» Общие вопросы про AD (Active Directory)

G14

Цитата:

Ссылки на простые статьи в моем посте выше.

Извини, не заметил сразу. Это у же, конечно, что-то, но всё-таки не совсем то Мне бы пошаговую иструкцию по поднятию домена на w2k или w2k3 (не знаю, есть ли разница).

Как по имени пользователя в AD определить название его машинки или IP?

У кого-нибудь есть опыт поднятия AD на сервере с двумя интерфейсами(причём оба интерфейса - локальная сеть с разными IP и масками, в которых пользователи домена сидят)? Система Win 2003 SP1.
Слышал что возможны проблемы....

XMMS

Цитата:

Слышал что возможны проблемы....

Возможны. Например такие:
Clients cannot log on to domain controllers that are Windows Server 2003-based DNS servers, and network interfaces that are not registered in DNS can still perform dynamic updates
И другие....
Посмотри по "multihomed" на МС.ком (не хочется сюда их стаскивать....)+ там же есть мануалы типа этого :
Configuring multihomed DNS

G14
У меня с инглишем плохо увы
Опишу ситуацию подробнее:
Есть: две сети, 10.0.0.* и 172.16.0.*
В первой сети есть шлюз, во второй есть контроллер домена... надо поставить 2-й контроллер того же домена на первую сеть. При этом сети должны остаться изолироваными. Какие варианты проскочили в голове:
1. Поставить две сетевухи на 2-й контроллер домена и вывести его в обе сети.
2. Поставить ему два разных IP на одну сетевуху(у нас физически сети объединены в одну, а логически - разные). Но боюсь что в этом случае будут проблемы...
3. Подключить роутер к обоим сетям и настроить разрешения между сетями только для контроллеров домена(для синхронизации), остальных всех заблокировать.
Судя по всему самый оптимальный и безопастный вариант - 3. Да?

XMMS
Да есть такое дело
multihomed domain controller
пройдись поиском по MS.


Добавлено:
сорри рефреш не сделал
vworld
Имхо, никак, если ты не делал жесткой привязки для аккаунта юзера на вход
к определенному компу (Logon to .....)

XMMS

Цитата:

Судя по всему самый оптимальный и безопастный вариант - 3. Да?

ИМХО - да. + каждый DC сделать сервером GC и если между подсетями канал небыстрый - разбить домен на сайты ...

Цитата:

При этом сети должны остаться изолироваными.

Цитата:

настроить разрешения между сетями только для контроллеров домена(для синхронизации), остальных всех заблокировать.

Одного не понимаю: зачем при таких требованиях всех в один домен тащить ? 2 изолированных домена (леса), если надо - с взаимными трастами + какое нить средство удаленного администрирования (RAdmin, TS) чтоб ногами не ходить и все условия соблюдены. К тому же раз сети так необходимо изолировать друг от друга, то логично предположить, что доступ юзеров к ресурсам другого домена не нужен..... Зачем усложнять себе жизнь ?

G14
Это всё дело стоит в одном здании и сервера - в одной комнате... просто надо разделить директорат и остальных работников... IT отдел имеет доступ в обе сети. Правда в случае краха одного из контроллеров второй всё равно придётся в обе сети выводить...

XMMS
ну тогда, я думаю,
Цитата:

самый оптимальный и безопастный вариант - 3.

а при
Цитата:

случае краха одного из контроллеров

открыть временно (на время восстановления из бэкапа упавшего DC) полный доступ клиентам "осиротевшей" сетки к живому DC. ну и
Цитата:

каждый DC сделать сервером GC

Цитата:

разбить домен на сайты ...

Цитата:

каждый DC сделать сервером GC

Можно поподробнее... не совсем понял что значит GC.

XMMS
Global Catalog

G14
А где именно это указывать надо?

*Global catalog
*XADM: How to Move the Global Catalog Role to Another Domain Controller


Добавлено:
+ я б поставил в каждую сеть по DNS серверу.

G14
AD же берёт часть функционала DNS на себя... разве нет?

XMMS

Цитата:

AD же берёт часть функционала DNS на себя

это ты что имеешь в виду ?

G14
про интеграцию AD с DNS... Он ведь поднимает DNS-сервер на первом контроллере домена и реплицирует вместе с AD на остальные... или нет? Вот я этот момент точно незнаю, и даже незнаю как проверить...

XMMS
ну да. это даст тебе возможность "подхватить" зону из AD при установке DNS сервера, но пока ты не установишь на новом контроллере DNS-сервер, он не будет отвечать на запросы. Эта часть AD (DNS-зона) будет просто лежать на нем и ничего не делать....

G14
Понял, спасибо... вот только когда я ставил DNS сервер на второй контроллер у меня он ничего не подхватил вроде, пришлось все записи копировать с основного DNS-сервера на первом контроллере и разрешать друг другу обновлять. Точнее скажу завтра, щас вспомнить формулировки точно уже не могу

XMMS

Цитата:

Это всё дело стоит в одном здании и сервера - в одной комнате... просто надо разделить директорат и остальных работников... IT отдел имеет доступ в обе сети. Правда в случае краха одного из контроллеров второй всё равно придётся в обе сети выводить...

ИМХО можно попробовать GPO настроить так, что бы к директорату не было доступа, тот же IPsec (кстати тема актуальная), + доступ к компам директората только определенных пользователей + компов...

nickloayev
Да на самом деле я думал об этом, но разделение сетей всё же более кардинальный способ и позволяет сократить объёмы бродкаста. Так что тут тоже свои плюсы есть

G14
Щас стоит тип зоны "интегрированная в AD" и "репликация на все контроллеры домена", однако после установки я зоны копировал с основного сервера, это я точно помню... Но щас видимо всё ОК..?
Насчёт глобального каталога разобрался, спасибо.

XMMS
Active Directory integration
и далее ......

Используется контроллер домена на W2000 Server. На одином из серверов W2003 (не является контроллером домена) установлен админпак, с него настроены "Политики ограниченного использования программ". Настройки подхватывают только машины с WinXP. Вскрытие показало что в оснастке на Users and Computers на контроллере домена нет такого параметра.
Можно ли сделать так, чтобы "Политики ограниченного использования программ" применялись к рабочим станциям W2000 ?

bak2306

Цитата:

Можно ли сделать так, чтобы "Политики ограниченного использования программ" применялись к рабочим станциям W2000 ?

нет.. Эта фича есть только в Win2003 и WinXP

Цитата:

How Software Restriction Policies Work
............
Deployment based on Active Directory requires Windows Server 2003, and Windows XP Professional clients, specifically:

- Windows Server 2003 with Active Directory installed and dynamic DNS properly configured.
- Windows XP client computers.
- The Group Policy Object Editor and the Software Restriction Policies extension of Group Policy Object Editor.
...........

Такая ситуация у меня сложилась.
Стоит AD-домен на Windows 2003 Enerprise, mixed mode. DC один, на нем же и DNS. При подключении XP-клиента (доступный Windows 2000 Advanced Server спокойно зашел в домен) возникает надпись "Не удалось присоединить к домену из-за следующие ошибки: Указанный сервер не может выполнить требуемую операцию". DNS на клиенте указывает на это сервер, нормально его разрешает. NetLogon, DNSserver на сервере запущены. Что может быть?
И еще один вопрос возник, правда немного из другой оперы
Создавал в AD пользователя (не администратора) специально, чтобы он мог присоединять машины к домену. Прописал его в Domain Controller Policy\ User rights assignment\ Add workstations to a domain. Какое-то время он нормально добавлял, а потом стал выкидывать ошибку (при вводе ПК в домен), что достигнуто максимальное количество объектов. И все. Может знает кто?


Добавлено:
[more=Вот результаты Dcdiag на DC]


Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\MEAT_SERVER
Starting test: Connectivity
The host 52aeabaa-b427-4a6b-b03b-d912c0bd4726._msdcs.flora.work.ru could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name

(52aeabaa-b427-4a6b-b03b-d912c0bd4726._msdcs.flora.work.ru)

couldn't be resolved, the server name

(meat_server.flora.work.ru) resolved to the IP address

(192.168.64.62) and was pingable. Check that the IP address is

registered correctly with the DNS server.
......................... MEAT_SERVER failed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\MEAT_SERVER
Skipping all tests, because server MEAT_SERVER is
not responding to directory service requests

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : flora
Starting test: CrossRefValidation
......................... flora passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... flora passed test CheckSDRefDom

Running enterprise tests on : flora.work.ru
Starting test: Intersite
......................... flora.work.ru passed test Intersite
Starting test: FsmoCheck
......................... flora.work.ru passed test FsmoCheck
[/more]

bak2306
Garreth
(и господам с аналогичными вопросами на предыдущих страницах).

обращаю ваше внимание на правила данной темы (оформленые в первом сообщении), которые запрещают обсуждение частных вопросов — то есть связанных с решением конкретных проблем настройки. Для того, чтобы не раздувать данную тему, посвящённую общим и теоретическим вопросам, рекомендуется обсуждать ваши вопросы в других (существующих или новых) темах. Ссылки на рекомендованные темы также имеются в первом сообщении («Шапке») данной темы.

Добавлено:

---

на будущее, для удобства ориентирования, добавлен пункт 1.4 в Правила форума «В помощь системному администратору». Данный пункт регламентируюет соблюдение дополнительных правил общих тем, подобных обозначенным здесь в шапке.

Народ, не подскажете есть ли возможность принудительно заставить компьютер логоинится на нужный контроллер домена? Есть два контроллера А и Б, расположенных в разных офисах А1 и Б1. Так вот все рабстанции из A1 почему-то упорно логинятся на Б. Пытался править реестр (Volatile Enviroment/logonserver) - не помогло

PS заранее спасибо

skylined
Насколько я знаю, клиента нельзя заставить принудительно логиниться на какой-то определенный DC, если они равноправны. Можно на стороне сервера понизить его вес среди других, но тогда все клиенты будут преимущественно логиниться на контроллер с большим весом.
В твоем случае самым правильным решением будет разделить AD на сайты и распределить контроллеры и клиентов по этим сайтам. Тогда клиенты в первую лчередь будут пытаться логиниться на контроллер своего сайта.

Вопрос к гуру. Установлен AD. Что делать с ЛОКАЛЬНЫМИ учётными записями на машинах? Понимаю, что лучший метод с точки зрения безопасности - удалить их, гостевую заблокировать, а админскую (так как её ни удалить ни заблокировать нельзя) просто переименовать, задать какой-нибудь 24-х значный пароль и тут же забыть его

Тогда при отсутствии подключения к DC в комп. не попадёшь. Но как быть, если, например, сгорела сетевая карта? (Пусть такой же карты нет, а к новой как поставишь дрова, не войдя в систему!?)
Или если у нас ноутбук? Человек ведь с ним в командировки ездит, домой таскает.

Как этот вопрос грамотно решить?

MG34
На локальной машине всегда можно сбросить пароль локального админа(есть утилиты для этого). Думаю что с подключённым компом к домену такое же прокатит.