» Общие вопросы про AD (Active Directory) - часть II

Добрый день, после примерно месяца мытарств и поисков по интернету, все таки решился написать здесь. Проблемма обсуждалась во многих местах но решения которые предлагаются, мне не помогли. Теперь практически готов проделать заново, лишь бы помогло. Теперь к проблемме:
Есть сеть 100 машин, 2 прокси, 4 сервера, на одном сервере 2003 поднял DNS и AD. стал загонять все машины в домен. Появились следующие проблеммы:
1 и главная, машины периодически отваливаются от домена, в результате становятся недоступны сетевые ресурсы, ну и все вытекающие, причем есть машины которые одни и те же отваливаются, а бывает и другие вываливаются но реже.
2 сетевые принтеры в AD при работе через терминал(1С) на сервере терминалов периодически пропадают, то есть я захожу через терминал и в принтерах вижу отсутствие принтеров.
3 есть сервер не в домене(и даже не в рабочей группе) и на нем стоят гарант консультант, папка общего доступа. Периодически становится недоступна для некоторых машин.
Сильно не ругайтесь, что мол тему почитай сначала, читал, конечно, но не все сподряд, уж очень много, то что поиском находил. Если знаете где почитать, ткните, я не ленивый.

kop62

Цитата:

Добрый день, после примерно месяца мытарств и поисков по интернету, все таки решился написать здесь. Проблемма обсуждалась во многих местах но решения которые предлагаются, мне не помогли. Теперь практически готов проделать заново, лишь бы помогло. Теперь к проблемме:

Инфы маловато,

На вскидку

1. Попингуй из домена отваленую машину по IP.
2. Попингуй из отваленой машины по IP сервер AD.


если есть сеть
то переходи к DNS
1. Попингуй из домена отваленую машину по имени.
2. Попингуй из отваленой машины по IP сервер по имени.

посмотри NSLookup DNS сервера на отваленной машине

Да, в момент отвалов внимательно изучай логи событий на сервере AD и отваленной машины

На вскидку

1. Попингуй из домена отваленую машину по IP. пингуется
2. Попингуй из отваленой машины по IP сервер AD. пингуется


если есть сеть
то переходи к DNS
1. Попингуй из домена отваленую машину по имени.
2. Попингуй из отваленой машины по IP сервер по имени.
3.посмотри NSLookup DNS сервера на отваленной машине
Эти 3 пункта сделать сейчас не могу, не отваливается сволочь!
Это машина в домене, когда нормально работает
C:\Documents and Settings\gerasimov>nslookup um***ns
*** Can't find server name for address 10.**.**.129: No response from server
*** Default servers are not available
Server: UnKnown
Address: 10.**.**.129

*** UnKnown can't find um***ns: No response from server

Логи машины, все ошибки произошли со вчерашнего вечера по сегодняшнее утро, но из домена компьютер не вылетел:
4226
Достигнут предел безопасности для TCP/IP, налагаемый на количество попыток одновременных TCP-подключений.
17
NTP-клиент поставщика времени: произошла ошибка при поиске в DNS настроенного вручную узла 'server.ru*****k.umr34.com,0x1'. NTP-клиент вновь повторит поиск в DNS через 30 мин. Ошибка: Сделана попытка выполнить операцию на сокете для недоступного хоста. (0x80072751)
29
The NTP-клиент поставщика времени настроен на получение времени из одного или нескольких источников, однако ни один из этих источников недоступен. Попытки подключения к источнику не будут выполняться в течение 29 мин. NTP-клиент не имеет источника правильного времени.
11164
Не удалось выполнить регистрацию этих RR в DNS по одной из следующих причин: (а) DNS-сервер не поддерживает протокол динамического обновления, (б) удостоверяющая зона, в которой должны быть зарегистрированы эти записи, не допускает динамических обновлений.

Чтобы зарегистрировать DNS записи ресурсов узлов (A), использующих суффикс домена и IP-адреса этого адаптера, обратитесь к системному администратору DNS-сервера или системному администратору вашей сети.

Добавлено:
Отвалилась машина, вот с нее:

C:\Documents and Settings\gerasimov>ping um***ns

Обмен пакетами с um***ns [10.**.**.129] по 32 байт:

Ответ от 10**129: число байт=32 время<1мс TTL=128
Ответ от 10**129: число байт=32 время<1мс TTL=128
Ответ от 10**129: число байт=32 время<1мс TTL=128
Ответ от 10**129: число байт=32 время=3мс TTL=128

Статистика Ping для 10****.129:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 3 мсек, Среднее = 0 мсек

C:\Documents and Settings\gerasimov>nslookup u****s
*** Can't find server name for address 10.****.129: No response from server
*** Default servers are not available
Server: UnKnown
Address: 10.****.129

*** UnKnown can't find um***s: No response from server

kop62
DNS отваливается
cмотри логи событий DNS на контроллере AD

[q][/q]
Если имеется ввиду : просмотр событий - система на DNS то сейчас там ошибок нет ВООБЩЕ
была ошибка по синхронизации времени, но я ее вылечил, прописав сервер внутри домена в качестве источника времени.


Добавлено:
C:\Documents and Settings\gerasimov>nslookup um***ns
*** Can't find server name for address 10.**.**.129: No response from server
*** Default servers are not available
Server: UnKnown
Address: 10.**.**.129

Вот это не ошибка?

выяснил, что DNS на сервере остановлен. Запустил его снова, теперь пробую работать.

Вроде темой не ошибся...

Вопрос следующий. Есть порядка 100 пользователей. Надо сделать так, чтобы на сервере у каждого была одна папка на 1 Gb. Другие пользователи могли тоже видеть эту папку, но не писать в неё (только чтение). В рукопашную прописывать долго, можно как-то автоматизировать процесс?

[more] Доброе время суток, я понимаю что тема миграции уже давно разжевана и существуют сотни пошаговых мануалов по ней, но вот уже 3-ю неделю я пытаюсь привести в порядок домен на новом рабочем месте.

Дано:
Windows 2003 (без сервиспаков, без обновлений)- контроллер домена
Windows 2008 R2 std - будущий контроллер домена
Windows 2008 R2 std - DNS сервер

Ситуация следующая, изолированная сеть предприятия, порядка 200 пользователей домена раскиданы по регионам. Контроллер домена один, причем поставлен очень давно и с того времени не обновлялся и похоже работал без антивируса, соответственно был ими изрядно подпорчен, теперь авторизация на нем невозможна, при попытке логина в систему вылетает синий экран и восстановление сервера только из бэкапа.
DNS сервер- введен в домен, но контроллером не является, так как необходимо сделать подготовку домена, а сделать ее не надо на контроллере домена, на который нельзя зайти.
Еще интересный момент что DNS не интегрирован в AD поэтому насколько я понимаю для регистрации контроллера домена в DNS необходимо вручную его там прописывать.
В домене есть записи о паре мертвых контроллеров домена которые не были корректно выведены прежде чем были убиты, удалить записи через Ntdsutil не удалось, старый контроллер домена не ответил.

Что было сделано:
Поднял сервер на 2003 r2 ввел в домен поднял до контроллера. Поставил галочку глобальный каталог в сайты и сервисы на новом контроллере домена. Роли FSMO не хочу передавать на новый контроллер пока не удостоверюсь что он корректно введен в
Теперь вопросы:
1. Как прописать новый контроллер в DNS чтобы пользователи могли авторизоваться на нем?
2. dcdiag ругается что нет глобального каталога, хотя на старом контроллере и на новом указано хранение глобального каталога. Как проверить что глобальный каталог в норме?
3. Как интегрировать DNS в AD чтобы небыло гемора с ручной настройкой.

Это основные вопросы, если их решить я думаю можно будет передать на новый сервер роли fsmo и привести в норму домен. [/more]

Подскажите по межсайтовой репликации.
Меняется контроллер домена DC1 в сайте S1. Новый DC2 – уже готов и настроен.
На него будут перенесены все роли.
На старый (DC1) существуют ссылки во всех сайтах, они были созданы автоматически.
Если менять в связи партнера репликации с DC1 на DC2 – появляется предупреждение о пометке связи, как не автоматической. Насколько это критично? Боком не вылезет?
Связи работать будут?
Сам себе . Все ок, работает.

Здравствуйте, скажите как сделать бекап АД, и всего прилогающего чтоб при поднятии нового сервера можно было подгрузить старую базу и норм.

Здравствуй ALL, требуется твоя помощь.
Есть два КД: fsmo и дополнительный, оба ГК, оба DNS, уровень 2003, fsmo не надолго отключили (неделю), когда включили он отказался реплицироваться.

repadmin /showreps
Default-First-Site-Name\DC1FSMO
DSA Options: IS_GC DISABLE_INBOUND_REPL DISABLE_OUTBOUND_REPL

repadmin /options DC1FSMO -DISABLE_INBOUND_REPL
затем
repadmin /options DC1FSMO -DISABLE_OUTBOUND_REPL

НЕ ПОМОГАЕТ.

Что ещё можно сделать попробовать, перед захватом.

GarikNUR

Цитата:

Здравствуйте, скажите как сделать бекап АД, и всего прилогающего чтоб при поднятии нового сервера можно было подгрузить старую базу и норм.

Вкратце:
- Поднимай новый сервер
- Поднимай на нем роль контроллер домена в существующем домене
- Переноси на новый сервер роли FSMO со старого сервера
- Выводи старый сервер из домена

Это, конечно, очень обобщенный план.

Более детально читай, к примеру, тут
http://semaev.livejournal.com/11018.html
или
http://forum.ixbt.com/topic.cgi?id=7:23733
и еще очень много источников...

ребята, кто подскажет как сменить dns имя и IP удаленного компьютера, (без удаленного рабочего стола)?
нигде не могу найти информацию, может кто знает?

у меня развернута AD, win server 2008 r2

alan123
pstools , psexec \\remotecompuer cmd
и дальше netsh..

alan123
Для переименования использую netdom renamecomputer .......

Адрес скриптом -
типа
.............
Set objWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &"." & "\root\cimv2")
Set objCollection = objWMI.ExecQuery("SELECT * FROM Win32_NetworkAdapterConfiguration")
arrDNSServer = Array("192.168.0.4", "192.168.0.2","192.168.0.3" )
arrGateway = Array("192.168.0.1")
.............

Или включить DHCP и сделать резервирование
%psexc% \\%1 netsh interface ip set address name="Local Area Connection" source=dhcp

или
Код:
strComputer = "."
Set objWMIService = GetObject(_
"winmgmts:\\" & strComputer & "\root\cimv2")
Set colNetAdapters = objWMIService.ExecQuery _
("Select * from Win32_NetworkAdapterConfiguration " _
& "where IPEnabled=TRUE")

For Each objNetAdapter In colNetAdapters
errEnable = objNetAdapter.EnableDHCP()
errEnable = objNetAdapter.SetDNSServerSearchOrder(dhcp)
errEnable = objNetAdapter.RenewDHCPLease

Next

Возможно ли с помощью GPO изменить названия ящиков в почтовых клиентах outlook?

AkeHayc


Цитата:

Возможно ли с помощью GPO изменить названия ящиков в почтовых клиентах outlook?

Только с помощью самописного скрипта. Такой встроенной функции в GPO нет.

Как можно сделать в AD пользователя с правами локального администратора для обычных компьютеров, что бы он мог устанавливать ПО, менять системные настройки и т.д., но прав доменного администратора у него не было? Домен на Windows 2008 SP2.

Здравствуйте.

Есть адская =) организация, в которой постоянно вырубают свет и из ПК дожимают все что можно, пока не развалятся, только на сервера не жмотятся. Вот взялся я админить такую организацию и по деньги-время, меня все устраивает. НО, есть одни и те же проблемы, решение которых хотелось бы свести к минимуму затраченного времени при получении тех же денег =).

Проблемы следующие:

1. Выключение света.
При выключении света, которые происходят довольно часто, количество ошибок бывает настолько велико, что иногда проще восстановить контроллеры домена из образа (акронис).
Актуальность образов бывает 1-2 недельной давности. И не все компьютеры получают доступ в домен. Для снижения появления потенциальных ошибок, поставил Network Management Card в УПС, которая выключает сервера в щадящем режиме, но при огромном количестве отключений света, ошибки лезут всеравно, хоть сервера и выключаются нормально.

2. Выход из строя аккумуляторов на материнских платах, и время разнится с серверным на несколько лет.

Я так понимаю что моя задача настроить "Политика Kerberos", ресурсы по теме читал, но прошу помочь советом.


Цитата:

-Максимальная погрешность синхронизации часов компьютера

Отключить ее совсем нельзя?


Цитата:

Максимальный срок жизни билета пользователя

Цитата:

Максимальный срок жизни билета службы

Не понимаю, имеет ли смысл менять эти параметры (по умолчанию стоят)?


Цитата:

Максимальный срок жизни для возобновления билета пользователя

Я так понимаю здесь нужно задавать время побольше, 1-3 мес.


Цитата:

Принудительные ограничения входа пользователей

Чем может грозить изменение параметра на "Выключен"

P.s. Изменения хочу внести в Default Domain Policy (Win2K3)

S_H_V_E_D
И выключение происходит действительно надолго? UPS не может выдержать такой таймаут? Какую еще карту вы там докупали? ИБП соединяется с компом либо по сети, либо по USB и прекрасно общается и так.

При потерях питания это почти ни как не должно сказывать на батарейке на CMOS. Мб просто компы старые и пора бы им их поменять. Батарейки по 20р.
Погрешность которая влияет на вход в систему с использованием Kerberos вроде можно отключить, давно это было... Но у меня входили все компы и те у которых была мёртвая батарейка тоже.

Цитата:

S_H_V_E_D
И выключение происходит действительно надолго?

до суток, перепады напряжения также вызывают ошибки, даже если сервера не выключаются.


Цитата:

UPS не может выдержать такой таймаут? Какую еще карту вы там докупали?

Посмотрите какое время могут держать UPS на сайте производителя, даже голиафы от APC (2м*1м) не выдержат сутки.


Цитата:

ИБП соединяется с компом либо по сети, либо по USB и прекрасно общается и так.

Расширю ваш кругозор, есть вот такие карточки (http://www.apc.com/products/family/?id=98), которые могут общаться со всей серверной, речь идет не о домашнем PC.


Цитата:

При потерях питания это почти ни как не должно сказывать на батарейке на CMOS.
Мб просто компы старые и пора бы им их поменять. Батарейки по 20р.

Вы внимательно читали мой пост? Я на чисто русском языке написал, что начальству насрать на ПК, на которых работают люди.


Цитата:

Погрешность которая влияет на вход в систему с использованием Kerberos вроде можно отключить, давно это было... Но у меня входили все компы и те у которых была мёртвая батарейка тоже.

Очень информативно...

S_H_V_E_D
Цитата:

Очень информативно...

мне за Вас лазить по политикам безопасности домена и найти нужную настройку? На память такое помнить не считаю нужным.
Цитата:

Расширю ваш кругозор, есть вот такие карточки (http://www.apc.com/products/family/?id=98), которые могут общаться со всей серверной, речь идет не о домашнем PC.

не вижу в них ни какого смысла. Возможно потому, что админил в основном GNU системы и там всё прекрасно настраивается и так (1 комп соединяется с UPS по USB, а остальные получают инфу от этого компа — о великий APCUPSD)
Цитата:

Посмотрите какое время могут держать UPS на сайте производителя, даже голиафы от APC (2м*1м) не выдержат сутки.

ответить про отключение на сутки и тут же выпячивать свою "гениальность" относительно линеек UPS...
Да, кстати, не всякий UPS держит скачки - его дело потеря питания, а не стабилизация напряжения, несмотря на то, что он усердно гонит всё через свой аккум.

ZloyBehemoth


Цитата:

Как можно сделать в AD пользователя с правами локального администратора для обычных компьютеров, что бы он мог устанавливать ПО, менять системные настройки и т.д., но прав доменного администратора у него не было? Домен на Windows 2008 SP2.

Если вопрос еще актуален, то через групповые политики. Prefences > Control Panel > Local Users And Groups. Там можно настроить кто на локальных компах будет админом

S_H_V_E_D

Не советую колупать керберос. Лучше настрой эти компы так чтобы они время с сервера брали автоматом, при запуске. Хотя они вроде по дефолту должны с контроллера домена время брать при запуске, даже если оно сброшено.

Добавлено:
И да, раз уж пошел разговор за отключение питания, то можно как-то настроить, чтобы после выключения обоих контроллеров домена, они запускались не 15 минут, а побыстрее? А то они получается ищут друг друга, не находят и так тупят оба довольно долго, хотя в конце концов таки запускаются и дальше работают нормально.

Grey Nickolas


Цитата:

можно как-то настроить, чтобы после выключения обоих контроллеров домена, они запускались не 15 минут, а побыстрее?

Можно если задать задержку на старт второстепенного контроллера домена в районе от 1 минуты...

Привет, уважаемые.

Ситуация:

Основной контроллер домена в датацентре, за натом (Windows SBS 2008).
Очень хочется поставить в офисе дополнительный контроллер и завести уже всех-всех в домен.

Офисный сервер (Windows 2008 R2 Standart), соответственно в офисе, за натом.
Как их связать? Есть мысль использовать для этих целей Hamachi, однако настроить толком не получается - офисный сервер видит контроллер, ресолвит имя с нужного DNS, однако в домен входить отказывается - не удалось разрешить dns-имя контроллера домена.

Буду признателен за советы. Обвинения в криворукости и латентном идиотизме так же приветствуются.

Ребята, давно не занималась административными вопросами сервера w2k3 и возник вопрос:

С чем связана такая ошибка и как ее устранить?


Вроде AD работает нормально. пользователи проходят авторизацию, меняется пароли и все остальные рутиновые операции.
только боюсь , что эта ошибка грохнет все.. по этому хочу исправить этот момент.

AD и DNS находятся на одном и том же сервере.

Подскажите почему когда применяю скрипт .JS на локальную машину:


Код:
var WSHShell = WScript.CreateObject("WScript.Shell")
WSHShell.RegWrite("HKCU\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\Proxy","00000001", "REG_DWORD");

contrafack


Цитата:

Ребята, давно не занималась административными вопросами сервера w2k3 и возник вопрос:

С чем связана такая ошибка и как ее устранить?

Если все работает хорошо, то не стоит паниковать. Просто dns храниться в AD и она не успела у тебя толком стартануть. Если такие ошибки после загрузки сервера, забить на них. Если в процессе работы - смотреть и копать глубже.

OOD


Цитата:

Подскажите почему когда применяю скрипт .JS на локальную машину:

Цитата:

"HKCU\\...

Потому как HKCU это ветка пользователя, а не машины! И до залогинивания пользователя она не загружена.