еще на форуме микрософта пару слов - "используйте АДМТ и все будет в шоколаде, вот вам инструкция на 251 страницу на английском"

если есть у кого дополнения и советы (кроме направлений в яндекс и гугл) - с радостью выслушаю

qwertEHOK
ну, что ж, тогда сиди и вдумчиво читай советы, что умные люди написали человеку, который отключил свою голову и умудрился написать следующие исторические строки:


Цитата:

Имеется домен на Windows...
возникла необходимость (в связи с переименованием организации) перенести пользователей в новый домен firma1.local (заодно и от Single label избавиться)...
Важно , чтобы в процессе переноса пользователей и компьютеров из одного домена в другой не было прерывания их работы

А ты, случаем, не он самый, не? А то и общепринятые гайды ты отрицаешь, и требуешь к себе персональный подход

reenoip

Цитата:

Если действительно "с точки зрения здравого смысла", то не стоит на контроллер домена вешать второй сетевой адаптер

Спасибо однако. Важное замечание. Иными словами хочешь сказать что под мои задачи лучше не использовать DC?
На форуме пишут что это легко обходимо. Уже не актуально?

Цитата:

Отключил интерфейс, установил dc+dns. перегружаемся . Включаем сетевуху.

Хотя я так и хотел как предлагаешь. DHCP оставить на PDC, а здесь повешать DNS, WINS, шлюз и WWW.

я задал вопрос, ваш ответ выслушал
если написать нечего, зачем писать?

вы вообще пользователей переносили из домена в домен?
у вас получилось с первого раза?
ошибки были? какие и как решили?
что, по вашему, стоит сделать чтобы их не было?



Цитата:

А ты, случаем, не он самый, не? А то и общепринятые гайды ты отрицаешь, и требуешь к себе персональный подход

не, не он
где я отрицал? да и где сами гайды? ссылка в гугл?
где я требую?

clio77
да обойти-то можно всё, что угодно, я ж не говорил, что это невозможно. Всё возможно. Но если тебе первоисточник (читай "автор программного обеспечения") говорит, что использовать такую конфигурацию, в принципе, с некоторыми оговорками можно, но не нужно, ибо она чревата весьма специфичными и непредсказуемыми по времени возникновения и степени тяжести проблемами в будущем - то стоит ли рисковать? Есть определённый свод правил. И есть опыт тех, кто пытался обмануть эти правила, обойти их. Всё это лежит в свободном доступе, всё прекрасно гуглится. Читай, смотри, выбирай. Выбор делать тебе. Я вот лично уже давным-давно прошёл через это из-за экономии средств (есть такой тип директоров/управленцев, которым нужно всё-в-одном и при этом бесплатно). В итоге экономия чужих денег вылилась в потерю моего личного времени и нервов. Разобрался, почитал, переделал. Зато с тех пор всё по уму: если AD, то минимум 2 DC. Если DC, то "правильный" DC, без совмещения всех возможных и невозможных ролей. И сплю спокойно



Цитата:

На форуме  пишут что это легко обходимо.

clio77
на форуме по твоей ссылке, если ты сам её прочитаешь внимательно, пишут просто про наличие второй сетевой карты и её правильную активацию. А мы с тобой, если ты не забыл, обсуждаем, что будет с твоим DC, если ты не просто активируешь на нём вторую сетевую карту, но ещё и повесишь на DC лишние роли (читай выделенное):


Цитата:

Планируемое использование: бэкап сервер в новом домене с другим PDC, интернет шлюз и Web сервер

Ключевые слова "multihomed dc" я тебе дал в качестве отправной точки
Если есть свободное время - нагугли нытьё неудачников экономных человеков, которые умудрились непосредственно на DC установить ISA (SBS не в счёт). После взвесь все "за" и "против". Если же трудности с детства не пугают - дерзай, сей опыт в будущем в работе с более крупной сетевой инфраструктурой тебе край как пригодится.










qwertEHOK
ты и дальше троллить будешь, или всё-таки кликнешь на мою ссылку? :facepalm:

reenoip

Цитата:

После взвесь все "за" и "против".

Взвесил, осознал. За что человеческое спасибо.

reenoip
может быть не в тему, но если был такой опыт скажи - насколько убогую машину можно посадить под AD на WS2003 R2? В сетке 40 машин.
У меня стоит какая то простенькая машинка с 2 метрами DDR2 и процом на 1 ядро. Вот думаю ее под DC отдать.

Цитата:

2 метрами DDR2

2MB DDR2 - однако, это эксклюзив. А остальные 254 (510, 1022 и т.д.) ты выпилил, что ли?



На самом деле 40-50 пользователей потянет писюк примерно такого конфига: P4 2.0GHz / 1GB RAM / 20-30GB HDD. Но это при условии, что никаких FS и TS ролей, а лишь исключительно AD, DNS, WINS и DHCP. Т.е. сервер обслуживает пользовательские запросы, синхронизацию с другими DC (+ GC - если ты захочешь), и при этом никаких операций с файлами. А если добавишь ещё 1-2GB ОЗУ, то серверу станет намного комфортней

reenoip

Цитата:

ты выпилил, что ли?

видимо уже пора выпить- метры с гигами путаю.


Цитата:

Но это при условии, что никаких FS и TS ролей,

да, да я это учел.




Цитата:

Но вот DHCP в таком случае я навесил бы на PDC - чтобы однажды утром банальная авторизация на контроллере (на случай внезапного вылета твоего рядового сервера, назначающего адреса) не превратилась в извращённые мучения. Пусть лучше кто раздаёт адреса - тот сам по ним и авторизует клиентов в каталоге, чтобы далеко не ходить.

если за PDC оставить DNS и поднять еще один на DS, то имеющимся в локалке рабочим группам прописывать первичный DNS лучше PDC~а или DS~а?
На DS планируется WINS, шлюз, WWW