» Вопросы по серверной части Windows Server 2003

moltchan - сеть недоменная чтоли?
если нет домена, то единственный способ жить без гостя, это иметь локальные аккаунт и пароль юзера на сервере совпадаюими с теми. что у него на компе, плюс в стартапе у юзера должно быть net use \\server\ipc$ /user:server\%username%

То то и оно, не доменная.... Нам выделили 15 ипишников, со шлюзом.
локальные аккаунт с правами User стоит на серваке, правда они без паролей (такая спицифика работы), правда стартап пустой., вечером попробую, а что дает эта команда?

moltchan - с пустым паролем не сработает. Ограничено встроенными политиками безопасности
Необходимо задать пароль. как минимум на сервере. Если есть необходимость у юзеров сохранить беспарольность на компах, то команда в их стартапе преобразуется в
net use \\server\ipc$ /user:server\%username% password
где вместо слова password вводишь в батнике пароль юзера на сервере.
Команда авторизует юзера на сервере в контеексте недоменного аккаунта сервера, после этого любые обращения к ресурсам сервера сработают.

kibkalo
Спасибо, будем дерзать.
Прикол, что я поставил W2003 месяца полтора назад, и все проходило, а вчера умерла -так умарла.

moltchan - врядли. 2003 в принципе не пускает сетевые соединения без пароля.
Можншь теста ради создать новую инсталляцию (например в виртуальной машине) не задавай пароля админу и попробуй обратиться к ресурсам мзвне. Не пустит

kibkalo
Еще вопрос, не подскажешь, где можно почитать по созданию, настройки доменной сетки, хочу позже настроиться.

moltchan - надо книжки микромягкие почитать. а лучше на курсы попасть.

Почитал топики и MS Knowledge Base, но все равно рискну изложить умным людям суть моего кошмара...

Проблема: никак не могу проагрейдить самый первый Windows 2000 DC (FSMO, GC и всё-всё-всё) на 2003. Как только запускаю adprep /forestprep команду, получаю следующую ошибку:
ERROR: Failed to transfer the schema FSMO role: 52 (Unavailable). If the error code is "Insufficient Rights", make sure you are logged in as a member of the schema admin group. Adprep was unable to upgrade the schema on the schema master.

Не скрою, перед этим, приблизительно с месяц тому назад, намертво убился второй DC без возможности возвращения его к жизни из бэкапа. Пришлось использовать Ntdsutil.exe утилиту в точности как это описано в http://support.microsoft.com/default.aspx?kbid=216498.
Все процедуры и шаги, описанные там, прошли "на ура", выполнил всё от "а до я" без единой ошибки.
После этого без проблем поднял другой DC под другим именем, отличным от "убитого".

В связи с этим бедламом, вопрос к знатокам или тем, у кого были сходные проблемы: В чем моя проблема, а так же кто как решает/решал её, интересует конкретная последовательность поиска и устранения проблемы. Заранее всем большой поклон!

euserz, стандарная процедура.
dcdiag/netdiag - устранение ошибок, проверка репликации

Если adprep не врет, тогда dcdiag должен вывалить ошибка на FsmoCheck проверке.

Да, делал неоднократно, вот результаты (надо было мне сразу приводить логи, сорри):

Цитата:

C:\>netdiag
.........................................
Computer Name: TOR-MS
DNS Host Name: tor-ms.domain.com
System info : Windows 2000 Server (Build 2195)
Processor : x86 Family 15 Model 2 Stepping 7, GenuineIntel
List of installed hotfixes :
KB824146
Q147222
Netcard queries test . . . . . . . : Passed

Per interface results:
Adapter : Local Area Connection
Netcard queries test . . . : Passed

Host Name. . . . . . . . . : tor-ms
IP Address . . . . . . . . : 10.0.0.25
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 10.0.0.1
Primary WINS Server. . . . : 10.0.0.25
Dns Servers. . . . . . . . : 10.0.0.25

AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Passed
No remote names have been found.

WINS service test. . . . . : Failed
The test failed. We were unable to query the WINS servers.

Global results:

Domain membership test . . . . . . : Passed

NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{16D2490F-F43F-4D24-B20E-910D1C3EBD79}
1 NetBt transport currently configured.

Autonet address test . . . . . . . : Passed
IP loopback ping test. . . . . . . : Passed
Default gateway test . . . . . . . : Passed
NetBT name test. . . . . . . . . . : Passed
Winsock test . . . . . . . . . . . : Passed
DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '10.0.0.25' a
nd other DCs also have some of the names registered.

Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{16D2490F-F43F-4D24-B20E-910D1C3EBD79}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{16D2490F-F43F-4D24-B20E-910D1C3EBD79}
The browser is bound to 1 NetBt transport.

DC discovery test. . . . . . . . . : Passed
DC list test . . . . . . . . . . . : Passed
Trust relationship test. . . . . . : Skipped
Kerberos test. . . . . . . . . . . : Passed
LDAP test. . . . . . . . . . . . . : Passed
Bindings test. . . . . . . . . . . : Passed

WAN configuration test . . . . . . : Skipped
No active remote access connections.

Modem diagnostics test . . . . . . : Passed
IP Security test . . . . . . . . . : Passed
IPSec policy service is active, but no policy is assigned.

The command completed successfully

C:\>dcdiag
DC Diagnosis
Performing initial setup:
Done gathering initial info.

Doing initial non skippeable tests

Testing server: Toronto\TOR-MS
Starting test: Connectivity
......................... TOR-MS passed test Connectivity
Doing primary tests

Testing server: Toronto\TOR-MS
Starting test: Replications
......................... TOR-MS passed test Replications
Starting test: NCSecDesc
......................... TOR-MS passed test NCSecDesc
Starting test: NetLogons
......................... TOR-MS passed test NetLogons
Starting test: Advertising
......................... TOR-MS passed test Advertising
Starting test: KnowsOfRoleHolders
......................... TOR-MS passed test KnowsOfRoleHolders
Starting test: RidManager
......................... TOR-MS passed test RidManager
Starting test: MachineAccount
......................... TOR-MS passed test MachineAccount
Starting test: Services
......................... TOR-MS passed test Services
Starting test: ObjectsReplicated
......................... TOR-MS passed test ObjectsReplicated
Starting test: frssysvol
......................... TOR-MS passed test frssysvol
Starting test: kccevent
......................... TOR-MS passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x0000168E
Time Generated: 05/23/2004 17:49:50
Event String: Registration of the DNS record
......................... TOR-MS failed test systemlog

Running enterprise tests on : domain.com
Starting test: Intersite
......................... domain.com passed test Intersite
Starting test: FsmoCheck
......................... domain.com passed test FsmoCheck
C:\>

C:\>nltest /dsgetdc:domain.com /server:tor-ms
DC: \\TOR-MS
Address: \\10.0.0.25
Dom Guid: 304d6a3c-2da6-4e83-b26a-7e334c5b642d
Dom Name: DOMAIN
Forest Name: domain.com
Dc Site Name: City_Name
Our Site Name: City_Name
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE
The command completed successfully
C:\>

Не скрою того факта, что после "выкромсовывания" упавшего DC из AD его хост все еще оставался прописанным в Active Directory Users and Computers и я не придумал ничего оригинальнее, чем взять и удалить его прямо из GUI консоли Active Directory Users and Computers.

Может быть его ошметки все еще где-то остались в AD? Ну, не хотел я жать на Delete, сознаю свою "девчатность" , но рука дрогнула, черт попутал, да и всеми нами уважаемый kibkalo не рекомендовал этого делать по каким-то, видать, причинам (правда, я не нашел упоминания по каким именно).

euserz - я бы на твоем месте перенес схема мастера на второй контроллер (Active Directory Schema) , залогинился там членом группы Schema Admins (по умолчанию ты в нее НЕ входишь) и провел adprep /forestprep
Ну а domainprep уже после на инфраструктурном мастере.

kibkalo
спасибо, твоя идея конгениальна! я б до этого никогда не додумался! обязательно попробую следующей ночью


Цитата:

залогинился там членом группы Schema Admins (по умолчанию ты в нее НЕ входишь)

я уже не помню кто вносил изменения в нашу AD, но, вроде, для того чтобы залогиниться членом группы Schema Admins, достаточно иметь следующие изменения (поправьте, плиз, если это не так):
В Active Directory Users and Computers-->Users-->Properties-->"Member Of" tab
Schema admins rights присутствуют у Enterprise Admins и Administrator

(ну, и само собой разрешить вносить изменения в Schema в Active Directory Schema консоли)

Ага?

euserz Ага!
дерзай..

Newbie777
kibkalo
огромное спасибо! все прошло "на ура" после того, как я перекинул FSMO роль на второй DC, потом проапгрейдил AD и оба DC до 2003.

ради интереса решил перекунуть схема мастера назад - все перекинулось без ошибок, Event Viewer чист.
вот бывает же такое...

euserz - бывает
Перекидывание ролей кстати помогает иногда даже просто туда-обратно. То бишь главное факт переброса, а не то куда именно перебросил..
Рад что у тебя все прошло. Удачи.

После смены доменного пароля, постоянно блокируется учетная запись, как настроить аудит, чтобы видеть с какой машины идет блокировка записи?

видать сервис какой-то под тобой сидит
в аудите в политиках на OU domain controllers измени Audit Acount logon events на failure

zenia ну и соответственно, если контроллеров несколько, то достаточно будет смотреть логи на PDC Emulator, - все неудачные аутентификации любой контролер передает тда в надежде на более свежую информацию.

Запущена роль "Routing and Remote Access" для NAT. Модем автоматически переходит в состояние ожидания и снимает трубку после второго гудка. Как отключить прием входящих звонков?

kibkalo


Цитата:

PDC Emulator

это главный контроллер домена?
Все потавил, но все равно записей о failure нет, а только о удачном коннекте.

ну а ты проверь работает твоя настройка политик или нет, попробуй специально неправильно набрать пароль при логине.

zenia - он не то, чтобы "главный" - таких не бывает. Просто для своместимости со старыми клиентами сохранена эта роль, как точка самых свежих аутентификационных данных.
Если в го логах нет Logon failure, значит надо политикой контроллеров домена включить аудит этих событий (по умолчанию включен, но бог знает, что там у тебя наконфигурено)

Странно, когда делаю поиск по всем событиям, а критерием ставишь имя пользователя, то показывает только Success.
Даю поиск по Failed событиям по имени пользователя ничего не дает.
Когда включил только Failure audit и в критерии написал все, то показывает Failure события и вот что там я нашел.

Authentication Ticket Request Failed:
User Name: ZENIADM
Supplied Realm Name: DOMAIN
Service Name: krbtgt/DOMAIN
Ticket Options: 0x40810010
Failure Code: 0x12
Client Address: 192.168.10.90

Что за сервис такой krbtgt/DOMAIN ?

Цитата:

Что за сервис такой krbtgt/DOMAIN ?

Kerberos Ticket Granting Ticket (aka TGT)
Тот самый "билет в рай" из-за которого многие любят керберос - единая точка аутентификации, далее передачи пароля не будет, только предъявление этого тикета.

Народ, что никто не знает как отрубить гребаный прием входящих звонков? Срочно надо. Не успеваешь к телефону подойти как кто-нибудь уже с модемом общается. ХЕЛП!!!

Помниться в w2k нельзя было сделать так, что бы в расшаренном ресурсе на сервере были видны только папки(файлы) к которым у пользователя есть доступ. Были видны все папки, а вот зайти в каждую из них мог только пользователь с соответствующими правами... хотелось бы узнать, решился ли как-н. этот вопрос в w2k3!?

greenfox - нет.
И это довольно очевидно: для этого требуется менять файловую систему (добавить к NTFS какие-то новые аттрибуты) кроме существующих.

а вот я щас задам вопрос... пипл...

Windows 2003 PDC (master browser), имеет две сетевухи, одна - смотрит в локалку, другая же имеет Public IP и смотрит в инет (для OWA доступа, т.к. на этом DC установлен и Exchange 2003).

То есть по всем правилам, мы имеем типичные признаки Multihomed Domain Controller'а.

ПРОБЛЕМА: не хочет работать Active Directory Communication/Replication!

На Windows 2000 Server мне помогали рекомендации, описанные в статьях:
Q272294
Q191611
Q246804
Q292822
то есть вычленивание второго "публичного" сетевого адаптера из списка регистрируемых IP в DNS, остановка сервиса Computer Browser, махинации в registry и т.д., но на Win2003 такие фокусы не прошли (хотя, официально, должны были бы сработать!). ИТОГ: AD не хочет реплицироваться до тех пор, пока вручную не отключишь (не проdisable'ишь) этот второй "публичный" сетевой адаптор...

Что же делать, какая роль мешается, может ее перекинуть на другой "однодомный" DC? Что еще можно попробовать? А то я уже совсем голову свихнул

Спасибо!

greenfox
раздавыть скрытые шары, как вариант...

Эх-х-х, нетварь где ты.


Добавлено
euserz
http://support.microsoft.com/default.aspx?scid=kb;en-us;832478&Product=winsvr2003
как вариант?

deda_Flint

Цитата:

http://support.microsoft.com/default.aspx?scid=kb;en-us;832478&Product=winsvr2003
как вариант?

трудно судить, однако... вот напишут же...
но думаю, что описанная проблема больше относится к другому слачаю, а моя - чисто по репликации AD между контроллерами, один из которых Multihomed...