» Общие вопросы про AD (Active Directory)

arzumanyan

Придётся создавать ещё одно дерево с именем, отличным о корневого домена.

Затем настроить доверительные отношения в обе стороны между доменами.

vicpo
А как мне потом поменять имя компа?

Добавлено:
vicpo
А как мне потом имя компа и имя домена изменить???

timoty
поподробнее можно имя рабочей станции или имя контроллера домена?

vicpo
Мне надо чтобы и имя компа и имя домена были как у старого.

timoty
см ПМ

проблема:
обновил w2k до w2k3, установил PDC, пытаюсь установить services for netware, но... cannot update the schema.
все логи, кроме лога Приложение - чисты.
в приложении
Product: Microsoft Directory Synchronization Services -- Setup could not update the Active Directory schema. Verify that you have sufficient rights to modify the schema and then retry the installation.

Error code (5): (Not Available)

членом групп Администраторы схемы, Администраторы предприятия, Администраторы домена являюсь. Мало того - руками выставил себе полный доступ на схему.
Куда копать?

Цитата:

см ПМ

в топ плс, тоже интересно....

Проблема,..при создание добовачного домена, при попытке подключения его к действующему домену, т.е. соединеения с его Active Directory, выдает ошибку "Сервер RPC не доступен"
помогите плизз...????????

Цитата:

в топ плс, тоже интересно....

доменное имя просто так не поменяешь надо заново подымать домен если ты на счет контроллера домена имя контроллера домена изменить можно в справке вся процедура описана только в режиме домена 2003.
timoty
реши проблему со старым контроллером домена у тебя прут ошибки аутентификации, а это значит что контроллер и вообщем сам домен находится в критическом состоянии
У меня после таких ошибок домен рухнул целиком и полностью ...........

Цитата:

Блин задолбала эта 1053
Не удалось определить имя пользователя или компьютера. (Отказано в доступе. ). Обработка групповой политики прекращена.

Создал новую политику, то же самое, на КД никаких ошибок нету, а вот на всех рабочих станция лезут 1053 от Userenv ничего не помогает, на EventID.net тож смотрел ничего для моего случая не нашел! В чем проблема???
Да DCDIAG и NetDiag все тесты нормально проходят везде написано passed......

С этим никто не может помочь, в чем может быть проблема?

Я создал еще один дополнительный КД репликация нормально прошла, все отлично работает а эта 1053 не уходит. Я боюсь что она рухнуть может ни с того ни с сего!!!

Пардон, а перенести групповые политики с одного сервера на другой возможно? без репликации.

wezir

Теоритически думаю это можно так сделать:

1)Создать на нужном сервере групповую политику
2)Открыть дерикторию этой политики
3)Скопировать содержимое необходимой политики в открытую дерикторию
4)Проверить пермишены

Как вариант воспользуйся GPO (Group Ploicy Managment)

Народ ну что с 1053 делать??? Может форум какой подскажете?

IceFusion
присоединяюсь к вопросу
где-то я уже его задавал здесь, но так никто и не ответил
у меня еще ошибки говорят о недоступности к файлу gpt.ini хотя права такие на политики как на мелкософте советуют....

В общем создал второй сервер с AD. Репликация нормально проходит, все данные перенеслись, на самом КД никаких ошибок нет вообще, он чист как младенец. Права на доступ к файлу GPO вроде менял, не помогает. У клиентов сыпяться ошибки 1053 от Userenv от Пользователя NT AUTHORITY\SYSTEM


"Не удалось определить имя пользователя или компьютера. (Отказано в доступе. ). Обработка групповой политики прекращена. "


С чего бы ей взяться этой ошибки если на КД вообще никаких ошибок нету

IceFusion

Цитата:

У клиентов сыпяться ошибки 1053

тут
смотрел ?

ОСи на клиентах и сервере какие ?

не включен ли firewall ?

netbios over tcp/ip работает ?

angelweb


Цитата:

тут
смотрел ?

Смотрел.


Цитата:

netbios over tcp/ip работает ?

А как это проверить? Галочка стоит Типа "Включить NetBIOS over TCP/IP"

Как понимать вот это: [more=We were getting Event Id 1053 in the...]We were getting Event Id 1053 in the Application event log "Windows cannot determine the computer or user name. (Access is denied.). Group Policy processing aborted.". We discovered that the error started to happen after a reboot of a Windows Server 2003 DC. The DC had Event Id 529 logged after it's reboot. The information in the 529 event contained the reason "Unknown user name or bad password", a logon type of 3, and the logon process and authentication process set to Kerberos.
We had the following group policy enabled in the Security settings "Audit: Shut down system immediately if unable to log security alerts". The GPO settings for the security event log were set to "Do not overwrite events (clear log manually)". When the DC was rebooted, Windows Server 2003 was setting the Crash On Audit Fail registry key (HKLM\System\CurrentControlSet\Control\Lsa\crashonauditfail) to 2.
Note that no Crash On Audit Fail blue screen appeared and the security event log was not full so there was no related message shown. We therefore had no indication that the crash on audit fail registry key had been set to 2. With this registry key set to 2 only administrators can log on to the DC. Setting the value of this key to 0, changing the GPO's to disable "Audit: Shut down system immediately if unable to log security alerts", and changing the retention method of the security event log to "Overwrite events as needed" solved the problem.[/more]

Я как там сказано в реестре поковырялся но не помогло и 529 не вылазило перезагрузка тоже не помогает. Там в последнем абзаце написано что-то очень важно, но я этого не понимаю, очень туго, может поможете перевести )))

Еще вот это где подправить??? The security had to be loosened. Authenticated Users needs Read and System needs Full Control on the OU where the servers are located.

Я был долго достаточно далёк от AD, и вот я с ним столкнулся нарисовался вопрос
Как сделать так чтобы Пользователь на машине был
1. В домене пользователем
2. Локально админом и мог делать что душе угодно

Заранее благодарен за сцылки, посылы и вообще информацию.

bornbill
дік заводишь в Домен его обычным юзверем.
Потом на локальной машине заходишь в группу администраторы, говришь добавить пользователя, подсоеденяешься к домену и находишь того юзверя что создале перед этим в домене.
говоришь ему ок.
сохраняешь и после перелогина он в домене обычный смертный юзверь а локально-админ

bornbill
добавить доменного пользователя в группу локальных администраторов

angelweb
Как понимать вот это: We were getting Event Id 1053 in the...

Я как там сказано в реестре поковырялся но не помогло и 529 не вылазило перезагрузка тоже не помогает. Там в последнем абзаце написано что-то очень важно, но я этого не понимаю, очень туго, может поможете перевести )))

Еще вот это где подправить??? The security had to be loosened. Authenticated Users needs Read and System needs Full Control on the OU where the servers are located.

Что делать с этими ошибками в NTDS

[more=Ошибки]
Event Type:    Warning
Event Source:    NTDS KCC
Event Category:    Knowledge Consistency Checker
Event ID:    1265
Date:        06.06.2006
Time:        11:34:13
User:        N/A
Computer:    PC14
Description:
The attempt to establish a replication link with parameters

Partition: CN=Configuration,DC=salon,DC=whiskyworld,DC=ru
Source DSA DN: CN=NTDS Settings,CN=PC60,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=salon,DC=whiskyworld,DC=ru
Source DSA Address: 38dd2e41-3180-4769-a7ae-40842907f7d8._msdcs.salon.whiskyworld.ru
Inter-site Transport (if any):

failed with the following status:

The DSA operation is unable to proceed because of a DNS lookup failure.

The record data is the status code. This operation will be retried.
Data:
0000: 4c 21 00 00 L!..

Event Type:    Warning
Event Source:    NTDS KCC
Event Category:    Knowledge Consistency Checker
Event ID:    1265
Date:        06.06.2006
Time:        11:34:13
User:        N/A
Computer:    PC14
Description:
The attempt to establish a replication link with parameters

Partition: DC=salon,DC=whiskyworld,DC=ru
Source DSA DN: CN=NTDS Settings,CN=PC60,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=salon,DC=whiskyworld,DC=ru
Source DSA Address: 38dd2e41-3180-4769-a7ae-40842907f7d8._msdcs.salon.whiskyworld.ru
Inter-site Transport (if any):

failed with the following status:

The DSA operation is unable to proceed because of a DNS lookup failure.

The record data is the status code. This operation will be retried.
Data:
0000: 4c 21 00 00 L!..


Event Type:    Warning
Event Source:    NTDS KCC
Event Category:    Knowledge Consistency Checker
Event ID:    1265
Date:        06.06.2006
Time:        11:19:13
User:        N/A
Computer:    PC14
Description:
The attempt to establish a replication link with parameters

Partition: CN=Schema,CN=Configuration,DC=salon,DC=whiskyworld,DC=ru
Source DSA DN: CN=NTDS Settings,CN=PC60,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=salon,DC=whiskyworld,DC=ru
Source DSA Address: 38dd2e41-3180-4769-a7ae-40842907f7d8._msdcs.salon.whiskyworld.ru
Inter-site Transport (if any):

failed with the following status:

The DSA operation is unable to proceed because of a DNS lookup failure.

The record data is the status code. This operation will be retried.
Data:
0000: 4c 21 00 00 L!..
[/more]

Помогите DCDiag и netdiag тут с первого сервака
http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=15966#1

Добавлено:
репликация в одну сторону идёт.. DNS с salon всё забираються на shop а с shop на салон не забираються.
помогите

Rotten

Цитата:

***Error: The server salon.whiskyworld.ru is missing its machine
account. Try running with the /repairmachineaccount option.

Это делал?

У тебя вообще большие проблемы с этим сервром. Попробуй верни его в OU Domain Controlers, произведи предлженную операцию, проверь настройки ДНС. И проверь, нет ли у тебя других объектов с именем salon.

Я чет-то не очень понял структуры.... salon это что? DC, имя домена или что?
А вот этого а вообще не понял:

Цитата:

Warning: DsGetDcName returned information for \\pc14.salon.whiskyworld.
ru, when we were trying to reach salon.whiskyworld.ru.

что за pc14?

FreemanRU

ну как я понял .. pc14.salon... это DC salon.whi...
ну я сам не понимаю как pc14 это его имя и salon.whisky тоже его имя
это мне досталосьтакое .. и уже как год работает
и вроде проблем небыло решил на 2003 переходить но увидел кучу ошибок и хочу подправить всё)

он уже в UO сидит как pc14 вот что саоме главное

мож в аське пообщаемся разберёмся немного а то тут без пол литра не разобраться

Подскажите существует ли фтп сервер, который интегрируеться с AD, иис не предлогать

str1k3r

тут посмотри

str1k3r

Да многие сервера, наверное, уже умеют. Посмотри, например - TitanFTP
http://www.titanftp.com/ но там триал, поискать рабочую версию придётся...

angelweb
MG34
хм, как-то я криво запрос в гугле строил
Подтверждаю
Serv-U FTP
Gene6 FTP Server
Titan FTP
Secure FTP Server
умеют, но желательно иметь посл версию

Как с этим бороться:
Ни один из IP-адресов (192.168.1.1) этого контроллера домена не сопоставляется с настроенным сайтом 'Default-First-Site-Name'. Хотя это может быть временным явлением из-за изменения IP-адреса, рекомендуется, чтобы IP-адрес контроллера домена (доступного для других компьютеров в этом домене) сопоставлялся с сайтом, который он обслуживает. Если приведенный выше список IP-адресов не изменяется, возможно, следует переместить этот сервер в такой сайт (или создать новый, если он не существует), чтобы эти IP-адреса сопоставлялись выбранному сайту. Это может потребовать создания нового объекта-подсети (чей диапазон будет включать указанный IP-адрес), сопоставляемого выбранному объекту-сайту.