» Общие вопросы про AD (Active Directory)

Drol

Цитата:

Подскажите пожалуйста, Advance Server Windows 2000 и Active Directory, DNS, DHCP и сетевые доступы какие основные TCP и UDP порты использует?

Читаем

ali1977

Цитата:

и сервак перегружал

Перегрузи клиентов

а при подключении сетевых дисков почему то при синхронизации на серваке документы не появляются хотя пишет что синхронизация пролшла успешно

Народ, подскажите в чём может быть дело и куда глянуть
dcdiag.exe

DC Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial non skippeable tests

Testing server: Default-First-Site-Name\GREENSERVER
Starting test: Connectivity
......................... GREENSERVER passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\GREENSERVER
Starting test: Replications
......................... GREENSERVER passed test Replications
Starting test: NCSecDesc
......................... GREENSERVER passed test NCSecDesc
Starting test: NetLogons
......................... GREENSERVER passed test NetLogons
Starting test: Advertising
......................... GREENSERVER passed test Advertising
Starting test: KnowsOfRoleHolders
......................... GREENSERVER passed test KnowsOfRoleHolders
Starting test: RidManager
......................... GREENSERVER passed test RidManager
Starting test: MachineAccount
......................... GREENSERVER passed test MachineAccount
Starting test: Services
......................... GREENSERVER passed test Services
Starting test: ObjectsReplicated
......................... GREENSERVER passed test ObjectsReplicated
Starting test: frssysvol
Error: No record of File Replication System, SYSVOL started.
The Active Directory may be prevented from starting.
......................... GREENSERVER passed test frssysvol
Starting test: kccevent
......................... GREENSERVER passed test kccevent
Starting test: systemlog
......................... GREENSERVER passed test systemlog


Starting test: frssysvol
Error: No record of File Replication System, SYSVOL started.
The Active Directory may be prevented from starting.
Что это значит и как это можно исправить? Хочу перевести домен на Win2003, но боюсь чт могут быть проблемы из-за этой ошибки

Подскажите пожалуйста такой вопрос: хочу поменять политику на длину и сложность паролей в АД. Делаю следующее: Пуск - Выполнить - secpol.msc там выбираю пункт Политика учетных записей, но рядом с каждой иконкой параметров стоит замочек, странно, хотя я подключаюсь как администратор. Кто нибудь может подсказать решение проблемы? буду оч благодарен.

Такой вопросец есть у меня список в политике ограниченного использования программ того что в групповой политике. и есть одна конторка в которую эту политику надо перенести - виде файла что ли - например какой нить рег файл или "как нибудь" чтобы не сидеть не тыкать каждый файл например на который у меня стоит запрет по хэшу. подскажите может есть способ или хотя бы способ автоматизировать этот процесс. просто там нет домена но есть 30 машин. намучаюсь блин вручную всё это делать.

dolphinik
Проверерь расшарены ли ресурсы SYSVOL и NETLOGON

motorscorp
gpedit.msc у тебя доменна структура зачем тебе локальные политики.

Может гуру подскажет...

Есть 2003 Server, AD, Терминальный сервер.

В при логоне в терминальной сессии ставлю юзеру запускать программу.
После того как программа завершается, должна завершиться и терминальная сессия.
Однако оная остается висеть, причем ничего кроме фона рабочего стола нет.

Как настроить AD, чтобы сессия завершалась? без cmd logoff

смиренно жду совета.

Помер основной DC. Захватил на резервном все роли и т.д. DCDIAG и NETDIAG говорят, что всё ок. Однако клиенты его всё равно не видят. При локальном входе после лог/пасса компы думают мин по 5 - 10, пока рабочий стол загрузится. Поиск в AD не работает. При попытке доступа по сети на другой комп, после долгих раздумий просит лог/пасс... И посылает.

В событиях у клиентов вот такая запись:

Код:
Тип события:    Ошибка
Источник события:    Userenv
Категория события:    Отсутствует
Код события:    1053
Дата:        30.05.2007
Время:        12:51:56
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:   Comp1
Описание:
Не удалось определить имя пользователя или компьютера. (Системой обнаружена попытка нарушения безопасности. Проверьте наличие доступа к серверу, через который был выполнен вход. ). Обработка групповой политики прекращена.

Гуру, подскажите ответы:

1) Достаточно ли создать новый комп в Active Directory, и выдать нужному юзеру права на его ввод в домен (the following user or group can join this computer to the domain) - дабы все работало? Т.е. в общих политиках домена каких либо других прав и сводоб (по добавлению компов в домен или еще чего либо) данный юзер иметь не обязан?

2) Скажем есть учетная запись Pupkin, для него стоит Log on to - Comp1, т.е. Пупкин может пользоваться своей учетной записью исключительно с компа1.
Если кто-то подключит к сети комп (не введенный в домен) с именем Comp1 и попытается обратиться к ресурсам домена используя логин:пароль Пупкина - это ему удасца?

gap5

Цитата:

1) Достаточно ли создать новый комп в Active Directory, и выдать нужному юзеру права на его ввод в домен (the following user or group can join this computer to the domain) - дабы все работало? Т.е. в общих политиках домена каких либо других прав и сводоб (по добавлению компов в домен или еще чего либо) данный юзер иметь не обязан?

Ну почти. Тебе достаточно создать учетную запись пользователя в домене. А политики по умолчанию разрешают доменному пользователю вводить в домен 10 компьютеров.

Цитата:

2) Скажем есть учетная запись Pupkin, для него стоит Log on to - Comp1, т.е. Пупкин может пользоваться своей учетной записью исключительно с компа1.
Если кто-то подключит к сети комп (не введенный в домен) с именем Comp1 и попытается обратиться к ресурсам домена используя логин:пароль Пупкина - это ему удасца?

Нет, это ему не удастся, вылезет сообщение о запрете авторизации с этого компьютера и хитрый юзер пойдет лесом. Правда он может поменять имя своего компа... но это уже другой вопрос.

Доброе утро People!

Задача: есть 4 домена в разных точках страны + группа людей обьединеннаая в локальную сеть (но без домена.). все это добро обьединено в единую корпоративную сеть передачи данных. общее количество пользователей в каждом пункте около 250 людей.

Вопрос: мне нужно создать общий ПодДомен, обьединить всех в Единый Active Directory.

Как мне это сделать? С Чего начать? Где читать? обьединением разных доменов никогда не занимался, посему обращаюсь к Вам, Уважаемые Знатоки!!!

Заранее благодарен!

Доброго времени суток.
У меня возникла некоторая проблемка.
Имею домен на 2х машинках. ось- windows server 2003 ent ed sp1.
недавно одна из машин благополучно сдохла.
купив новый сервак и поставив на него windows server 2003 R2 ent x64 ed sp1, пытаюсь добавить его в сущестующий домен контроллером.
что я делал:
когда сходу попытался добавить сервак к контроллерам домена мне выдало ошибку о том что АД занята ....
- удалил из контроллеров домена старую машинку где тока можно ...
дальше при попытке добавления в домен в качестве контроллера, в момент когда визард делает "exaiming an existin directory forest"(за дословность не ручаюсь) мне сообщается ошибка том что визард не может закончить работу, потому что существующих лес не подготовлен к установке вин сервер 2003. советуют воспользоваться утилитой adprep.
и чуть ниже пишецца" the version of the active direcrtory schema of the source forest is not compatible with the vession of the active directory on this computer"

2. поднял функциональность леса с вин200 до вин2003

но ошибка не изменилась ...

что делать?
пробовал накатить на имеющийся контроллер домена windows server 2003 R2 ent ed sp1 ... но что то не получилось найти подходящий сдкей ... ни тот который зашит в имеющийся винде, ни те ключи с которыми ставил(windows server 2003 R2 ent ed sp1) на другие машинки не подходят ...

topcom
У sp1 и R2 разные схемы ...

Патчи sp1 до r2 на старом серваке и заводи новый сервак х64 в домен....
вот и всё ....

копать вот это:
adprep /forestprep and /domainprep

Nikrit

не подскажешь, где взять такую патчилку?

З.Ы. все, ужо патчу...

Спасибо Nikrit
Все получилось .. просто нужно было делать все последовательно .... после накатывания на старый сервак R2 и продолжения установки со второго диска мне было английским по белому написано что и как делать с adprep и где его найти ...
единственно что весь день убил на то что в процессе установки выскакивал синий экран на NDIS.SYS ... который я никак не мог победить кроме как переименовыванием данный файл в момент очередной перезагрузки ...

Народ помогите мне с моей проблемой выше описанной...

Цитата:

Вопрос: мне нужно создать общий ПодДомен, обьединить всех в Единый Active Directory.

Лично я вижу два пути - переделать всё или настроить доверие между доменами. В принципе ест вариант с переименованием доменов, но имхо, подводные камни, вылезающие в этом случае будут хуже...

Народ, подскажите пожалуйста, какой фаер поставить на компьютер с Win 2003 + Active Directory?

topcom
рад что немного помог =)

Texnar_POLITEX
Солидарен с rastlin .... делай доверия и будет всё ок .....

А ваще, если сам не знаешь - лучше не делай это сам ....
Как я понял, имеет место слияние организаций ... или что-то такое ...
А если чёто напортачишь - считай что, как минимум, ты уволен ....
Обратись к спецу по месту работы .......
зы: идиотизм заставлять одного админа делать такой объём работы =(

revolverby
Никакой....ставь перед КД сервак с ISA

Цитата:

Никакой....ставь перед КД сервак с ISA

ТО есть на сервер с AD ISA лучше не ставить? Если не трудно объясни почему?

Спасибо. что откликнулись. а где бы почитать подробнее об этом? и с чего мне начать?

специалист тут я один. задачу надо выполнить в любом случае. так что буду думать. в любом случае если есть чем помочь, подскажите.

Благодарю

Ситуация следующяя: 40 компов должны переехать в другой домен. Вид рабочих столов должен остаться прежний. Возможно-ли все это автоматизировать? На все про все дают два дня. Может у кого была такая ситуация, подскажите плиз как это быстро организовать?

Antdik
поиск на сайте Microsoft по слову "ADMT". Скачка там же по ссылкам. Инструкция поставляется в комплекте.

Texnar_POLITEX

Цитата:

Вопрос: мне нужно создать общий ПодДомен, обьединить всех в Единый Active Directory.

Берешь книжку ф. Зубанова по AD, читаешь про тополгию доменов.
Далее выбираешь что тебе надо - 1 лес+домены по кол-ву филиалов (сомневаюсь) или 1 лес, 1 домен + сайты (скорее всего так). После этого решаешь вторую задачу - нужно ли тебе новое имя или можно выбрать имя однго из сущесвующих доменов.
Если новое - то создаешь новый лес, новый домен, а потом см. пост Matryona
Если же устроит сущесвующее, то оставляешь его и опять же см. пост Matryona

FreemanRU
вот эту чтоли?

Matryona
Про ADMT - не подходит совершенно т.к. 40 машин переезжают на другую территорию и связи между доменами нет.

Gabzya

Цитата:

вот эту чтоли?

Именно.
Antdik

Цитата:

не подходит совершенно т.к. 40 машин переезжают на другую территорию и связи между доменами нет

Если связи нет, то никак нельзя передать. Как ты себе это технически представляешь?
Единственный вариант - создать новый профиль с таким же именем как старый, а потом скопировать туда старый профиль.

с добавлением разрешений+заведение юзеров в новом домене на серваке с теми же именами и пароллями....вощем если 1му то за два дня придется ночевать с ними

motorscorp
Никто не запрещает тебе ставить иса на DC. Только вот грамотное конфигурирование ISA у тебя займет значительное время. ( полезно будет разобраться на каких портах и протоколах вся эта система фунциклирует)

Есть два офиса, соединенные между собой по VPN. В первом офисе стоит первичный DC, во втором офисе стоит вторичный DC. В каждом офисе стоит свой прокси-сервер. В групповых политиках домена (Default Group Policy) в Конфигурации пользователя прописываются параметры подключения прокси сервера (IP адрес и порт).
При этом у каждого пользователя, вошедшего в домен, в не зависимости от того на каком компьютере одного из офисов он зарегестрировался, прописываются одинаковые
параметры подключения прокси сервера, получается что все пользователи на текущий момент ходят в интернет через один прокси-сервер.
Учитывая то, что канал VPN имеет скорость 60 кбайт/сек, то этой пропускной способности не хватает для нужд интернета.
Как сделать так, чтобы на конкретных ПК второго офиса независимо от пользователя прописывались другие настройки прокси-сервера?