» Общие вопросы про AD (Active Directory)

to All

Никто не пробовал настроить встроенный в xp firewall через политику ad ?
Сервер w2ksp4eng.

sorry, нашел - Настроить firewall WinXP в Win2000 домене через груп. полит.
Ну все равно, пробовал кто нибудь ? Нюансы есть ?

Kristaliar
Настроить firewall WinXP в Win2000

особых нюансов не заметил...

Вопрос такой -

у меня есть Windows 2003 AD forest (single domain) - функциональный уровень W2K Native. Мне нужно добавить в него контроллер домена под управлением Windows 2000 ...

какие-то траблы возможны при таком сценарии?

Если Domain functionality и Forest functionality находятся в W2K Native то должно быть все без проблем.
По крайней мере у меня все работает на ура.
http://support.microsoft.com/default.aspx?scid=kb;en-us;298601

Тут можно посмотреть:
http://support.microsoft.com/default.aspx?scid=kb;en-us;322692

Цитата:

Если Domain functionality и Forest functionality находятся в W2K Native то должно быть все без проблем.

проблема при dcpromo

Цитата:

Event Type: Error
Event Source: NTDS General
Event Category: (9)
Event ID: 1153
User: Everyone
Description:
Class identifier 655565 (class name msWMI-IntRangeParam) has an invalid superclass 655563. Inheritance ignored.

merlkerry

Цитата:

проблема при dcpromo

На каком этапе вылетает dcpromo? И какую ошибку указана в dcpromo при вылете, а не в журналах системы?

Цитата:

На каком этапе вылетает dcpromo? И какую ошибку указана в dcpromo при вылете, а не в журналах системы?

он не вылетает - ошибка тока в журнале, но блин, я хочу быть уверен что это некритично.

merlkerry
ну а по эвенту смотрел инфу ?
Чего пишут ?
http://forum.ru-board.com/topic.cgi?forum=8&topic=1506#1

читал, что пишут - если в кратце то такое нормально при обратной ситуации контроллер W2K3 добавляется к домену W2K

Здравствуйте!

Кто-нибудь сталкивался с проблемой:
1. Дано Linux Red Hat
2. Kerio Mailserver for Linux
3. Active Directory под W2003

Надо научить авторизировать пользователей почты через AD. Проблема в том, что встроенные средства почтового сервака KMS не позволяют нормально авторизировать - выдает ошибку авторизации! Локальные пользователи почты входят нормально.
Раньше сервак работал под W2000 и проблем не было - я его включал в домен и он имел нормальный доступ к AD, а сейчас нет ((
Вариант с W2000/W2003 не подходит, т.к не хватает серваков.
Обязательно нужно нормально научить работать на Linux (он же является прокси для доступа в инет).

Спасибо!

Приветствую всех...

Какие службы Актив Директори и для каких целей используют протокол RPC, и где можно посмотреть их UUID'ы?



Добавлено:
Можно дать ссылку на англоязычные книги MS Press, с удовольствием почитаю... Если хотите ознакомиться со списком имеющихся - в ПМ.

Еще вопросы. Хочу, чтобы у определенной группы пользователей не был виден диск с:, и было разрешен только запуск определенных приложений, но только на определенном компьютере... возможно ли это сделать с помощью групповых политик?

И еще... если такое я смогу сделать, куда Excel, к примеру, будет предлагать пользователям сохранить файлы? Никак на диск c: не смогут попасть? Far, как понимаю, все равно будет видеть диск С:, но его я запрещу запускать

Создаешь новый OU, кладешь туда этот определенный компьютер, создаешь новый объект групповой политики и прилинковываешь его к этому OU. В этой ГП включаешь "Конфигурация компьютера\Административные шаблоны\Система\Групповая политика\Режим обработки замыкания групповой политики" в режим "Слияние".
Включаешь "Конфигурация пользователя\Административные шаблоны\Проводник\Скрыть выбранные диски из окна Мой компьютер" и "Запретить доступ к дискам через Мой компьютер". Также включаешь "Конфигурация пользователя\Административные шаблоны\Система\Выполнять только разрешенные приложения Windows".
Теперь чтобы у пользователя сохранился доступ к своему профилю.
В "Конфигурация пользователя\Конфигурация Windows\Сценарии\Вход в систему" добавляешь батник:

Код: subst U: %userprofile%.
acsr "#DOCUMENT_PATH#" "U:\Мои документы" "setdocum.key" "%temp%\2setdocum.key"
regini "%temp%\2setdocum.key" > Nul:
del "%temp%\2setdocum.key" > Nul:

Столкнулся при эмулировании домена в VMWare(обкатываем) с такой проблемой:
Никак не могу подцепить второй контроллер домена. Порядок действий такой: Manage Your Server -> add or remove role -> Domain Controller (Active Directory) -> 3 раза Next и выбираю "Additional domain controller for an existing domain"(насколько я понял установка доп. контроллера домена в существующий домен), он мне предлагает вбить логин/пароль/домен. Вот что выводит при вбивании:
http://xmms.narod.ru/ad.JPG
Логин администратора на контроллере домена, беcпарольный.... Машина уже к домену подключена(на которую второй контроллер пытаюсь поставить).
Как второй вариант - на обоих машинах беспарольные админы, вот и ругается... НО я создал ещё одного пользователя с правами админам всего чего только можно - бестолку.
В чём грабли?
Win2003 SP1.

Добавлено:
Вопрос снялся после перезагрузки и заходом _в домен_ администратором. Похоже я логинился локально.

Господа! Никто не сталкивался с ключом реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\Nameserver? Случилось так, что в домене w2k3 (смешаный режим) на DC была произведена смена ip-адреса. Соответствующие изменения были произведны в настройках DHCP-сервера 006 DNS Server. Однако, клиенты XP норовят в приведенной выше ключ реестра вставить старое значение ip-адреса и не находя его пишут ошибку
Тип события: Ошибка
Источник события: NETLOGON
Категория события: Отсутствует
Код события: 5719
Дата: 23.03.2005
Время: 13:29:10
Пользователь: Нет данных
Компьютер: PROD5
Описание:
Для домена OFFICE нет доступного контроллера домена Windows NT или Windows 2000. Ошибка:
Удаленный вызов процедуры был отменен.
Данные:
0000: 50 00 02 c0 P..A

При переписывани значения ключа реестра все быстро грузится и работает ок. Однако через какое-то время значение меняется на старое и все приходится менять по новой. Судя по всему это всасывается откуда-то то из GPO, но их-то я еще и не трогал! Подскажите, плиз куда копать

Garreth
Похоже в DNS srv-записи указывают на старый ip.
Missing DNS entries in AD DC DNS
SRV-записи в DNS (Windows 2003)

Alan Mon

Цитата:

Похоже в DNS srv-записи указывают на старый ip.

К сожалени, нет. Это достаточно очевидно и смотрелось сразу.

Garreth
В GPO это находится:
computer configuration\administrative templates\network\dns client
там все параметры.

G14

Цитата:

computer configuration\administrative templates\network\dns client

такого параметра там нет. Есть похожий
computer configuration\administrative templates\system\dns client\primary dns suffix, в котором выставляется только суффикс DNS. DC на Windows 2003 Enterprise Edition.

Garreth

Цитата:

такого параметра там нет.

если это 2003 то там есть DNS Servers.

G14

Цитата:

если это 2003 то там есть DNS Servers.

извиняюсь, беру свои слова обратно. Почему то в GPO default domain policy этого не было... Поробую через OU разрулить в новой политике

Garreth
Сделай RSoP(logging) на проблемного клиента и посмотри из какого GPO он получает DNS Servers.

Ткните плиз носом или разъясните вопрос. Как граммотно удалить из AD первичного контроллера домена, дополнительный контроллер домена? Фишка в том, что дополнительный умер физически (точнее система) и соответственно его не понизить, а первичный орет, что не могу удалить объект. Как правильно поступить? Далее планируется поднять опять дополнительный с тем же именем и т.д.

Добавлено:
Спасибо! Уже нашел.
http://support.microsoft.com/default.aspx?scid=kb;ru;216498

Можешь тут еще посмотреть по второму контроллеру
http://forum.ru-board.com/topic.cgi?forum=8&topic=5603&start=80#lt

Добавлено:
Alan Mon

Цитата:

Выполнять только разрешенные приложения Windows"

Как я понял Software Restrictions Policies ?

Laurent
А зачем тебе скрывать системный диск от юзеров
Что так все плохо ?
Права расставь на доступ ....
Ну пускай видят и радуются

G14

Цитата:

Сделай RSoP(logging) на проблемного клиента и посмотри из какого GPO он получает DNS Servers

Сделал. В computer configuration\administrative templates\Extra registry settings прописан ключ HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\Nameserver с правильным значением. Однако через какое-то время значение все равно "сваливается" на старое и все по новой. Возможно ли что Micdosoft смену ip-адреса DC в домене Win2k3 считает за миграцию? Может стоило воспользоваться утилитами типа ADMT?

Кстати, в GPO Default domain policy такого параметра как computer configuration\administrative templates\network\dns client нет. Этот параметр есть только если создавать новый объект ГП и применять его на какое-то OU. Может, это из-за смешаного режима домена?
На параметре в пояснение написано, что он влияет только на Windows XP. Однако, клиенты на W2k также не могут нормально работать в сети с неправильно установленным этим параметром.

Цитата:

Сделал. В computer configuration\administrative templates\Extra registry settings

Цитата:

в GPO Default domain policy такого параметра как computer configuration\administrative templates\network\dns client нет.

похоже у тебя правленые шаблоны+нестандартные. Устанавливал и настраивал это не ты, так ?

Цитата:

Возможно ли что Micdosoft смену ip-адреса DC в домене Win2k3 считает за миграцию?

нет.

Цитата:

Может, это из-за смешаного режима домена?

нет. см. выше.

Добавлено:
Обратите все внимание на шапку, пожалуйста.

G14

Цитата:

похоже у тебя правленые шаблоны+нестандартные. Устанавливал и настраивал это не ты, так ?

Нет, не так. GPO до этого правил только в разделе установки прокси и Windows Update (для использования местного SUS). И настраивал я! Что и обиднее всего...

Цитата:

Обратите все внимание на шапку, пожалуйста.

Посмотрел. Ничего нового не обнаружил. SRV записи в DNS смотрелись сразу и убивались. Возможно имеест смылс передать роли FSMO и первчиную зону на другой DC, а потом вернуть все? Иначе не знаю что делать - в сети откровенные глюки идут. То у клиентов одно значение этого ключа, то другое. Естественно , когда оно меняется на старое, то ни RSOP удаленно, ни сетевые шары, ни remote event viewer не работают - приходится бегать.

Имется два контроллера домена на Win2k. Один из них главный (с него началось создание леса, содержит глобальный каталог, схему каталога, DNS), второй резервный. Переход на Win2k3 я начал следующим образом: понизил резервный контроллер до обычного сервера, снес систему и поставил с нуля Win2k3. Теперь это stand-alone server в домене. Далее я планирую проапгрейдить Active Directory на контроллере домена с Win2k и добавить в домен контроллер с только что установленной Win2k3. Затем желательно с нуля переустановить систему на главном контроллере домена, но для этого нужно пренести глобальный каталог, схему, DNS, возможно что-то еще на новый конторллер домена.
Вопрос: что нужно переносить и с помощью каких утилит?

zvonarev

Цитата:

Вопрос: что нужно переносить и с помощью каких утилит?

Имхо, лучше сначала ввести новый w2k3 как DC и передать на него роли FSMO. После этого понизить старый первый DC до stand-alone, форматнуть и установить w2k3. Ввести его в домен как DC и обратно передать роли, если надо. А переносить можно через графический интерфейс с помощью оснасток "AD Users and Computers" - RID, PDC, Infrastructure; "AD Domains and Trusts" - тут передаем роль хозяина именования домена; "AD Schema" - здесь передаем schema master. Другой способ - использование ntdsutil.

Ну я это и имел в виду. Вопрос в том как эти FSMO переносить и с помощью каких утилит. И еще, если я буду добавлять в домен с Win2k, новый контроллер с win2k3 и на него поставлю новый DNS, то реплецируются ли все записи старого DNS, или его надо настраивать вручную.
Да и глобальный каталог не относится к FSMO, но его тоже нужно переносить? И с помощью чего?